Popis: Potvrzení DoS přes vsftpd
Na node24.prg běží cca 43 vsftpd serverů, podle logu se v dobu výpadku na mnohé z nich pokoušela připojit jedna IP adresa (viz IRC), což pak vedlo k tomu problému s network namespaces a přetížení systému. Zkoumáme možnosti, jak v takových případech omezit vytváření/mázání tolika network namespaces, abychom to příště ustáli.
Kdo používáte vsftpd, nastavení isolate_network=NO vypne tuto nešťastnou vlastnost vytváření network namespace pro každého klienta.
Nahlásil: Jakub Skokan
ENGLISH:
Summary: Confirmed DoS by vsftpd
There's about 43 vsftpd servers on node24.prg and we've identified one IP address (see our IRC), which has been making many authentication attempts at the time, leading to the abuse of network namespaces. We're investigating ways to rate-limit network namespace creation/destruction to avoid the issue in the future.
For users of vsftpd, setting isolate_network=NO will remove the problem with network namespaces as well.
Reported by: Jakub Skokan
-----BEGIN BASE64 ENCODED PARSEABLE JSON----- eyJpZCI6MjYwNiwiY2hhbmdlcyI6e30sInRyYW5zbGF0aW9ucyI6eyJlbiI6 eyJzdW1tYXJ5IjoiQ29uZmlybWVkIERvUyBieSB2c2Z0cGQiLCJkZXNjcmlw dGlvbiI6IlRoZXJlJ3MgYWJvdXQgNDMgdnNmdHBkIHNlcnZlcnMgb24gbm9k ZTI0LnByZyBhbmQgd2UndmUgaWRlbnRpZmllZCBvbmUgSVAgYWRkcmVzcyAo c2VlIG91ciBJUkMpLCB3aGljaCBoYXMgYmVlbiBtYWtpbmcgbWFueSBhdXRo ZW50aWNhdGlvbiBhdHRlbXB0cyBhdCB0aGUgdGltZSwgbGVhZGluZyB0byB0 aGUgYWJ1c2Ugb2YgbmV0d29yayBuYW1lc3BhY2VzLiBXZSdyZSBpbnZlc3Rp Z2F0aW5nIHdheXMgdG8gcmF0ZS1saW1pdCBuZXR3b3JrIG5hbWVzcGFjZSBj cmVhdGlvbi9kZXN0cnVjdGlvbiB0byBhdm9pZCB0aGUgaXNzdWUgaW4gdGhl IGZ1dHVyZS5cclxuXHJcbkZvciB1c2VycyBvZiB2c2Z0cGQsIHNldHRpbmcg aXNvbGF0ZV9uZXR3b3JrPU5PIHdpbGwgcmVtb3ZlIHRoZSBwcm9ibGVtIHdp dGggbmV0d29yayBuYW1lc3BhY2VzIGFzIHdlbGwuIn0sImNzIjp7InN1bW1h cnkiOiJQb3R2cnplbsOtIERvUyBwxZllcyB2c2Z0cGQiLCJkZXNjcmlwdGlv biI6Ik5hIG5vZGUyNC5wcmcgYsSbxb7DrSBjY2EgNDMgdnNmdHBkIHNlcnZl csWvLCBwb2RsZSBsb2d1IHNlIHYgZG9idSB2w71wYWRrdSBuYSBtbm9ow6kg eiBuaWNoIHBva291xaFlbGEgcMWZaXBvaml0IGplZG5hIElQIGFkcmVzYSAo dml6IElSQyksIGNvxb4gcGFrIHZlZGxvIGsgdG9tdSBwcm9ibMOpbXUgcyBu ZXR3b3JrIG5hbWVzcGFjZXMgYSBwxZlldMOtxb5lbsOtIHN5c3TDqW11LiBa a291bcOhbWUgbW/Fvm5vc3RpLCBqYWsgdiB0YWtvdsO9Y2ggcMWZw61wYWRl Y2ggb21leml0IHZ5dHbDocWZZW7DrS9tw6F6w6Fuw60gdG9saWthIG5ldHdv cmsgbmFtZXNwYWNlcywgYWJ5Y2hvbSB0byBwxZnDrcWhdMSbIHVzdMOhbGku XHJcblxyXG5LZG8gcG91xb7DrXbDoXRlIHZzZnRwZCwgbmFzdGF2ZW7DrSBp c29sYXRlX25ldHdvcms9Tk8gdnlwbmUgdHV0byBuZcWhxaVhc3Rub3Ugdmxh c3Rub3N0IHZ5dHbDocWZZW7DrSBuZXR3b3JrIG5hbWVzcGFjZSBwcm8ga2HF vmTDqWhvIGtsaWVudGEuIn19fQ== -----END BASE64 ENCODED PARSEABLE JSON-----