Meu servidor DNS executando o RHEL 6.6 está ativamente enviando respostas DNS não solicitadas para alguns IPs. Por não solicitado, quero dizer que não há nenhuma solicitação de entrada do IP externo, o servidor DNS parece querer falar com esse host externo por algum motivo por conta própria e eu não consigo descobrir o porquê. O Netstat mostra as conexões de saída vinculadas ao processo nomeado. O tcpdump confirma que estes são principalmente de saída. Eles se parecem com isso: (os nomes dos hosts no final são o que está no tcpdump real)
104115 5.888666 <DNS server source IP> <dest IP> DNS 80 Standard query 0xfc38 A chhveu.x99moyu.net
Existem toneladas destes: Aqui está outro exemplo:
104012 5.8884459 <DNS server source IP> <dest IP> DNS 106 Standard query 0x688b MX 3636.3335.3338.3737.80h423333324d.host.com
Mais uma vez, muitos desses.
Eu consegui controlar isso usando o iptables. No entanto, os contadores de pacotes estão aumentando rapidamente, então sei que o serviço nomeado ainda está querendo falar com esse IP. Outra coisa estranha que notei é depois de colocar a regra do iptables no lugar. Eu bloqueei o IP usando a cadeia INPUT primeiro e continuei a ver o tráfego. Em seguida, adicionei o IP à cadeia OUTPUT, e a solicitação recebida pareceu secar imediatamente, enquanto a solicitação de saída continuava somando. Então, temo que a solicitação recebida esteja sendo produzida pela solicitação de saída. Aqui está como os contadores de pacotes se parecem no iptables:
Cadeia de entrada:
4 292 DROP all -- any any X.X.X.X/24 anywhere
Cadeia de saída:
41174 4514K DROP all -- any any anywhere x.x.x.x/24
Este sistema pode ser comprometido e, em caso afirmativo, há algo que eu possa fazer para remediá-lo?