• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] $search = Rat || Hilfe /var/log/messages

B

Bulli

Hi@all,

ich könnte Rat oder Hilfe brauchen.

Nach einem Umzug aus Sicherheitsgründen auf einen Server mit SuSE 10.3 kommt es zu Fehlermeldungen, die ich noch nicht so gesehen habe. Folgende Einträge listen sich zuhauf in meinen /var/log/messages. Bei Google konnte ich nix Verständliches dazu finden. Weiß jemand, was das ist und wie man das beheben kann? So sieht das aus:

Jan 17 12:50:17 lvps92-51-161-15 named[18293]: client 69.50.142.11#63031: query (cache) './NS/IN' denied
Jan 17 12:50:18 lvps92-51-161-15 named[18293]: client 69.50.142.11#54320: query (cache) './NS/IN' denied
Jan 17 12:50:18 lvps92-51-161-15 named[18293]: client 69.50.142.11#23539: query (cache) './NS/IN' denied
Jan 17 12:50:19 lvps92-51-161-15 named[18293]: client 69.50.142.11#3220: query (cache) './NS/IN' denied
Jan 17 12:50:20 lvps92-51-161-15 named[18293]: client 69.50.142.11#45629: query (cache) './NS/IN' denied
Jan 17 12:50:22 lvps92-51-161-15 named[18293]: client 69.50.142.11#29708: query (cache) './NS/IN' denied
Jan 17 12:50:24 lvps92-51-161-15 named[18293]: client 69.50.142.11#7965: query (cache) './NS/IN' denied
Jan 17 12:50:25 lvps92-51-161-15 named[18293]: client 69.50.142.11#33380: query (cache) './NS/IN' denied
Jan 17 12:50:26 lvps92-51-161-15 named[18293]: client 69.50.142.11#54291: query (cache) './NS/IN' denied
Jan 17 12:50:26 lvps92-51-161-15 named[18293]: client 69.50.142.11#50855: query (cache) './NS/IN' denied
Jan 17 12:50:27 lvps92-51-161-15 named[18293]: client 69.50.142.11#9949: query (cache) './NS/IN' denied
Jan 17 12:50:28 lvps92-51-161-15 named[18293]: client 69.50.142.11#46785: query (cache) './NS/IN' denied
Jan 17 12:50:30 lvps92-51-161-15 named[18293]: client 69.50.142.11#38122: query (cache) './NS/IN' denied
Jan 17 12:50:31 lvps92-51-161-15 named[18293]: client 69.50.142.11#10908: query (cache) './NS/IN' denied
Jan 17 12:50:32 lvps92-51-161-15 named[18293]: client 69.50.142.11#7925: query (cache) './NS/IN' denied
Jan 17 12:50:34 lvps92-51-161-15 named[18293]: client 69.50.142.11#3689: query (cache) './NS/IN' denied
Jan 17 12:50:35 lvps92-51-161-15 named[18293]: client 69.50.142.11#35849: query (cache) './NS/IN' denied
Jan 17 12:50:36 lvps92-51-161-15 named[18293]: client 69.50.142.11#54511: query (cache) './NS/IN' denied
Jan 17 12:50:36 lvps92-51-161-15 named[18293]: client 69.50.142.11#39739: query (cache) './NS/IN' denied
Jan 17 12:50:37 lvps92-51-161-15 named[18293]: client 69.50.142.11#54273: query (cache) './NS/IN' denied
Jan 17 12:50:38 lvps92-51-161-15 named[18293]: client 69.50.142.11#5308: query (cache) './NS/IN' denied
Jan 17 12:50:40 lvps92-51-161-15 named[18293]: client 69.50.142.11#9737: query (cache) './NS/IN' denied
Jan 17 12:50:42 lvps92-51-161-15 named[18293]: client 69.50.142.11#29560: query (cache) './NS/IN' denied
Jan 17 12:50:44 lvps92-51-161-15 named[18293]: client 69.50.142.11#20964: query (cache) './NS/IN' denied
Jan 17 12:50:44 lvps92-51-161-15 named[18293]: client 69.50.142.11#24061: query (cache) './NS/IN' denied
Jan 17 12:50:44 lvps92-51-161-15 named[18293]: client 69.50.142.11#49401: query (cache) './NS/IN' denied
Jan 17 12:50:44 lvps92-51-161-15 named[18293]: client 69.50.142.11#6391: query (cache) './NS/IN' denied
Jan 17 12:50:46 lvps92-51-161-15 named[18293]: client 69.50.142.11#41370: query (cache) './NS/IN' denied
Jan 17 12:50:48 lvps92-51-161-15 named[18293]: client 69.50.142.11#24358: query (cache) './NS/IN' denied
Jan 17 12:50:50 lvps92-51-161-15 named[18293]: client 69.50.142.11#21557: query (cache) './NS/IN' denied
Jan 17 12:50:50 lvps92-51-161-15 named[18293]: client 69.50.142.11#32631: query (cache) './NS/IN' denied
Jan 17 12:50:52 lvps92-51-161-15 named[18293]: client 69.50.142.11#4222: query (cache) './NS/IN' denied
Jan 17 12:50:53 lvps92-51-161-15 named[18293]: client 69.50.142.11#46838: query (cache) './NS/IN' denied
Jan 17 12:50:54 lvps92-51-161-15 named[18293]: client 69.50.142.11#27543: query (cache) './NS/IN' denied
Jan 17 12:50:54 lvps92-51-161-15 named[18293]: client 69.50.142.11#15866: query (cache) './NS/IN' denied
Jan 17 12:50:56 lvps92-51-161-15 named[18293]: client 69.50.142.11#19265: query (cache) './NS/IN' denied
Jan 17 12:50:56 lvps92-51-161-15 named[18293]: client 69.50.142.11#62600: query (cache) './NS/IN' denied
Jan 17 12:50:58 lvps92-51-161-15 named[18293]: client 69.50.142.11#35059: query (cache) './NS/IN' denied

Wie man sieht, versucht da irgendwer/was jede Sekunde meinen Server zu erreichen. Was ist das?

THX Bulli
 
S

spoensche

Mit
Code: 
whois 69.50.142.11
hättest du dir den Inhaber der IP bzw. des IPAdressbereichs anzeigen lassen können. Der Inhaber ist die NationalNet Inc., ein Hoster aus den USA.

Du erhälst von dieser IP lauter DNS Anfragen, die von deinem Bind (named) abgelehnt werden. Hast du die abgewiesenen Anfragen nur von dort oder auch von anderen IP' s? Wie hast du den Bind konfiguriert? Evtl. ist die Konfiguration fehlerhaft.
 
OP
B

Bulli

Hi und danke für die Antwort.

Der IP-Bereich stammt aus dem INA-B Bereich. Da hatte ich schon häufiger (auf anderen Servern & IP's) Angriffsversuche gehabt. Einen speziellen Inhaber der Adresse konnte ich nicht ermitteln. Soclche Einträge sind auch mit einigen anderen IP'S vorhanden.

Das mit den fehlerhaft eingestellten Binds steht wohl auch so im Internet. Aber auf englisch - darum hilft es mir nicht sehr. Mein Englisch und meine Kenntnisse in Linux ist nicht so gut, dass ich das verstehen würde.

Wie und wo Konfiguriert man Binds? Ich nutze übrigens Plesk für die Admin, stöbere aber auch mal in den Files und ändere da was, wenn es sein muss. Kannst du helfen?
 
S

spoensche

Bulli schrieb:
Einen speziellen Inhaber der Adresse konnte ich nicht ermitteln.
Zum Vergrößern anklicken....

Code: 
whois 69.50.142.11
zeigt mir aber einen Inhaber an.

Bulli schrieb:
Das mit den fehlerhaft eingestellten Binds steht wohl auch so im Internet. Aber auf englisch - darum hilft es mir nicht sehr. Mein Englisch und meine Kenntnisse in Linux ist nicht so gut, dass ich das verstehen würde.
Zum Vergrößern anklicken....

Bezüglich der Zonendateien für den Bind:

http://wiki.linux-club.de/opensuse/Bind
und / oder
http://www.google.de/search?hl=de&rlz=1B3GGGL_deUS177DE215&sa=X&oi=spell&resnum=0&ct=result&cd=1&q=bind+konfiguration&spell=1

Wie man das mit Plesk macht weiss ich nicht, weil ich noch nie mit Plesk gearbeitet habe.
 
OP
B

Bulli

Hi@all,

ich hhabe eben Nachricht vom Support bekommen. Die lautet:

Hierbei handelt es sich um den Versuch eines DDoS Angriffs auf die IP 69.50.142.11. Der Angreifer sendet dazu mit gefälschter IP rekursive DNS Anfragen nach den Root Nameservern. Diese werden von Ihrem Nameserver jedoch korrekt abgewiesen und nicht beantwortet.

Außer den Logfileeinträgen hat dies keine Auswirkungen auf Ihr System, da die Anfragen nicht beantwortet werden brauchen Sie somit auch nichts unternehmen und können die Logfileeinträge ignorieren.
Zum Vergrößern anklicken....

Da scheint es also doch kein Problem mit meiner Konfiguration zu handeln. Oder ähnliches. Es nervt dennoch, dass mir auf diese Weise meine Logfiles zugemüllt werden. Aber zumindest bin ich jetzt beruhigt.

Thx@alll!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben