/var/log/messages - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)

- - /var/log/messages (http://forum.oszone.net/showthread.php?t=13158)

Patrick

16-02-2004 19:40 70460

Ось - слакварь 8.0
Вот строка из /var/log/messages:

Feb 10 09:49:31 hostname /usr/sbin/named[71]: lame server on 'sylistron.org' (in 'sylistron.ORG'?): 204.221.75.1#53

Че она значит ?

Спасиба :oszone:

ruslandh

16-02-2004 22:12 70461

host sylistron.org
sylistron.org has address 204.221.75.14
Что-то не так ip высчитал.

Belansky

16-02-2004 22:19 70462

Patrick
Это сообщение значит, что относительно хоста sylistron.org был получен ответ от неавторитетного DNS-сервера.

Patrick

17-02-2004 10:40 70463

Т.е., проще говоря, данному хосту соответствует на самом деле другой ай-пи. Ну и что из этого может из этого вытечь? Кстати, у меня щас получилось то же самое:

Цитата:

host sylistron.org
sylistron.org has address 204.221.75.14

Belansky

17-02-2004 21:02 70464

Patrick
Ну, может быть сервер выдал неверную информацию, так как до него не дошли изменения зоны. Но, не исключен и тот вариант, что данный DNS-сервер ломанули и таким образом пытаются заманить на другой web-сайт.

Patrick

18-02-2004 17:18 70465

Мож есть смысл со стороны инета закрыть файволом порты, через которые бинд слушает сеть? Какие это порты? Судя по тому, что показывает socklist это 53 и 1025, причем через 53 бинд слушает как udp, так и tcp. Это правильно? И вообще, как увидеть, что бинд был сломан (или была попытка взлома) с целью заманить на другой хост (или еще с какой)?

Спасибо :)

Belansky

18-02-2004 23:38 70466

Patrick
По умолчанию named слушает 53 порт, если не указанно иное. Обнаружить взлом DNS-сервера довольно таки сложно. Если Вы не используете собственный DNS-сервер, то проще отключить запуски демона named. Если же Вам он нужен, то полностью закрывать 53 порт не стоит. Возможно использовать встроенные в BIND средства защиты, как-то проведение транзакций только с доверенными серверами и т.д.

Patrick

19-02-2004 15:01 70467

Да, раньше использовался ДНС прова, но в последнее время он у них постоянно падает:down:  Вот и пришлось поднимать бинд у себя на шлюзе :) Раньше я никогда этого не делал, поэтому и вопросы :shuffle: Короче, я проверил, чтобы службы в локалке могли использовать ДНС на шлюзе, достаточно с о стороны инета оставить открытым порт 1025, а 53 можно закрыть. Со стороны ЛВС, видимо, и 53 порт надо оставить открытым. Вот только зачем бинд слушает tcp? Запросы на порт 53 по этому протоколу, похоже, не приходят.

Belansky

19-02-2004 23:58 70468

Patrick
В новых версиях BIND, в которых зонные транзакции, если так настроено специально,  происходят с авторизацией и с применением шифрования, в случае, если транзакция не может быть осуществлена с помощью UDP, применяется TCP.

Patrick

23-02-2004 16:05 70469

Спасибо за советы :).

После того как 53 *порт был со стороны инета закрыт, такая строка больше не появляется :)
Еще вопрос по тому же логу - появилась строчка:

Feb 23 01:55:44 hostname -- MARK --

Это че такое?!

Guest 80 247 100

24-02-2004 08:47 70470

Цитата:

Feb 23 01:55:44 hostname -- MARK --

это значит что эту строчку надо искать в другом журнале....

Patrick

24-02-2004 10:17 70471

Цитата:

это значит что эту строчку надо искать в другом журнале....

В каком другом?

Время: 22:45.