Bind: Explorando e evitando falhas
Bind é o servidor de DNS mais popular da Internet e consequentemente o mais popular quando se fala em vulnerabilidades. Saiba neste artigo como explorar suas falhas, assim como evitá-las.
[ Hits: 36.819 ]
Por: C00L3R_ em 21/08/2008 | Blog: https://github.com/CoolerVoid
Explorando
Onde vejo versões vulneráveis de BIND e onde encontro Exploits?
Isso é simples, gosto de procurar exploits no "milw0rm" direto, sem perder tempo no Google, mas para quem tempo acho bacana procurar exploits no Google russo, turco, árabe e não só no Google "BR", pois este é muito limitado. Google gringo tem mais chance de encontrar exploits que não foram postados no milw0rm, packet storm etc. Vou deixar um exemplo de exploit novo aí:Ele está sendo muito usado para envenenamento de DNS explorando o "Bind 9".
Tem também exploits remotos como este:
Como posso automatizar meus scans de Bind?
Você pode fazer isso com shell script, perl, python, C, ruby ou qualquer linguagem. Veja uma idéia lógica:nslookup -type=txt -class=chaos version.bind 202.12.12.$variavel
}
Loop simples para escanear uma faixa de IPs de 1 a 255.
Também podemos usar o "nmap" procurando hosts com BIND:
# nmap -sU -vv -P0 -A -D ip_laranja 200.21.12.1-255 -p53
A idéia deste comando foi mandar scan com pacotes datagrama (-sU=UDP scan) na porta 53 do BIND, este ip "200.21.12.1-255" na sua faixa final vai de 1 até 255, ou seja, ele escaneará 255 máquinas. Aí você coloca a faixa de ip que quiser...
Como posso evitar que meu servidor receba estes ataques?
Com o IDS Snort você pode tentar colocar um alerta toda vez que alguém procura saber a versão do seu Bind, ou scan UDP etc.Use a regra:
A forma mais simples de evitar é manter seu BIND atualizado e manter controle de usuários no servidor, saber quem entrou e quem saiu...
Terminando por aqui, um salve pro pessoal.
2. Descobrindo a versão do Bind
3. Explorando
Apache + PHP + MySQL + ftpd no OpenBSD
Ponteiros - Saindo de Pesadelos
Como funcionam os sistemas de biometria: um estudo geral
Filtro de conteúdo e vírus: Slackware 10.2 + Squid + Dansguardian + Clamav
Gaim + Gaim Encryption - Bate-papo com segurança
Monitoramento de redes com o Zenoss
Servidor de e-mail seguro com ClamAV e MailScanner
Bom, nosso amigo do artigo nao comentou mas a grande maioria 99% dos ataques a servidores de DNS como o bind por exemplo acontecem nao devido a versao deles... mas sim a configuracao.
Entre as principais vulnerabilidades encontradas esta:
- Recursividade Habilitada;
Estas ultimas falhas de Cache Poison principalmente referen-se a configuracao e nao a versao.
O artigo ficou bem simples e superficial, mas deu pra passar uma ideia basica pro pessoal.
[]s
99% foi um numero estranho não...( se ainda tem falhas de DCOM por ai por que não teria bind antigos ? ),mas este artigo meu é antigo retirei da Cóva de um dos muitos artigos que fiz não publicados...
quanto a "cache poison" estava analisando um exploit agora vi que é bacana
http://www.securiteam.com/exploits/5DP0220MAO.html
Mas acho que você y2h4ck esta mais atualizado devia passar um artigo para os irmãos do site ;)
Um ponto errado no bind gera uma dor de cabeça enorme. Vlw pelo artigo. Vai ajudar muito!
Grande abraço.
"grande maioria 99% dos ataques a servidores de DNS" nao sei se vc sabe mas o DNS nao tem DCOM :)
Bom ... nao e questao de estar mais atualizado ou nao, a questao e que e simples ... as falhas de DNS estao intrincicamente relacionadas com permissividade nas informacoes que eles fornecem e nao exatamente em fornecer o meio de acesso.
Como voce deve saber servidores de DNS sao os principais e mais procurados no momento de enumeracao pois e deles que vao partir os outros ataque seja a rede local ou seja o perimetro externo. Mas nao vou perder tempo aqui te explicando isso afinal vc sabe do que eu estou falando.
Nao precisa ficar nervoso so pq eu disse que o artigo e superficial, afinal, vc realmente acha que ele e aprofundado ??
Com relacao aos 99% ... eu acho que estou bem atualizado :)
forte abraco.
y2h4ck
Patrocínio
Destaques
Artigos
Maquina modesta - a vez dos navegadores ferrarem o usuario
Fscrypt: protegendo arquivos do seu usuário sem a lentidão padrão de criptograr o disco
Faça suas próprias atualizações de pacotes/programas no Void Linux e torne-se um Contribuidor
Dicas
Replicação SYSVOL no Samba 4 com Syncthing
Samba 4 com Replicação e LDAP Seguro (LDAPS/TLS)
Configurando o Cairo Dock individualmente em ambientes diferentes na mesma maquina
Calculadoras online gratuitas para o dia a dia do usuário Linux
Tópicos
Metafísica e espiritualidade funciona de verdade! Comprovação pessoal (3)
Isso acontece quando tento ajudar alguém (2)
Corrijindo o erro em println na linguagem C (4)
(CLIPPER) Rodando o mesmo código tanto no Windows quanto no Linux (4)
Top 10 do mês
-
Xerxes
1° lugar - 151.214 pts -
Fábio Berbert de Paula
2° lugar - 72.290 pts -
Buckminster
3° lugar - 49.195 pts -
Alberto Federman Neto.
4° lugar - 41.858 pts -
edps
5° lugar - 26.889 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 26.396 pts -
Sidnei Serra
7° lugar - 24.803 pts -
Mauricio Ferrari (LinuxProativo)
8° lugar - 23.602 pts -
Daniel Lara Souza
9° lugar - 23.336 pts -
Andre (pinduvoz)
10° lugar - 20.479 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
