Logging on a Bind server

classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

Logging on a Bind server

Senthan.Sivasundaram

Dear BIND-Users,

We use in our environment a BIND Server. It works properly.
One Day it came an alert from Cybereason (Antivirus-Software), that our Bind server tried to Connect to a suspicious domain "ns2.honeybot.us".
But I couldn’t find the log,  which domain the BIND server was searching for, so that the BIND server has to connect to "ns2.honeybot.us". I can see the Queries log, which domain the Clients were querying but I couldn’t find out why our Bind Server tried to connect the name server "ns2.honeybot.us".

Does someone has an idea, which log I have to activate.

Thank you for your help in advance.

Best Regards
Senthan

--

Schwyzer Kantonalbank

Senthan Sivasundaram

IT Systems

Postfach 263

6431 Schwyz

 

Tel. +41 (0)58 800 29 88

Fax +41 (0)58 800 20 21

[hidden email]

www.szkb.ch

 

http://www.szkb.ch/files/png1/facebook.png  http://www.szkb.ch/files/png1/xing.png  http://www.szkb.ch/files/png1/youtube.png  

 


Gut beraten, Schwyzer Art. - SZKB-Newsletter abonnieren


Aufgrund der bisherigen E-Mail-Korrespondenz bzw. getroffener Absprachen, erachtet sich die SZKB als berechtigt, mit Ihnen per E-Mail zu kommunizieren. Die SZKB geht davon aus, dass Sie die Risiken von E-Mails kennen und in Kauf nehmen. So sind namentlich gewöhnliche, unverschlüsselte, E-Mails, die über das Internet gesendet werden, weder vertraulich noch sicher. Es besteht die Gefahr von Manipulation oder Missbrauch durch Dritte, Fehlleitung, verzögerte Übermittlung oder Bearbeitung, Anhang von Viren, Malware usw. Die SZKB lehnt jede Haftung für Schäden im Zusammenhang mit der Verwendung von E-Mails ab, sofern sie die geschäftsübliche Sorgfalt nicht verletzt hat.

E-Mails werden nur während den üblichen Geschäftszeiten der SZKB bearbeitet. Sie können nicht von der sofortigen Kenntnisnahme Ihrer E-Mail ausgehen. Die SZKB ist grundsätzlich nicht verpflichtet, Aufträge oder Anweisungen, die per E-Mail erteilt werden, auszuführen, ausser dies wurde ausdrücklich vereinbart. Falls Sie diese E-Mail irrtümlich erhalten haben, ersuchen wir Sie, die E-Mail an den Absender zurückzusenden und die Nachricht mit allen Anhängen von ihrem System zu löschen.


  Bitte denken Sie an die Umwelt - drucken Sie diese E-Mail nicht aus und
        sparen Sie pro Seite 100 ml Wasser, 7 g CO2 und 11 g Holz.


Gut beraten, Schwyzer Art. - SZKB-Newsletter abonnieren


Aufgrund der bisherigen E-Mail-Korrespondenz bzw. getroffener Absprachen, erachtet sich die SZKB als berechtigt, mit Ihnen per E-Mail zu kommunizieren. Die SZKB geht davon aus, dass Sie die Risiken von E-Mails kennen und in Kauf nehmen. So sind namentlich gewöhnliche, unverschlüsselte, E-Mails, die über das Internet gesendet werden, weder vertraulich noch sicher. Es besteht die Gefahr von Manipulation oder Missbrauch durch Dritte, Fehlleitung, verzögerte Übermittlung oder Bearbeitung, Anhang von Viren, Malware usw. Die SZKB lehnt jede Haftung für Schäden im Zusammenhang mit der Verwendung von E-Mails ab, sofern sie die geschäftsübliche Sorgfalt nicht verletzt hat.

E-Mails werden nur während den üblichen Geschäftszeiten der SZKB bearbeitet. Sie können nicht von der sofortigen Kenntnisnahme Ihrer E-Mail ausgehen. Die SZKB ist grundsätzlich nicht verpflichtet, Aufträge oder Anweisungen, die per E-Mail erteilt werden, auszuführen, ausser dies wurde ausdrücklich vereinbart. Falls Sie diese E-Mail irrtümlich erhalten haben, ersuchen wir Sie, die E-Mail an den Absender zurückzusenden und die Nachricht mit allen Anhängen von ihrem System zu löschen.


_______________________________________________
Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list

ISC funds the development of this software with paid support subscriptions. Contact us at https://www.isc.org/contact/ for more information.


bind-users mailing list
[hidden email]
https://lists.isc.org/mailman/listinfo/bind-users

smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Logging on a Bind server

Kevin Darcy
[ Classification Level: GENERAL BUSINESS ]

According to securitytrails.com (for instance), there are over 3,000 domains hosted on ns2.honeybot.us (securitytrails only shows the first few domains hosted -- to see more, one presumably needs a subscription to their service).

If one of your clients looked up a name in one of those 3,000+ domains, your BIND instance will potentially reach out to that nameserver to resolve the name.

As far as BIND logging, I don't know the best way to track this, offhand, short of cranking up debug to ridiculous levels, and wading through the verbose output. This might take significant resources (storage, CPU, etc.)

It might be easier to run a packet capture, looking for something sent to the specific IP associated with ns2.honeybot.us. Or, if you have a robust Intrusion Prevention/Detection System (IPS or IDS), maybe configure an "alert" rule for that destination IP. For either option, it might also be interesting to see the response from ns2.honeybot.us, to check for shenanigans.

If you just want to mitigate any danger, and are willing to deal with any fallout, you could just block the IP, on your firewall or IPS or with BIND's "blackhole" feature.

                                                          - Kevin

On Tue, Oct 20, 2020 at 10:17 AM <[hidden email]> wrote:

Dear BIND-Users,

We use in our environment a BIND Server. It works properly.
One Day it came an alert from Cybereason (Antivirus-Software), that our Bind server tried to Connect to a suspicious domain "ns2.honeybot.us".
But I couldn’t find the log,  which domain the BIND server was searching for, so that the BIND server has to connect to "ns2.honeybot.us". I can see the Queries log, which domain the Clients were querying but I couldn’t find out why our Bind Server tried to connect the name server "ns2.honeybot.us".

Does someone has an idea, which log I have to activate.

Thank you for your help in advance.

Best Regards
Senthan

--

Schwyzer Kantonalbank

Senthan Sivasundaram

IT Systems

Postfach 263

6431 Schwyz

 

Tel. +41 (0)58 800 29 88

Fax +41 (0)58 800 20 21

[hidden email]

www.szkb.ch

 

http://www.szkb.ch/files/png1/facebook.png  http://www.szkb.ch/files/png1/xing.png  http://www.szkb.ch/files/png1/youtube.png  

 


Gut beraten, Schwyzer Art. - SZKB-Newsletter abonnieren


Aufgrund der bisherigen E-Mail-Korrespondenz bzw. getroffener Absprachen, erachtet sich die SZKB als berechtigt, mit Ihnen per E-Mail zu kommunizieren. Die SZKB geht davon aus, dass Sie die Risiken von E-Mails kennen und in Kauf nehmen. So sind namentlich gewöhnliche, unverschlüsselte, E-Mails, die über das Internet gesendet werden, weder vertraulich noch sicher. Es besteht die Gefahr von Manipulation oder Missbrauch durch Dritte, Fehlleitung, verzögerte Übermittlung oder Bearbeitung, Anhang von Viren, Malware usw. Die SZKB lehnt jede Haftung für Schäden im Zusammenhang mit der Verwendung von E-Mails ab, sofern sie die geschäftsübliche Sorgfalt nicht verletzt hat.

E-Mails werden nur während den üblichen Geschäftszeiten der SZKB bearbeitet. Sie können nicht von der sofortigen Kenntnisnahme Ihrer E-Mail ausgehen. Die SZKB ist grundsätzlich nicht verpflichtet, Aufträge oder Anweisungen, die per E-Mail erteilt werden, auszuführen, ausser dies wurde ausdrücklich vereinbart. Falls Sie diese E-Mail irrtümlich erhalten haben, ersuchen wir Sie, die E-Mail an den Absender zurückzusenden und die Nachricht mit allen Anhängen von ihrem System zu löschen.


  Bitte denken Sie an die Umwelt - drucken Sie diese E-Mail nicht aus und
        sparen Sie pro Seite 100 ml Wasser, 7 g CO2 und 11 g Holz.


Gut beraten, Schwyzer Art. - SZKB-Newsletter abonnieren


Aufgrund der bisherigen E-Mail-Korrespondenz bzw. getroffener Absprachen, erachtet sich die SZKB als berechtigt, mit Ihnen per E-Mail zu kommunizieren. Die SZKB geht davon aus, dass Sie die Risiken von E-Mails kennen und in Kauf nehmen. So sind namentlich gewöhnliche, unverschlüsselte, E-Mails, die über das Internet gesendet werden, weder vertraulich noch sicher. Es besteht die Gefahr von Manipulation oder Missbrauch durch Dritte, Fehlleitung, verzögerte Übermittlung oder Bearbeitung, Anhang von Viren, Malware usw. Die SZKB lehnt jede Haftung für Schäden im Zusammenhang mit der Verwendung von E-Mails ab, sofern sie die geschäftsübliche Sorgfalt nicht verletzt hat.

E-Mails werden nur während den üblichen Geschäftszeiten der SZKB bearbeitet. Sie können nicht von der sofortigen Kenntnisnahme Ihrer E-Mail ausgehen. Die SZKB ist grundsätzlich nicht verpflichtet, Aufträge oder Anweisungen, die per E-Mail erteilt werden, auszuführen, ausser dies wurde ausdrücklich vereinbart. Falls Sie diese E-Mail irrtümlich erhalten haben, ersuchen wir Sie, die E-Mail an den Absender zurückzusenden und die Nachricht mit allen Anhängen von ihrem System zu löschen.

_______________________________________________
Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list

ISC funds the development of this software with paid support subscriptions. Contact us at https://www.isc.org/contact/ for more information.


bind-users mailing list
[hidden email]
https://lists.isc.org/mailman/listinfo/bind-users

_______________________________________________
Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list

ISC funds the development of this software with paid support subscriptions. Contact us at https://www.isc.org/contact/ for more information.


bind-users mailing list
[hidden email]
https://lists.isc.org/mailman/listinfo/bind-users
Reply | Threaded
Open this post in threaded view
|

Re: Logging on a Bind server

Rick Dicaire
In reply to this post by Senthan.Sivasundaram
On Tue, Oct 20, 2020 at 10:17 AM <[hidden email]> wrote:

Dear BIND-Users,

Does someone has an idea, which log I have to activate.


Do you have querylog enabled? 

_______________________________________________
Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list

ISC funds the development of this software with paid support subscriptions. Contact us at https://www.isc.org/contact/ for more information.


bind-users mailing list
[hidden email]
https://lists.isc.org/mailman/listinfo/bind-users
Reply | Threaded
Open this post in threaded view
|

Re: Logging on a Bind server

Borja Marcos


> On 20 Oct 2020, at 17:28, Rick Dicaire <[hidden email]> wrote:
>
> On Tue, Oct 20, 2020 at 10:17 AM <[hidden email]> wrote:
> Dear BIND-Users,
>
> Does someone has an idea, which log I have to activate.
>
>
> Do you have querylog enabled?

Querylog is not enough. It will tell you which clients are sending which queries, but not which queries
go to the Server Of Interest. It won’t log the queries the recursive server sends itself.

That’s a good use case for dnstap.

As a sort of desperate measure you can capture packets sent to the suspicious IP addresses (no need to
put the interface in promisc mode) and check which queries were sent to them.






Borja.

_______________________________________________
Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list

ISC funds the development of this software with paid support subscriptions. Contact us at https://www.isc.org/contact/ for more information.


bind-users mailing list
[hidden email]
https://lists.isc.org/mailman/listinfo/bind-users
Reply | Threaded
Open this post in threaded view
|

Re: Logging on a Bind server

Kevin Darcy
In reply to this post by Kevin Darcy
[ Classification Level: GENERAL BUSINESS ]

Sorry to follow up on my own post, but I feel I should add a caveat about blocking IPs -- the resolution of ns2.honeypot.us could *change* over time, so an IP-based block might not be effective in the long term, and in fact might cause more harm than good.

If you truly want to block any communication with ns2.honeypot.us by *name*, permanently, you'd probably have to go to the extreme of creating a zone for just that particular name, resolve it to 0.0.0.0, something of that nature.

In the larger picture, you might want to consider, instead, a dynamic, reputation-based RPZ feed. See https://dnsrpz.info/ for more.

                                                            - Kevin

On Tue, Oct 20, 2020 at 10:45 AM Kevin Darcy <[hidden email]> wrote:
[ Classification Level: GENERAL BUSINESS ]

According to securitytrails.com (for instance), there are over 3,000 domains hosted on ns2.honeybot.us (securitytrails only shows the first few domains hosted -- to see more, one presumably needs a subscription to their service).

If one of your clients looked up a name in one of those 3,000+ domains, your BIND instance will potentially reach out to that nameserver to resolve the name.

As far as BIND logging, I don't know the best way to track this, offhand, short of cranking up debug to ridiculous levels, and wading through the verbose output. This might take significant resources (storage, CPU, etc.)

It might be easier to run a packet capture, looking for something sent to the specific IP associated with ns2.honeybot.us. Or, if you have a robust Intrusion Prevention/Detection System (IPS or IDS), maybe configure an "alert" rule for that destination IP. For either option, it might also be interesting to see the response from ns2.honeybot.us, to check for shenanigans.

If you just want to mitigate any danger, and are willing to deal with any fallout, you could just block the IP, on your firewall or IPS or with BIND's "blackhole" feature.

                                                          - Kevin

On Tue, Oct 20, 2020 at 10:17 AM <[hidden email]> wrote:

Dear BIND-Users,

We use in our environment a BIND Server. It works properly.
One Day it came an alert from Cybereason (Antivirus-Software), that our Bind server tried to Connect to a suspicious domain "ns2.honeybot.us".
But I couldn’t find the log,  which domain the BIND server was searching for, so that the BIND server has to connect to "ns2.honeybot.us". I can see the Queries log, which domain the Clients were querying but I couldn’t find out why our Bind Server tried to connect the name server "ns2.honeybot.us".

Does someone has an idea, which log I have to activate.

Thank you for your help in advance.

Best Regards
Senthan

--

Schwyzer Kantonalbank

Senthan Sivasundaram

IT Systems

Postfach 263

6431 Schwyz

 

Tel. +41 (0)58 800 29 88

Fax +41 (0)58 800 20 21

[hidden email]

www.szkb.ch

 

http://www.szkb.ch/files/png1/facebook.png  http://www.szkb.ch/files/png1/xing.png  http://www.szkb.ch/files/png1/youtube.png  

 


Gut beraten, Schwyzer Art. - SZKB-Newsletter abonnieren


Aufgrund der bisherigen E-Mail-Korrespondenz bzw. getroffener Absprachen, erachtet sich die SZKB als berechtigt, mit Ihnen per E-Mail zu kommunizieren. Die SZKB geht davon aus, dass Sie die Risiken von E-Mails kennen und in Kauf nehmen. So sind namentlich gewöhnliche, unverschlüsselte, E-Mails, die über das Internet gesendet werden, weder vertraulich noch sicher. Es besteht die Gefahr von Manipulation oder Missbrauch durch Dritte, Fehlleitung, verzögerte Übermittlung oder Bearbeitung, Anhang von Viren, Malware usw. Die SZKB lehnt jede Haftung für Schäden im Zusammenhang mit der Verwendung von E-Mails ab, sofern sie die geschäftsübliche Sorgfalt nicht verletzt hat.

E-Mails werden nur während den üblichen Geschäftszeiten der SZKB bearbeitet. Sie können nicht von der sofortigen Kenntnisnahme Ihrer E-Mail ausgehen. Die SZKB ist grundsätzlich nicht verpflichtet, Aufträge oder Anweisungen, die per E-Mail erteilt werden, auszuführen, ausser dies wurde ausdrücklich vereinbart. Falls Sie diese E-Mail irrtümlich erhalten haben, ersuchen wir Sie, die E-Mail an den Absender zurückzusenden und die Nachricht mit allen Anhängen von ihrem System zu löschen.


  Bitte denken Sie an die Umwelt - drucken Sie diese E-Mail nicht aus und
        sparen Sie pro Seite 100 ml Wasser, 7 g CO2 und 11 g Holz.


Gut beraten, Schwyzer Art. - SZKB-Newsletter abonnieren


Aufgrund der bisherigen E-Mail-Korrespondenz bzw. getroffener Absprachen, erachtet sich die SZKB als berechtigt, mit Ihnen per E-Mail zu kommunizieren. Die SZKB geht davon aus, dass Sie die Risiken von E-Mails kennen und in Kauf nehmen. So sind namentlich gewöhnliche, unverschlüsselte, E-Mails, die über das Internet gesendet werden, weder vertraulich noch sicher. Es besteht die Gefahr von Manipulation oder Missbrauch durch Dritte, Fehlleitung, verzögerte Übermittlung oder Bearbeitung, Anhang von Viren, Malware usw. Die SZKB lehnt jede Haftung für Schäden im Zusammenhang mit der Verwendung von E-Mails ab, sofern sie die geschäftsübliche Sorgfalt nicht verletzt hat.

E-Mails werden nur während den üblichen Geschäftszeiten der SZKB bearbeitet. Sie können nicht von der sofortigen Kenntnisnahme Ihrer E-Mail ausgehen. Die SZKB ist grundsätzlich nicht verpflichtet, Aufträge oder Anweisungen, die per E-Mail erteilt werden, auszuführen, ausser dies wurde ausdrücklich vereinbart. Falls Sie diese E-Mail irrtümlich erhalten haben, ersuchen wir Sie, die E-Mail an den Absender zurückzusenden und die Nachricht mit allen Anhängen von ihrem System zu löschen.

_______________________________________________
Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list

ISC funds the development of this software with paid support subscriptions. Contact us at https://www.isc.org/contact/ for more information.


bind-users mailing list
[hidden email]
https://lists.isc.org/mailman/listinfo/bind-users

_______________________________________________
Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list

ISC funds the development of this software with paid support subscriptions. Contact us at https://www.isc.org/contact/ for more information.


bind-users mailing list
[hidden email]
https://lists.isc.org/mailman/listinfo/bind-users
Reply | Threaded
Open this post in threaded view
|

Re: Logging on a Bind server

Chuck Aurora
In reply to this post by Borja Marcos
On 2020-10-20 10:34, Borja Marcos wrote:
>> On 20 Oct 2020, at 17:28, Rick Dicaire <[hidden email]> wrote:
>>
>> On Tue, Oct 20, 2020 at 10:17 AM <[hidden email]> wrote:
>> Dear BIND-Users,
>>
>> Does someone has an idea, which log I have to activate.

While everything Borja says below, and what Kevin said in the other
subthread, is absolutely true, in this case I am not sure these are
the best answers. :)

I would suggest to the OP that you go to your software vendor and ask
exactly why you should be concerned about queries going to that
particular server.  Demand detailed information, which should be a
reasonable thing, given what your company is paying them.

In some cases, such vendors are frauds.  Note, I have no inside
information about Cybereason nor ns2.honeybot.us, so the warning could
very well be a valid concern.  But I wouldn't recommend going to all
this trouble without knowing details of why to worry.

And then rather than dnstap/logging, I'd probably follow Kevin's
advice about RPZ, if it turned out to be a valid concern.  I think if
your vendor is as good as you hope they are (and as they surely claim
to be) they would have information about setting up RPZ.


>> Do you have querylog enabled?
>
> Querylog is not enough. It will tell you which clients are sending
> which queries, but not which queries go to the Server Of Interest.
> It won’t log the queries the recursive server sends itself.
>
> That’s a good use case for dnstap.
>
> As a sort of desperate measure you can capture packets sent to the
> suspicious IP addresses (no need to put the interface in promisc
> mode) and check which queries were sent to them.
_______________________________________________
Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list

ISC funds the development of this software with paid support subscriptions. Contact us at https://www.isc.org/contact/ for more information.


bind-users mailing list
[hidden email]
https://lists.isc.org/mailman/listinfo/bind-users
Reply | Threaded
Open this post in threaded view
|

Re: Logging on a Bind server

Borja Marcos


> On 20 Oct 2020, at 18:02, Chuck Aurora <[hidden email]> wrote:
>
> On 2020-10-20 10:34, Borja Marcos wrote:
>>> On 20 Oct 2020, at 17:28, Rick Dicaire <[hidden email]> wrote:
>>> On Tue, Oct 20, 2020 at 10:17 AM <[hidden email]> wrote:
>>> Dear BIND-Users,
>>> Does someone has an idea, which log I have to activate.
>
> While everything Borja says below, and what Kevin said in the other
> subthread, is absolutely true, in this case I am not sure these are
> the best answers. :)
>
> I would suggest to the OP that you go to your software vendor and ask
> exactly why you should be concerned about queries going to that
> particular server.  Demand detailed information, which should be a
> reasonable thing, given what your company is paying them.

Of course :) Anyway, gaining the capability of tracing a DNS query so that you
know which clients started it can be extremely valuable.




Borja.


_______________________________________________
Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list

ISC funds the development of this software with paid support subscriptions. Contact us at https://www.isc.org/contact/ for more information.


bind-users mailing list
[hidden email]
https://lists.isc.org/mailman/listinfo/bind-users
Reply | Threaded
Open this post in threaded view
|

Re: Logging on a Bind server

Tony Finch
In reply to this post by Senthan.Sivasundaram
[hidden email] <[hidden email]> wrote:

> One Day it came an alert from Cybereason (Antivirus-Software), that our
> Bind server tried to Connect to a suspicious domain "ns2.honeybot.us".

> But I couldn't find the log, which domain the BIND server was searching
> for, so that the BIND server has to connect to "ns2.honeybot.us". I can
> see the Queries log, which domain the Clients were querying but I
> couldn't find out why our Bind Server tried to connect the name server
> "ns2.honeybot.us".

There are a few ways to get answers to questions like this:

1. passive DNS, which captures cache-miss query traffic from a resolver to
the big bad internet. There are two flavours:

1a. a tcpdump tap between the resolver and the internet - the classic
passive DNS setup

1b. use dnstap, which is built-in to BIND

In both cases you will be logging a LOT so it requires sysadmin work: log
rotation, matching log volume to disk space, etc. usw. If you have good
passive DNS collection and analysis tools you can learn a lot about the
weirdness happening on your network. I don't, so I am blissfully unaware,
until I...

2. run `rndc dumpdb` and inspect the contents of named_dump.db

You might (if you are lucky) be able to run this after something happened
that caused questions, without any prior setup work, and maybe get an
answer if the TTLs are long enough.

In this particular case you'll be looking for records like ".... NS
ns2.honeybot.us". BIND prints named_dump.db in classic zone file format,
without repeating the owner name for every record, so once you have found
an NS record of interest you will need to scroll back to find a sibling
record that has the relevant owner name. So `less` is a better tool than
`grep` for this job.

Tony.
--
f.anthony.n.finch  <[hidden email]>  http://dotat.at/
Sole: Variable 4 at first in east, otherwise westerly or southwesterly 4 to 6,
occasionally 7 later in west. Moderate or rough, occasionally very rough later
in west. Rain or showers. Good, occasionally moderate.
_______________________________________________
Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list

ISC funds the development of this software with paid support subscriptions. Contact us at https://www.isc.org/contact/ for more information.


bind-users mailing list
[hidden email]
https://lists.isc.org/mailman/listinfo/bind-users