Microsoft vs Malware & NOIP. Los daños colaterales, y su forma de hacer la guerra. (SOLVED?)

Microsoft vs Malware

Hace unos pocos días, saltó la noticia de que, Microsoft, había conseguido de la Corte de Distrito de EE.UU. para Nevada, contra No-IP, el control de los dominios que tenía contratados.

Ésta, estaba motivada porque “Según Microsoft, que los 22 dominios de los que se ha apoderado, correspondientes a No-IP, estaban siendo utilizados para llevar a cabo ataques informáticos, así como distribución de malware, en contra de los usuarios de Windows. Por ello, o al menos así lo justifica la compañía de Redmond, han emitido una orden federal contra No-IP consiguiendo así el control de sus servidores. Todo ello, en base a las declaraciones de No-IP, para identificar y desviar estos ataques informáticos.”

Fuente:
http://www.redeszone.net/2014/07/01/millones-de-usuarios-incapaces-de-conectarse-sus-servidores-ip/

Y yo utilizo NOIP. Tengo dominios, y subdominios, para poder comunicarme con los equipos de amigos/familia/y lo que surja.

History.

Desde hacía unas horas, veía como no podíamos ver series online (casi lo agradezco) desde la smartv, todo iba lento, mi voip no era alcanzable desde el exterior. Hasta para España, con su servicio de internet agónico, era demasiado. Y mis nenas, no pueden entrar a nada, en internet, sin esperar demasiado. Ni mi pareja al Face. Demasiada presión.

Aprovechando su salida a la piscina, me pongo al tema. Conecto al servidor que tengo interpuesto entre internet y la red local, y lanzo una serie de pruebas.

Primero un ifstat -i br0 (cuando me mosqueo, ésto lo primero), y me veo esto:

br0

KB/s in KB/s out

1.18 32.91
3.27 72.59
1.26 26.47
2.10 60.22
2.00 57.71
3.78 105.61
4.19 96.97
1.73 33.58
2.42 39.04
6.21 166.58
6.71 170.62
4.53 116.18
1.55 29.31
5.14 57.07
11.79 108.09
7.98 57.27

¿Que está pasando?

Tengo postfix&dovecot, un apache, asterisk, todo para test .. nada consume eso de subida de forma tan irregular, y regular a la vez.

Reviso todos los dispositivos de la red (el router, 1 sobremesa, 2 raspberry, el dreamplug, las conexiones wifi al router, la tele, la cam de seguridad.. Y menos mal que no estaban en casa toda la cuadrilla

Y nada.. iptraf -s no me muestra nada concreto.

Vamos a probar a matar procesos.

killall postfix, dovecot, samba, apache2….

Nada de nada, esto sigue subiendo Kb como le fuera la vida en ello. Espera. Sólo estoy monitorizando el tráfico TCP.

¿Que tengo corriendo en UDP?

Bind9 y asterisk.

Bingo.

Mato named y la cosa queda así.

br0

KB/s in KB/s out

2.14 0.48
5.38 0.28
6.37 0.41
2.95 0.17
3.02 6.38
7.64 0.17
6.13 0.13
0.98 0.17
3.51 0.30
8.36 6.54
6.31 2.59
1.19 3.06

Lo veo, y no lo creo. No tengo otros servidores, ninguno, de respaldo DNS, y mis fowarders son google.

Bind, es de las aplicaciones que menos consumen ancho de banda. Primero, porque crea su propia cache (si así lo configuras), y el tamaño del paquete es ínfimo. Prueba-prueba-prueba… Con named arrancado, esto se vá.

Vamos a ver.. como.. ah! Si!

tcpdump!!!

Caña:

tcpdump -vvv -s 0 -l -n port 53 | grep “192.168.1.254”| grep -v “192.168.1.10” | grep -v “8.8.8.8” | grep -v “8.8.4.4”

Tengo DMZ contra el dreamplug (un aparatito genial),  y en él meto el comando

31.170.163.77.40908 > 192.168.1.254.53: [udp sum ok] 52623+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)  ¿¿¿CENSUS.GOV???

A depurar…

tcpdump -vvv -s 0 -l -n port 53 | grep “192.168.1.254”| grep -v “192.168.1.10” | grep -v “8.8.8.8” | grep -v “8.8.4.4” | grep “census.gov.” > /var/www/noip.txt

dónde 254 es el router, y 10 es mi equipo.

Voila!!

31.170.163.77.40908 > 192.168.1.254.53: [udp sum ok] 52623+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.40908 > 192.168.1.254.53: [udp sum ok] 52623+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.40908 > 192.168.1.254.53: [udp sum ok] 52623+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.40908 > 192.168.1.254.53: [udp sum ok] 52623+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.40908 > 192.168.1.254.53: [udp sum ok] 52623+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.40908 > 192.168.1.254.53: [udp sum ok] 52623+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.40908 > 192.168.1.254.53: [udp sum ok] 52623+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.40908 > 192.168.1.254.53: [udp sum ok] 52623+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.40908 > 192.168.1.254.53: [udp sum ok] 52623+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.40908 > 192.168.1.254.53: [udp sum ok] 52623+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.40908 > 192.168.1.254.53: [udp sum ok] 52623+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.40678 > 192.168.1.254.53: [udp sum ok] 45270+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.40678 > 192.168.1.254.53: [udp sum ok] 45270+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

…………………………………………..

Vamos, que tendré que ver yo, con census.gov.

…………………………………………..

24.149.20.254.55280 > 192.168.1.254.53: [udp sum ok] 20385+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

24.149.20.254.55280 > 192.168.1.254.53: [udp sum ok] 20385+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

24.149.20.254.55280 > 192.168.1.254.53: [udp sum ok] 20385+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.27042 > 192.168.1.254.53: [udp sum ok] 22498+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.27042 > 192.168.1.254.53: [udp sum ok] 22498+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

31.170.163.77.27042 > 192.168.1.254.53: [udp sum ok] 22498+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

144.76.163.102.63353 > 192.168.1.254.53: [udp sum ok] 4796+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

144.76.163.102.63353 > 192.168.1.254.53: [udp sum ok] 4796+ [1au] ANY? census.gov. ar: . OPT UDPsize=9000 (39)

Hasta el infiníto y más allá …………

Conclusiones:

La forma de actuar de MS, ha sido como poco desleal. Aquél que tiene activada una cuenta de noip2 en el router, o tiene instalado el sw en sus equipos, le llegan paquetes de forzado de actualización de named, si estás en la zona de sytes.net (o alguna de las secuestradas), desde, al menos, 15 rangos de IP distribuidos globalmente, con lo que se satura completamente el tráfico de red de subida (y por lo tanto no hay sitio para la corrección de tcp y las descargas se hacen imposibles). Con esto quieren impedir que “los malos” puedan utilizar sus subdominios, pero podría impulsar/motivar la desinstalación de ese software, y las bajas masivas de los usuarios.

En resumen:
Asumiendo que Microsoft tiene problemas, sus usuarios, y que su política de siempre es la de echar balones fuera, mi posición al publicar ésto, es la siguiente:

  • Para los puristas, no aporto todos los análisis, puesto que el objeto de la publicación, es que no paguen justos por pecadores. 
  • Si de esto se aprovechan los malos, se siente. A mi no me han avisado de lo que iban a hacer, desmontando parte de mi infraestructura. Con lo cual, he sido perjudicado de una política de invasión, de ataques DDNS, y de secuestro de subdominio, sin aviso ni notificación.
  • Han atacado directamente a mi conexión a internet. Considero todo ello, una invasión e intrusión, en mi actividad en la red, y la de mi entorno.
  • Impiden mis comunicaciones, puesto que mi proveedor de internet, me dá también telefonía a través de su VoIP, que con su flood quedan anulados. Ponen en riesgo a mi familia, impidiendo que me pueda comunicar con las Fuerzas y Cuerpos de Seguridad del Estado Español, o con los servicios de emergencia, llegado el caso.
  • Han hecho flood, y siguen haciéndolo, sobre mi conexión a internet, de forma indiscriminada, contratada de forma completamente legal, y de lícito uso. Cada paso que den, será seguido y parcheado. Aún más. Si actualizan sus orígenes de ataques, además de logueados, serán publicadas las formas de subsanarse, de lo que de mi dependa. Mi hora de trabajo, tiene un coste 100 Euros. Y son alrededor de 20 las que llevo empleadas en defenderme de ellos. Calculo unos daños/trabajo de 2.000$. Y sigue subiendo la minuta.

Y por ello a quien quiera, y pueda, les insto a aplicar las siguientes reglas iptables (la mayoría de usuarios NOIP, somos linuxeros)

# ddns

export iptables=”/sbin/iptables”

 

$iptables -A INPUT -p udp -s 144.76.0.0/16 -j DROP

$iptables -A OUTPUT -p udp -d 144.76.0.0/16 -j DROP

$iptables -A INPUT -p udp -s 95.154.192.0/18 -j DROP

$iptables -A OUTPUT -p udp -d 95.154.192.0/18 -j DROP

$iptables -A INPUT -p udp -s 46.4.0.0/16 -j DROP

$iptables -A OUTPUT -p udp -d 46.4.0.0/16 -j DROP

$iptables -A INPUT -p udp -s 162.158.0.0/15 -j DROP

$iptables -A OUTPUT -p udp -d 162.158.0.0/15 -j DROP

$iptables -A INPUT -p udp -s 166.82.79.0/24 -j DROP

$iptables -A OUTPUT -p udp -d 166.82.79.0/24 -j DROP

$iptables -A INPUT -p udp -s 92.44.128.0/21 -j DROP

$iptables -A OUTPUT -p udp -d 92.44.128.0/21 -j DROP

$iptables -A INPUT -p udp -s 86.0.0.0/11 -j DROP

$iptables -A OUTPUT -p udp -d 86.0.0.0/11 -j DROP

$iptables -A INPUT -p udp -s 85.13.128.0/19 -j DROP

$iptables -A OUTPUT -p udp -d 85.13.128.0/19 -j DROP

$iptables -A INPUT -p udp -s 213.246.32.0/19 -j DROP

$iptables -A OUTPUT -p udp -d 213.246.32.0/19 -j DROP

$iptables -A INPUT -p udp -s 108.61.30.224/27 -j DROP

$iptables -A OUTPUT -p udp -d 108.61.30.224/27 -j DROP

$iptables -A INPUT -p udp -s 91.231.120.0/22 -j DROP

$iptables -A OUTPUT -p udp -d 91.231.120.0/22 -j DROP

$iptables -A INPUT -p udp -s 31.170.160.0/22 -j DROP

$iptables -A OUTPUT -p udp -d 31.170.160.0/22 -j DROP

$iptables -A INPUT -p udp -s 195.154.0.0/16 -j DROP

$iptables -A OUTPUT -p udp -d 195.154.0.0/16 -j DROP

$iptables -A INPUT -p udp -s 120.144.0.0/13 -j DROP

$iptables -A OUTPUT -p udp -d 120.144.0.0/13 -j DROP

$iptables -A INPUT -p udp -s 72.224.0.0/16 -j DROP

$iptables -A OUTPUT -p udp -d 72.224.0.0/16 -j DROP

$iptables -A INPUT -p udp -s 5.175.135.0/24 -j DROP

$iptables -A OUTPUT -p udp -d 5.175.135.0/24 -j DROP

$iptables -A INPUT -p udp -s 198.27.64.0/18 -j DROP

$iptables -A OUTPUT -p udp -d 198.27.64.0/18 -j DROP

$iptables -A INPUT -p udp -s 12.108.104.137 -j DROP

$iptables -A OUTPUT -p udp -d 12.108.104.137 -j DROP

$iptables -A INPUT -p udp -s 99.0.0.0/9 -j DROP

$iptables -A OUTPUT -p udp -d 99.0.0.0/9 -j DROP

$iptables -A INPUT -p udp -s 89.248.172.0/23 -j DROP

$iptables -A OUTPUT -p udp -d 89.248.172.0/23 -j DROP

$iptables -A INPUT -p udp -s 211.28.0.0/24 -j DROP

$iptables -A OUTPUT -p udp -d 211.28.0.0/24 -j DROP

$iptables -A INPUT -p udp -s 54.200.28.37 -j DROP

$iptables -A OUTPUT -p udp -d 54.200.28.37 -j DROP

$iptables -A INPUT -p udp -s 80.72.33.0/24 -j DROP

$iptables -A OUTPUT -p udp -d 80.72.33.0/24 -j DROP

$iptables -A INPUT -p udp -s 179.146.150.164 -j DROP

$iptables -A OUTPUT -p udp -d 179.146.150.164 -j DROP

$iptables -A INPUT -p udp -s 24.149.0.0/19 -j DROP

$iptables -A OUTPUT -p udp -d 24.149.0.0/19 -j DROP

$iptables -A INPUT -p udp -s 31.42.112.0/20 -j DROP

$iptables -A OUTPUT -p udp -d 31.42.112.0/20 -j DROP

##

PD: Quien utilice NOIP bajo el sistema operativo de MS, que se apañe.

 

Comentario: Puede ser que no todas las ip participen en el ataque, pero con las que expongo, el tráfico udp desde/hacia mi servidor DNS, y cliente NOIP, está normalizado. Se irá actualizando.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *