Schon seit Monaten nerven mich die immer wieder kehrenden Angriffe auf meinen bind9-Server. Dummerweise passiert es dabei auch schon mal, dass mein Server dabei abstürzt und ich ihn dann von Weitem neu-starten muss. Schon Anfang Mai habe ich deshalb meinen Firewall-Script erweitert und sperrte dann operativ alle die IP-Adressen, die mit „IN ANY +ED“ – Einträgen im syslog auffielen. Scheinbar ist es dann aber manchmal schon zu spät und meine Server erholt sich danach nicht wieder.
Heute Abend habe ich noch mal meine bind-Konfiguration durchgesehen und festgestellt, dass ich nicht ganz unschuldig bin. (-O Ich hatte irgendwann den „recursion„-Parameter auf yes gesetzt. Damals ging es um Spielereien mit dyndns-Zonen. :oops: :evil: – Als Erstes habe ich jetzt also diesen Konfiguration-Schalter ganz schnell wieder auf „no“ gestellt.
Außerdem habe ich auch etwas gegoogelt und wurde diesmal bei How To Configure fündig. Dort habe ich eine zusätzliche Firewall-Rule gefunden, die ich nun sicherheitshalber auch noch aktiviert habe.
Übrigens hatte mein (bisheriger) Script im Laufe des heutigen Tages 82 IP-Adressen gesperrt. Ach ja, – und als das Problem vor ein paar Monaten bei mir das erste Mal auftauchte, wurde noch nach der Domain „ripe.net“ gefragt.

314
315
316
317
...
May  8 17:07:49 host named[3383]: client 91.205.41.175#53: query: ripe.net IN ANY +ED
May  8 17:07:50 host named[3383]: client 91.205.41.175#53: query: ripe.net IN ANY +ED
...

Nachtrag: Beim OpenNicProject fand ich auch noch einen anderen Script, aber erst mal warte ich ab, ob meine Änderungen reichen.