Guten Tag,
unter den fast 160.000 physikalischen und über 40.000 virtuellen Servern
im OVH Netzwerk haben einige eine fehlerhafte DNS-Konfiguration. Diese
erlaubt es Hackern, den DNS-Server für Angriffe aus unserem Netzwerk
heraus zu nutzen (DDoS des Typs DNS AMP).
Sobald wir derartige Angriffe feststellen, filtern wir die Pakete der
angegriffenen IP und prüfen alle Ursprungs-IPs der Angreifer.
(In einigen Wochen werden wir über die Infrastrukturen verfügen,
um den Traffic direkt zu reinigen und ins Internet weiterzuleiten).
Dies erlaubt es uns, Server mit Sicherheitslücken zu finden,
diese zu schließen und betroffene Kunden zu informieren.
Wir arbeiten seit einer Woche an den DNS AMP Angriffen, die durch
die schlechte BIND-Konfiguration unserer Kunden ermöglicht werden.
Es wurde schon eine E-Mail an die ersten 500 Kunden verschickt, mit
der Aufforderung, das Problem zu beheben. Außerdem bereiten wir die
E-Mail für die verbleibenden 3.000 Kunden vor.
Parallel kümmern wir uns um die Angriffe, die permanent stattfinden.
Mehrere täglich. Weil BIND immer noch nicht gefixt ist, weil der Kunde
dazu keine Zeit hat oder meint, es sei nicht schlimm.
Wir haben so 3.200 IPs ausgefiltert, die seit zwei Stunden an einem
Angriff beteiligt sind. Die Filterung läuft über unsere
Schadensbegrenzungsinfrastruktur VAC1 in RBX und wir filtern alle DNS-
Anfragen, die von außen kommen und dazu bestimmt sind, einen Angriff
zu starten. Alle übrigen Anfragen werden nicht ausgefiltert.
Gleichzeitig verschicken wir E-Mails an Kunden, damit sie das Problem
innerhalb von 24 Stunden beheben. Ab morgen werden wir damit beginnen,
Server zu schließen, die ein Sicherheitsrisiko darstellen.
Ist mein DNS-Server abgesichert?
Testen Sie Ihre IP:
http://ovh.to/YcW5Z16
Wie sichere ich den DNS ab?
die Anleitung:
http://ovh.to/2uzX8Z
Kann OVH das für mich machen?
Ja, das kostet dann 23,80 EUR.
Öffnen Sie hierzu ein Ticket:
http://ovh.to/g9zcvgY
Mit freundlichen Grüßen
Octave