image

DNS-aanvallen begonnen, grote ISPs ongepatcht *update*

zaterdag 26 juli 2008, 09:12 door Redactie, 57 reacties

Beheerders van nameservers die nog niet de patch voor het ernstige DNS-lek hebben geïnstalleerd, wordt dringend aangeraden dit te doen, hackers zijn namelijk begonnen met het aanvallen van de kwetsbaarheid. Na exploits voor Metasploit zijn er ook twee nieuwe aanvallen verschenen. Het probleem wordt nog vergroot omdat talloze grote internetproviders hun zaakjes niet op orde hebben. Klanten van AT&T, Time Warner, Bell Canada, Skybroadband, Carphone Warehouse Broadband, Opal Telecom, T-Mobile, Videotron Telecom, Roadrunner, Orange, Enventis Telecom, Earthlink, Griffin Internet en Jazztel lopen allemaal risico omdat de ISPs hun nameservers niet gepatcht hebben.

Uit deze loggegevens blijkt dat het de aanvallers om bekende domeinnamen te doen is, zoals die van eBay, Gmail, Microsoft, Hotmail en Facebook.

Microsoft roept de IT-gemeenschap inmiddels ook op om actie te ondernemen. De softwaregigant kwam begin juli al met een patch, maar heeft alsnog een extra advisory voor haar klanten uitgegeven. Daarin laat het weten nog niet op de hoogte van actieve aanvallen te zijn, maar zou dit slechts een kwestie van tijd zijn nu exploitcode beschikbaar is.

Update 9:52

Een wakkere lezer stuurt ons net het bericht dat zijn ISP, Ziggo (Casema), ook kwetsbaar is: "Your name server, at 83.80.1.169, appears vulnerable to DNS Cache Poisoning."

Is uw internetprovider ook lek? Test het hier (Checky My DNS) en laat een reactie achter.

Reacties (57)
26-07-2008, 09:56 door Anoniem
Wanadoo->Orange->Online lijkt in orde: Your name server, at
194.134.13.36, appears to be safe
26-07-2008, 09:59 door Anoniem
Your name server, at 83.80.1.169, appears vulnerable to DNS
Cache Poisoning.
26-07-2008, 10:02 door Anoniem
Your name server, at 83.80.1.150, appears vulnerable to DNS
Cache Poisoning.
26-07-2008, 10:04 door Anoniem
Your name server, at 83.80.1.169 (Ziggo), appears vulnerable
to DNS Cache Poisoning.
26-07-2008, 10:16 door ctrlaltdelete
Test hier; http://entropy.dns-oarc.net/test/

Daar worden zowel de primaire als secundaire DNS getest.
Zie je géén GREAT staan bij elke test denk dan eens aan het instellen
van OpenDNS
http://www.opendns.com/
26-07-2008, 10:20 door Anoniem
Bericht na test:
\"Your name server, at 62.238.255.216, appears to be safe, but make sure
the
ports listed below aren\'t following an obvious pattern (:1001, :1002, :1003,
or :30000, :30020, :30100...).\"
(het betreft hier de server van zeelandnet).
26-07-2008, 10:23 door Anoniem
t-mobile vanaf iphone;
Your name server, at
193.79.11.47, appears to be safe
26-07-2008, 10:39 door HaSo
Your name server, at 217.19.16.162 (Telebyte / Cambrium),
appears to be safe
26-07-2008, 11:00 door Anoniem
Your name server, at 194.134.13.36, appears to be safe
(Wanadoo/Orange/Online)
Bij linkje van ctrlaltdelete ook alles op GREAT
26-07-2008, 11:10 door Anoniem
213.75.76.79 (pdns15.wxs.nl) appears to have POOR source port
randomness and GREAT transaction ID randomness
26-07-2008, 11:37 door Anoniem
217.149.192.6 en 217.149.196.6 (interNLnet): GREAT.
Al verwachtte ik niet anders; het is een heerlijk gevoel.
26-07-2008, 11:53 door Gutsy Gibbon
Your name server at 213.75.76.79, may be safe, but the
NAT/Firewall in front of it appears to be interfering with
its port selection policy. The difference between largest
port and smallest port was only 24.

(KPN adsl-direct), in mijn Thomson modem staat
Primary DNS 195.121.1.34
Secondary DNS 195.121.1.66
26-07-2008, 11:58 door Anoniem
ns1.kpn-gprs.nl appears to have POOR source port randomness.
26-07-2008, 12:08 door Anoniem
Your name server, at 195.95.20.16, appears vulnerable to DNS
Cache Poisoning.

base.be
26-07-2008, 12:45 door Anoniem
Xs4all.nl :

http://www.doxpara.com/ :
Your name server, at 194.109.21.133, appears to be
safe, but make sure the ports listed below aren't following
an obvious pattern (:1001, :1002, :1003, or :30000, :30020,
:30100...).Requests seen for 51c1f2e9f709.toorrr.com:
194.109.21.133:50749 TXID=11442
194.109.21.133:57798 TXID=2709
194.109.21.133:23643 TXID=56890
194.109.21.133:11831 TXID=10609
194.109.21.133:40539 TXID=47415
http://entropy.dns-oarc.net/test/ :
194.109.21.132 (resolver1-b.xs4all.nl) appears to
have GREAT source port randomness and GREAT transaction ID
randomness.
26-07-2008, 13:11 door Anoniem
Door Gutsy Gibbon
Your name server at 213.75.76.79, may be safe, but the
NAT/Firewall in front of it appears to be interfering with
its port selection policy. The difference between largest
port and smallest port was only 24.

(KPN adsl-direct), in mijn Thomson modem staat
Primary DNS 195.121.1.34
Secondary DNS 195.121.1.66

De test van DNS-oarc test ook je thuis IP, dus in dit geval
luistert ook je modem/router naar DNS op de buitenzijde.

Dit is ook iets wat voorspelt is, tijd om ook dus home
gateways te gaan patchen, als er patches zijn.
26-07-2008, 13:12 door Anoniem
servers van telenet (belgie) zijn ook safe
26-07-2008, 13:39 door P2
UPC

Your ISP's name server, 62.179.104.208, has other protections above and
beyond port randomization against the recently discovered DNS flaws. There
is no reason to be concerned about the results seen below.

in mijn router staan

Primary DNS : 62.179.104.196
Secondary DNS : 212.142.28.69

ingesteld, hoe komt die dan bij 62.179.104.208??
26-07-2008, 14:16 door Anoniem
deze rule werkt niet:

# iptables -t nat -I POSTROUTING 1 -p udp -s 11.1.1.1
--dport 53
-j SNAT --to 11.1.1.1 --random

de check zegt nog steeds dat de dns service vuln is.

Kan iemand dit bevestigen ?
26-07-2008, 15:12 door Hot Burmees
Hum wat moet ik hier nu van denken?

DNS Resolver(s) Tested:

1. 195.18.114.5 (opaal.qinip.net) appears to have POOR
source port randomness and GREAT transaction ID randomness.

Test time: 2008-07-26 13:09:50 UTC


Was speedling nu Telfort

Groet Hot Burmees
26-07-2008, 15:14 door Anoniem
XMSNET (internlnet):

Alles op safe / GREAT! Maar had ook niet anders verwacht van deze provider
26-07-2008, 15:31 door wizzkizz
Solcon heeft nog niet alles op orde:

Your name server, at 212.45.33.3, appears vulnerable to DNS
Cache Poisoning.
26-07-2008, 15:40 door Anoniem
Door Hot Burmees
Hum wat moet ik hier nu van denken?

DNS Resolver(s) Tested:

1. 195.18.114.5 (opaal.qinip.net) appears to have POOR
source port randomness and GREAT transaction ID randomness.

Test time: 2008-07-26 13:09:50 UTC


Was speedling nu Telfort

Groet Hot Burmees
De firewall voor de DNS server heeft maar een beperkt aantal poorten die
openstaan en gebruikt kunnen worden. Dit is zal bij een aanvraag iedere keer
een andere poort zijn maar omdat het maar een beperkt aantal poorten is zal
dit vaker de zelfde poort zijn wat men als mogelijk risico ziet. Ook de firewall
van kpn direct-adsl / en voorheen planet heeft dit en waarschijnlijk alle kpn
dns servers. Heb dit inmiddels al gemeld bij kpn en hopelijk doen ze hier wat
aan maar zou me er niet al te druk om maken, ze hebben iedergeval het dns
lek wel gepatcht!
26-07-2008, 16:13 door Anoniem
Ja.. goed idee om mensen dit te laten posten... -.-

Hackers met die exploit hoeven alleen maar naar "appears
vulnerable to DNS
Cache Poisoning." te googlen, en ze hebben een hele lijst
met nameservers die ze kunnen verneuken
26-07-2008, 16:18 door Anoniem
Your name server, at 62.177.144.11, appears to be safe, but make sure the ports
listed below aren't following an obvious pattern (:1001, :1002, :1003, or :30000,
:30020, :30100...).

Pilmo.
26-07-2008, 18:11 door Anoniem
resolver3-a.xs4all.nl okay:

Your name server, at 194.109.21.251, appears to be safe, but
make sure the ports listed below aren't following an obvious
pattern (:1001, :1002, :1003, or :30000, :30020,
:30100...).Requests seen for a3d7e4e1a9fc.toorrr.com:
194.109.21.251:57926 TXID=20325
194.109.21.251:61320 TXID=48354
194.109.21.251:52602 TXID=45692
194.109.21.251:55552 TXID=34849
194.109.21.147:4177 TXID=59681
26-07-2008, 18:20 door Anoniem
P2:

> in mijn router staan
> Primary DNS : 62.179.104.196
>Secondary DNS : 212.142.28.69
> ingesteld, hoe komt die dan bij 62.179.104.208??

62.179.104.196 en/of 212.142.28.69 wisten het antwoord niet
en vroegen het aan 'hun' forwardserver 62.179.104.208. Lijkt
me het meest plausibele antwoord....
26-07-2008, 18:59 door Dr.Wh4x
Lang Leve Orange (online.nl),

Is ook de enige service die ze goed leveren :/

Maar zijn de security consultants van de ISP's aan het
rukken de hele dag ofzo ?
26-07-2008, 19:30 door Anoniem
Mag aan mij liggen maar dit script test niet m'n providers
dns server maar m'n eigen internet adres op DNS ? dat gaat
toch niet werken.
26-07-2008, 20:04 door Anoniem
Glasvezel Amsterdam i.c. InterNL.net is prima geregeld:
"Your name server, at 217.149.192.6 appears to be
safe."
26-07-2008, 20:05 door Anoniem
1. 83.98.255.20 (fedora.speedxs.net) appears to have
GREAT source port randomness and GREAT transaction ID
randomness.
2. 83.98.255.11 (athena.speedxs.net) appears to have
GREAT source port randomness and GREAT transaction ID
randomness.
Ik had niet anders verwacht eigenlijk:)
hulde aan de techies van speedxs.
26-07-2008, 21:59 door Anoniem
Door Anoniem
1. 83.98.255.20 (fedora.speedxs.net) appears to have
GREAT source port randomness and GREAT transaction ID
randomness.
2. 83.98.255.11 (athena.speedxs.net) appears to have
GREAT source port randomness and GREAT transaction ID
randomness.
Ik had niet anders verwacht eigenlijk:)
hulde aan de techies van speedxs.


zit ook bij speedxs, hun techniek is dik inorde helaas laat hun administratie
vaak wat anders zien
27-07-2008, 12:04 door Anoniem
1. 195.241.77.31 (cns1.tiscali.nl) appears to have GREAT
source port randomness and GREAT transaction ID randomness.
2. 195.241.77.30 (cns0.tiscali.nl) appears to have GREAT
source port randomness and GREAT transaction ID randomness.

Telfort (voorheen tiscali)
27-07-2008, 14:47 door Anoniem
Door Anoniem
Door Gutsy Gibbon
Your name server at 213.75.76.79, may be safe, but the
NAT/Firewall in front of it appears to be interfering with
its port selection policy. The difference between largest
port and smallest port was only 24.

(KPN adsl-direct), in mijn Thomson modem staat
Primary DNS 195.121.1.34
Secondary DNS 195.121.1.66

De test van DNS-oarc test ook je thuis IP, dus in dit geval
luistert ook je modem/router naar DNS op de buitenzijde.

Dit is ook iets wat voorspelt is, tijd om ook dus home
gateways te gaan patchen, als er patches zijn.
Wat je zegt is niet correct, hij test de NAT/Firewall voor de DNS server en dat is
dus niet je modem thuis, sterker nog deze heeft niet een een eigen dns server!
27-07-2008, 15:19 door Zarco.nl
Ziggo (Quicknet)
Your name server, at 213.73.255.100, appears vulnerable to
DNS Cache Poisoning.
All requests came from the following source port: 32774

Tja, wat verwacht van iemand die er net is? :P
27-07-2008, 17:00 door Anoniem
Door Anoniem
Mag aan mij liggen maar dit script test niet m'n providers
dns server maar m'n eigen internet adres op DNS ? dat gaat
toch niet werken.

het test de dns servers die jij hebt ingesteld, dus als ie
jouw IP adres laat zien dan draai je blijkbaar je eigen
resolver.
27-07-2008, 17:11 door Anoniem
Your name server, at XXX XXX XXX XXX, appears to be safe,
but make sure the ports listed below aren't following an
obvious pattern (:1001, :1002, :1003, or :30000, :30020,
:30100...).

en dit is voor ziggo (@home)
28-07-2008, 01:02 door Anoniem
SCARLET

Your name server, at 213.204.195.39, appears to be safe, but
make sure the ports listed below aren't following an obvious
pattern (:1001, :1002, :1003, or :30000, :30020,
:30100...).Requests seen for b552d4ff7a18.doxdns5.com:
213.204.195.39:44798 TXID=47231
213.204.195.39:15843 TXID=56577
213.204.195.39:51901 TXID=35096
213.204.195.39:64818 TXID=61985
213.204.195.39:33571 TXID=15514
28-07-2008, 04:03 door [Account Verwijderd]
Aan de reacties te zien...zijn er dus wel degelijk mensen, die security hoog in
het vaandel dragen...Kaminksy heeft al aangegeven dat het DNS-protocol de
kwaaddoener is....Als inmiddels gepensioneerd vulnerability-analyzer (55jr)
verheugd het mij ten zeerste dat er eindelijk aandacht wordt geschonken aan
de zwakheid van logische programmeercode...
28-07-2008, 07:39 door Anoniem
DNS Resolver(s) Tested:
212.178.80.228 (atwork-228.r-212.178.80.atwork.nl) appears to have POOR
source port randomness and GREAT transaction ID randomness.
Test time: 2008-07-28 05:36:42 UTC
28-07-2008, 08:31 door Anoniem
Door Gutsy Gibbon
Your name server at 213.75.76.79, may be safe, but the
NAT/Firewall in front of it appears to be interfering with
its port selection policy. The difference between largest
port and smallest port was only 24.

(KPN adsl-direct), in mijn Thomson modem staat
Primary DNS 195.121.1.34
Secondary DNS 195.121.1.66

Wat doe je als je een soortgelijke melding krijgt? Dat de
nameserver in orde is, maar dat de router/firewall wat roet
in het eten gooit. Hoe los je dat op vraag ik me af.
28-07-2008, 08:58 door Anoniem
1. 213.197.28.3 (dns.conceptsfa.nl) appears to have GREAT
source port randomness and GREAT transaction ID randomness.
2. 213.197.30.28 (dns2.concepts.nl) appears to have GREAT
source port randomness and GREAT transaction ID randomness.
28-07-2008, 09:32 door Anoniem
ZIGGO (ATHOME)

Your name server, at 213.51.129.174, appears to be safe
28-07-2008, 09:59 door Anoniem
vodafone GPRS:
POOR source port randomness, GREAT transaction ID randomness
28-07-2008, 15:34 door [Account Verwijderd]
[Verwijderd]
28-07-2008, 15:37 door Rene V
Ziggo (Multikabel)

Your name server, at 213.73.255.100, appears vulnerable to
DNS Cache Poisoning.
All requests came from the following source port: 32774

Ik maak nu gebruik van een andere dns server, een die veilig is, totdat Ziggo zijn zaakjes op orde heeft.
28-07-2008, 15:50 door Anoniem
Door Hyper

Your name server, at 82.161.15.99, appears to be safe, but
make sure the ports listed below aren't following an obvious
pattern (:1001, :1002, :1003, or :30000, :30020,
:30100...).Requests seen for 1678722c5a88.doxdns5.com:
82.161.15.99:1850 TXID=4374
82.161.15.99:1966 TXID=4378
82.161.15.99:3132 TXID=12580
82.161.15.99:3706 TXID=8489
82.161.15.99:2743 TXID=6457

XS4ALL, Ex-Demon klant.

Iemand enig idee hoe je dit kunt oplossen?
28-07-2008, 16:31 door Anoniem
80.65.96.40 (ns1.introweb.nl) appears to have GREAT source
port randomness and GREAT transaction ID randomness.
28-07-2008, 16:34 door Anoniem
80.65.96.40 (ns1.introweb.nl) appears to have GREAT source
port randomness and GREAT transaction ID randomness.
28-07-2008, 17:16 door Anoniem
1. Mail je provider
2. Gebruik (voorlopig) de server van OpenDNS
28-07-2008, 18:05 door Anoniem
Door Anoniem
Door Anoniem
Door Gutsy Gibbon
Your name server at 213.75.76.79, may be safe, but the
NAT/Firewall in front of it appears to be interfering with
its port selection policy. The difference between largest
port and smallest port was only 24.

(KPN adsl-direct), in mijn Thomson modem staat
Primary DNS 195.121.1.34
Secondary DNS 195.121.1.66

De test van DNS-oarc test ook je thuis IP, dus in dit geval
luistert ook je modem/router naar DNS op de buitenzijde.

Dit is ook iets wat voorspelt is, tijd om ook dus home
gateways te gaan patchen, als er patches zijn.
Wat je zegt is niet correct, hij test de NAT/Firewall voor
de DNS server en dat is
dus niet je modem thuis, sterker nog deze heeft niet een een
eigen dns server!

Als ik bij mijn eigen servers, de een achter DSL en de ander
in het rack, deze test doe, dan testen zowel oarc als Dan
Kaminsky zijn test het source IP van de queries.
Aangezien dit dus bij beide de server zelfs, worden deze ook
getest.

Op het moment dat je router (al dan niet ingebouwd in het
modem) dit doet, dan wordt je thuis lijn getest.
Als dat niet de source is, dan proberen ze de nameservers
voor je provider te achterhalen en testen ze die.

De OARC test doet dit standaard.
29-07-2008, 03:13 door Anoniem
UPC:

Your ISP's name server, 62.179.104.208, has other
protections above and beyond port randomization against the
recently discovered DNS flaws. There is no reason to be
concerned about the results seen below.Requests seen for
9c435868b724.doxdns5.com:
62.179.104.208:11970 TXID=35596
62.179.104.208:63696 TXID=19338
62.179.104.208:5861 TXID=62259
62.179.104.208:35813 TXID=55903
62.179.104.208:49159 TXID=13217
ISNOM:ISNOM TXID=ISNOM
29-07-2008, 11:04 door R.Beltman
Ziggo (@Home):
Your name server, at 213.51.144.175, appears to be safe

213.51.144.168 (dns1.tilbu1.nb.home.nl) appears to have GREAT source port
randomness and GREAT transaction ID randomness.
213.51.129.171 (dns4.zwoll1.ov.home.nl) appears to have GREAT source port
randomness and GREAT transaction ID randomness.
29-07-2008, 13:24 door Anoniem
Door Anoniem
Door Anoniem
Door Anoniem
Door Gutsy Gibbon
Your name server at 213.75.76.79, may be safe, but the
NAT/Firewall in front of it appears to be interfering with
its port selection policy. The difference between largest
port and smallest port was only 24.

(KPN adsl-direct), in mijn Thomson modem staat
Primary DNS 195.121.1.34
Secondary DNS 195.121.1.66

De test van DNS-oarc test ook je thuis IP, dus in dit geval
luistert ook je modem/router naar DNS op de buitenzijde.

Dit is ook iets wat voorspelt is, tijd om ook dus home
gateways te gaan patchen, als er patches zijn.
Wat je zegt is niet correct, hij test de NAT/Firewall voor
de DNS server en dat is
dus niet je modem thuis, sterker nog deze heeft niet een een
eigen dns server!

Als ik bij mijn eigen servers, de een achter DSL en de ander
in het rack, deze test doe, dan testen zowel oarc als Dan
Kaminsky zijn test het source IP van de queries.
Aangezien dit dus bij beide de server zelfs, worden deze ook
getest.

Op het moment dat je router (al dan niet ingebouwd in het
modem) dit doet, dan wordt je thuis lijn getest.
Als dat niet de source is, dan proberen ze de nameservers
voor je provider te achterhalen en testen ze die.

De OARC test doet dit standaard.
Dan zal je toch een dns server op je eigen netwerk draaien, bij mij is het bij
beide test de het ip van de provider
01-08-2008, 19:47 door Anoniem
TELE2/(voormalig)VERSATEL
----------------------------------------------
Your name server, at 62.58.50.5, appears to be safe, but
make sure the ports listed below aren't following an obvious
pattern (:1001, :1002, :1003, or :30000, :30020,
:30100...).Requests seen for 457748f7f358.doxdns5.com:
62.58.50.5:19166 TXID=65435
62.58.50.5:11255 TXID=20338
62.58.50.5:58527 TXID=60580
62.58.50.5:59073 TXID=1776
62.58.50.5:40660 TXID=44716
----------------------------------------------
62.58.50.5 (dnscache1.versatel.nl) appears to have GREAT
source port randomness and GREAT transaction ID randomness.
04-08-2008, 12:22 door Anoniem
Ziggo is al enige tijd gepatcht. Die "wakkere lezer update"
kan dus weg.
"83.80.1.169 is GREAT: 26 queries in 4.2 seconds from 26
ports with std dev 16695"

- Not a Ziggo spokesperson
07-09-2008, 19:53 door Anoniem
Your name server, at 83.80.1.169, appears to be safe, but make sure the ports listed below aren't following an obvious pattern (:1001, :1002, :1003, or :30000, :30020, :30100...).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.