Pages : 1
#1 Le 01/01/2016, à 16:16
- hazertyck
Me fais-je attaquer par un domaine (freeinfosys.com) ?
Bonjour,
Sur un Ubuntu server chez moi,
Dessus, entre autre j'ai Plex installé, et je le relie à mon AppleTV via PlexConnect (https://github.com/iBaa/PlexConnect/wiki/Install-Guide)
Pour la suite je résume rapidement : je dis à mon Apple TV que mon serveur est le serveur DNS, et quand je charge l'application "bande annonces", PlexConnecte intercepte la requête et redirige vers Plex (du coup j'ai mon serveur de media qui m'envoi mes vidéos sur ma TV).
Donc PlexConnect intercepte les requetes DNS, et les redirige en fonction.
Maintenant, mon problème :
Depuis une semaine ça ne fonctionne plus, et dans les logs de connection à PlexConnect, je remarque que j'ai pleins de requêtes qui viennent d'un domaine jamais vu jusque là : freeinfosys.com :
15:14:09 DNSServer: DNS request received!
15:14:09 DNSServer: Source: ('24.47.128.91', 55536)
15:14:09 DNSServer: Domain: freeinfosys.com
15:14:09 DNSServer: ***forward request
15:14:14 DNSServer: DNS request received!
15:14:14 DNSServer: Source: ('60.199.250.224', 11344)
15:14:14 DNSServer: Domain: freeinfosys.com
15:14:14 DNSServer: ***forward request
15:14:19 DNSServer: DNS request received!
15:14:19 DNSServer: Source: ('60.199.250.224', 8574)
15:14:19 DNSServer: Domain: freeinfosys.com
15:14:19 DNSServer: ***forward request
15:14:24 DNSServer: DNS request received!
15:14:24 DNSServer: Source: ('72.80.160.20', 6124)
15:14:24 DNSServer: Domain: freeinfosys.com
15:14:24 DNSServer: ***forward request
Ce'st un extrait.
Je regarde sur google, et je trouve ça :
http://dnsamplificationattacks.blogspot … yscom.html
Donc je serais attaqué ???
Alors je souhaite bloquer avec iptables, mais j'ai une question : comment bloquer seulement le port 53 en UDP, seulement en entrée, seulement si la requête viens de ce domaine ? (parce que pour le reste j'ai besoin que ça rentre et sorte pour mon PlexConnect ...
Merci de votre aide.
Hors ligne
#2 Le 01/01/2016, à 16:44
- tiramiseb
Re : Me fais-je attaquer par un domaine (freeinfosys.com) ?
À ce que je comprends, tu n'es pas attaqué. Si le document que tu as trouvé est bon, tu es utilisé dans le cadre d'une attaque envers un autre. Ceci car tu as mal sécurisé ton serveur.
Je ne comprends pas pourquoi tu as besoin de relayer publiquement des requêtes DNS publiques...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#3 Le 02/01/2016, à 18:20
- hazertyck
Re : Me fais-je attaquer par un domaine (freeinfosys.com) ?
Re,
Merci de ta réponse, effectivement, j'avais mal compris le lien que j'ai partagé !
Je ne comprends pas pourquoi tu as besoin de relayer publiquement des requêtes DNS publiques...
--> nul besoin en effet !
J'ai "DROP" les règles en FORWARD, puisque je n'ai rien a relayer en particulier.
Par contre, comment simplement en faisant suivre une requête je peut participer à un ddos (parce que visiblement il s'agit d'un déni de service) ? C'est parce que je fessait parti d'un pool de serveur qui lançait des requêtes a répétitions ?
Et par conséquent, freeinfosys.com, c'est la "cible" ou une trace bidon laissée par celui (ou ceux) qui ont organisé cette attaque ?
Je te remercie pour ces compléments d'info 
Dernière modification par hazertyck (Le 02/01/2016, à 18:21)
Hors ligne
#4 Le 02/01/2016, à 19:38
- tiramiseb
Re : Me fais-je attaquer par un domaine (freeinfosys.com) ?
Pour les détails, je n'en sais rien, j'ai juste survolé la page que tu as donnée...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne