今天,朋友的BIND被攻击了,我记录一下处理过程。朋友来电话说,BIND时常会自己DOWN掉,让我看一看是怎么回事。
这是一台SGI 的服务器,跑IRIX操作系统,BIND是9.3.0.
先看SYSLOG(/var/adm/SYSLOG),有大量LAME SERVER的消息,是请求解析mail.themaffia.net和mail.omgdidyougotpwnet.info的,
BIND死掉的消息是: message.c:782: REQUIRE(*rdataset == 0L) failed; exiting (due to assertion failure)。
上网一查,以前的BIND版本有这方面的漏洞,估计也是这方面的问题。
想在IRIX上跑一下sniffer看是谁在捣乱,可是IRIX的sniffer工具netsnoop这台机器上没有装,在named.conf的options中加上querylog true;后可以记录query.
在SYSLOG中发现是某个IP总在不停的发query,做个设置把它屏弊掉吧。
在named.conf中去掉querylog true;一行,加上一行:blackhole { IP地址;};
重启后,应该没事了。
让朋友自己去找那台机器查源头吧。
|