-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 mantunes wrote: | João, | | Poderia me dizer quais foram suas conclusoes e como vc soube que era | problema de DNS ??
Na verdade, a Embratel que informou que o problema estava nesse servidor e que tinha a ver com o bind desatualizado. Informaram também que haviam usado a falha pra clonar uma página do Orkut. Ontem à noite, quando havia detectado o problema, vim correndo pro datacenter pra descobrir qual a causa. No começo, achei ter sido problema com o roteador, pois os pings dos servidores até o roteador davam em torno de 23000 ms. Percebi que era um possível ataque porque quando removia o cabo de um dos servidores, os pings normalizavam. Comecei a verificar o tráfego com o trafshow, mas não encontrava nada anormal. Inclusive, na máquina com o bind desatualizado, vi vários pedidos de DNS, mas não desconfiei, pois essa máquina é DNS autoritativo de vários domínios hospedados aqui. Desliguei um dos servidores o qual eu suspeitava de ser a vítima (o que normalizava os pings ao ser desconectado) e abri chamado na Embratel. Hoje eles disseram que o outro servidor (o do bind desatualizado) estava recebendo os ataques. Concluí que o servidor desatualizado levou um cache poisoning pra clonar uma página do Orkut, levando o usuário a abrir uma página no outro servidor, o que havia sido desconectado. Acredito que o atacante criou um redirecionamento de URL no nosso sistema (hospedamos um site de redirecionamentos gratuitos) e envenenou o bind desatualizado pra que fosse possível acessar o redirecionamento fraudulento. Neste exato momento, todos os servidores estão conectados. Dei um stop no bind do servidor desatualizado enquanto atualizo ele. Por ter esquecido de atualizar somente UM servidor, TODO o datacenter foi prejudicado, pois o link não suportou tanto pedido de DNS. Quem não atualizou ainda, corra pra não levar fumo também. :( - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIrp0UXL+vuN2d7ZwRAhhxAKCqL9fbL+brlSmWMRyrFTZ+bUNgvQCfV3P9 yzhZUw0Ebclzna8KHWzJWFo= =2tVU -----END PGP SIGNATURE----- ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd