ISC BIND für Windows – Sicherheitslücke bei Plesk Nameserver (Windows)

Heute konnten wir eine DDoS (Distributed Denial of Service) Attacke auf einem unserer Plesk-Server entdecken. Die Maschine hat 10% der Bandbreite von 100MBit/s aufgewendet, um DNS blacklists abzufragen. Unser Glück war, dass unsere Leitung wohl “dicker” ist als die der Angreifer.

Die Standardkonfiguration des Plesk Servers sollte Recursion nur für das lokale Subnet erlauben, durch einen Softwarefehler wird der Standardeintrag “localnets” jedoch nicht richtig interpretiert, und somit Recursion uneingeschränkt angeboten. Recursion bedeutet, dass der Server auch DNS Einträge auflöst, für die er nicht selbst verantwortlich ist. Somit war der Server als allgemeiner DNS Server für jedermann verfügbar.

Auch wenn der Bug mit dem Standardwert “localnets” nicht wäre, sollte bei einem externen Hostingserver Recursion nur für “localhost” konfiguriert werden, denn man weiß nicht, wer oder was in diesem Subnet sonst noch zu finden ist.

Mit einer einfachen Konfiguration konnten wir die Attacke abwenden, und die Netzwerklast hat sich wieder normalisiert:

Im Verzeichnis %PROGRAMFILES(x86)%\Parallels\Plesk\dns\etc sind die config files abgelegt. Die Datei named.user.conf beinhaltet die DNS Options, in der die Recursion definiert wird. Einfach den originalen Eintrag:

options{
allow-recursion  {localnets; };
listen-on-v6     {any; };
version none;
};

folgendermaßen ändern:

options{
allow-recursion  {localhost; };
listen-on-v6     {any; };
version none;
};

Somit bietet der DNS Server nur noch die Namensauflösung für Domains, die er auch selbst verwaltet bzw. hostet.

Einfach mit nslookup vor und nach der Umstellung testen, welche Domains abgefragt werden können.

 

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>