A lo largo de distintos artículos os he ido comentando que no me considero ningún experto en el ámbito de la administración de sistemas, pero está visto que la gente aburrida desea que poco a poco vaya aprendiendo a base de ataques :).

Os he explicado ya cómo solucionar un bug del plugin JCE Editor de la plataforma Joomla, mediante el cual se podía acceder al servidor y ejecutar cualquier script que quisiéramos. En mi caso concreto, dicho script se encargaba de intentar enviar emails desde el servicio qmail saturando así la cola y generando tantos ficheros que finalmente el disco duro se saturaba completando el 100% de los inodos disponibles.

Pues bien, ayer se dedicaron a utilizar una pequeña puerta trasera en el servicio named del servidor (encargado de gestionar las DNS), de forma que, enviaban más de 500 peticiones por segundo llegando a saturar dicho proceso, hasta que finalmente era imposible acceder al servidor mediante cualquier dominio que estuviera asociado a él (tan solo se podía acceder mediante IP, es decir, todos los dominios alojados en dicho servidor, eran inaccesibles )

El error que recibí fue el siguiente:

Por motivos de seguridad he cambiado la ip en el ejemplo, donde pone 11.111.11.11 realmente es la ip de mi servidor :).

Esto es un pequeño extracto de todo el syslog que generaba, como veréis a simple vista todas estas líneas se cargaban en el mismo segundo.

Para solucionar esto, accedí al archivo de configuración /etc/bind/named.conf  (otros tendréis este fichero en /etc/named.conf o en cualquier otro directorio, para ello ejecutad locate named.conf )

Dentro de él, en el apartado options global, añadí las siguientes líneas:

De forma que el fichero named.conf quedó así:

Reinicié el proceso mediante /etc/init.d/named restart y listo.

Hasta el momento no he tenido más problemas, espero que os sirva 🙂