Van diverse kanten bereiken ons berichten dat er op grote schaal misbruik wordt gemaakt van een gat in de nameserver software BIND voor versie 8.2.2-P3. Het lijkt er op dat er voornamelijk Linux (RedHat 6.1) machines worden aangevallen. Er wordt een standaard exploit gebruikt die een aantal binaries vervangt:
du, in.fingerd, in.rshd, popd, login, named, netstat, ps, rlogin, mountd, smbd, top en sshd. De daders lijken uit Nederland afkomstig te zijn. Wij raden iedereen aan om: de laatste versie van BIND, 8.2.2-P5 te installeren. Verder is het aan te raden BIND niet met root privileges te draaien en indien mogelijk in een zogenaamd chrooted environment te isoleren. Zie voor OS specifieke info CERT® Advisory CA-99-14 Multiple Vulnerabilities in BIND.
Een rpm van Bind 8.2.2-P5 voor RedHat Linux is hier te vinden.
Er is een kans dat de daders bezig zijn om een netwerk van DDoS clients te creeren.
Schroom niet om aangifte bij de politie te doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.