Vreemd verhaal, ik weet dat het geen echte portscan is, maar daar doet het me het meeste aan denken. Omdat ik ook niet exact weet wat het wel is of hoe het heet, heeft Googlen ook niet veel opgeleverd nog.
Dit is het geval; ik was bezig met het aanpassen van een spamassassin configuratie. Dit had met de DNS te maken en ik heb daarom van mijn eigen bind9 server de logging naar full aangepast.
En opeens zie ik in het query.log achter elkaar deze meldingen komen;
Paar honderd van dit soort. Allemaal voor domeinen die ik inderdaad heb en de primaire DNS voor ben. En allemaal voor entries die niet bestaan. En eigenlijk allemaal variaties op blog.domein.org
Als ik whois doe op de binnenkomende IP's zijn ze van Google of van Cloudfare. Ik ga er niet vanuit dat Google of Cloudfare mijn hobbyserver aan het aanvallen of portscannen, maar wellicht dat iemand een clouddienst van ze afneemt om dit te doen.
Ik heb geen idee wat dit geweest is, het is rond zeven uur begonne en de laatste entry is van klein kwartier geleden.
Heeft iemand een idee wat dit was?
Dit is het geval; ik was bezig met het aanpassen van een spamassassin configuratie. Dit had met de DNS te maken en ik heb daarom van mijn eigen bind9 server de logging naar full aangepast.
En opeens zie ik in het query.log achter elkaar deze meldingen komen;
03-Jun-2019 20:00:15.016 client @0x7effac10fd30 158.69.58.43#27789 (blog.hetindividu.org): query (cache) 'blog.hetindividu.org/AAAA/IN' denied 03-Jun-2019 20:00:15.131 client @0x7effac10fd30 158.69.58.43#17077 (blog.hetindividu.org): query (cache) 'blog.hetindividu.org/AAAA/IN' denied 03-Jun-2019 20:00:30.444 client @0x7effac10fd30 158.69.58.36#11276 (blog.hetindividu.org): query (cache) 'blog.hetindividu.org/A/IN' denied 03-Jun-2019 20:05:24.031 client @0x7effac1015a0 173.194.170.4#64695 (blog.hetindividu.org): query (cache) 'blog.hetindividu.org/AAAA/IN' denied 03-Jun-2019 20:05:24.035 client @0x7effac1015a0 172.217.41.14#47739 (blog.hetindividu.org): query (cache) 'blog.hetindividu.org/A/IN' denied 03-Jun-2019 20:05:24.049 client @0x7effac1015a0 173.194.170.107#65211 (blog.hetindividu.org): query (cache) 'blog.hetindividu.org/AAAA/IN' denied 03-Jun-2019 20:14:22.556 client @0x7effac11e4c0 172.217.47.5#38309 (eenindividu.org): query (cache) 'eenindividu.org/NS/IN' denied 03-Jun-2019 20:14:22.566 client @0x7effac11e4c0 74.125.190.143#43890 (eenindividu.org): query (cache) 'eenindividu.org/SOA/IN' denied 03-Jun-2019 20:14:22.874 client @0x7effac11e4c0 172.217.32.131#55813 (eenindividu.org): query (cache) 'eenindividu.org/NS/IN' denied 03-Jun-2019 20:14:22.882 client @0x7effac11e4c0 172.217.32.140#57245 (eenindividu.org): query (cache) 'eenindividu.org/SOA/IN' denied
Paar honderd van dit soort. Allemaal voor domeinen die ik inderdaad heb en de primaire DNS voor ben. En allemaal voor entries die niet bestaan. En eigenlijk allemaal variaties op blog.domein.org
Als ik whois doe op de binnenkomende IP's zijn ze van Google of van Cloudfare. Ik ga er niet vanuit dat Google of Cloudfare mijn hobbyserver aan het aanvallen of portscannen, maar wellicht dat iemand een clouddienst van ze afneemt om dit te doen.
Ik heb geen idee wat dit geweest is, het is rond zeven uur begonne en de laatste entry is van klein kwartier geleden.
Heeft iemand een idee wat dit was?
Code, justify, code - Pitr Dubovich
/u/38159/DirkJan.png?f=community)
:strip_icc():strip_exif()/u/55250/crop5bfe6e8b5ddb6_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/146731/crop562615a0aa64c.jpeg?f=community)