Servidor obtendo constantes consultas TXT de DNS - Qual é o potencial de risco?

1

Recentemente, descobri que meu servidor estava gerando muito mais tráfego do que o normal.

Normalmente, ganho em torno de 1 a 10 Mb por dia, já que o servidor só funciona como host de e-mails e sites estáticos.

No entanto, nos últimos três dias, gera mais de 200 Mb por dia.

Embora eu não tenha descoberto exatamente o problema, o seguinte parece muito suspeito para mim.

Ao executar o tshark no console, recebo solicitações contínuas como estas:

19.825601 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.831944 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.842562 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.844480 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.846354 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.846561 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.848314 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.851613 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.851625 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.852715 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.854063 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net
19.866565 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com
19.866582 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com
19.870774 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com

Embora eu saiba basicamente o que é TXT, isso não faz sentido para mim.

Quando leio o registro DNS TXT, ele contém apenas dados que não fazem sentido para mim.

As perguntas são:

Vocês sabem o que os dados TXT significam aqui Você pode me dizer qual é o potencial de risco geral aqui? Talvez meu servidor tenha sido comprometido e essas consultas tenham um significado mais profundo ou sejam o precursor de outro problema? Neste momento, eu tinha um servidor DNS fictício em execução na máquina que sempre entregava uma resposta estática (semelhante ao fallback do NX-Domain do OpenDNS).

Até agora eu encerrei o processo e bloqueei o IP via iptables. No entanto, os pedidos ainda aparecem em tshark, que é devido ao nível em que tshark captura os pacotes que eu penso.

    
por user2161635 01.04.2013 / 12:46

0 respostas