Recebi um email de um ISP dizendo que nosso servidor havia participado de um ataque DDOS contra um de seus servidores - e que parece que estamos executando um "resolvedor recursivo aberto".
O endereço IP que eles forneceram é para um de nossos servidores de desenvolvimento, que está executando o WIndows Server 2012 R2. Fiz algumas pesquisas e segui essas instruções ( link ) para desabilitar a recursão no Gerenciador de DNS. Minhas perguntas são:
A desativação da opção de recursão deve ser suficiente para garantir que isso não aconteça novamente?
Não há problema em excluir o servidor DNS neste servidor? Eu nem sabia que aparentemente estava instalado por padrão. Nós usamos servidores DNS externos para tudo. Eu gostaria de manter nossa superfície de ataque mínima em geral.
Se eu fosse você, abordaria isso da perspectiva da rede. Configure um firewall para efetuar login para registrar qualquer tráfego para 53/udp and 53/tcp no servidor. Descubra o que está usando o serviço.
Se ninguém souber por que o DNS foi instalado e você desativá-lo, a única maneira de saber se você precisou será examinar o que quebrou.
Como eu vi no comentário que o servidor é usado apenas como um servidor web, por favor, permita que somente a porta necessária seja aberta para o servidor. Esse movimento irá bloquear o uso não autorizado desse DNS.
No pequeno firewall soho muitos colocam servidor público em um dmz aberto, mas com um firewall avançado é mais sábio fazer uma vlan pública para o servidor e encaminhar apenas a porta requerida, como http / https para o seu caso.