named не запускается

[maestrow]

Здравствуйте, подскажите пожалуста, может кто сталкивался

Недавно named стал переодически вылеть, запускал в ручную, но сегодня в ручну из командной строки он не запустился
/usr/sbin/ndc start
ndc: error: name server has not started (yet?)

named.restart
ndc: error: name server was not running (warning only)
ndc: error: name server has not started (yet?)

named.reload && tail -f /var/log/messages
ndc: error: ctl_client: evConnect(fd 3): Connection refused
ndc: error: cannot connect to command channel (/var/run/ndc)

В логах
/var/log/messages

Код: Выделить всё

Sep  3 19:33:21 leon named[9608]: starting (/etc/namedb/named.conf).  named 8.3.2-T1B Tue Jun 11 03:58:03 GMT 2002       murray@builder.freebsdmall.com:/usr/obj/usr/src/usr.sbin/named
Sep  3 19:33:21 leon named[9608]: limit files set to fdlimit (1024)
Sep  3 19:33:21 leon named[9609]: Ready to answer queries.
Sep  3 19:33:22 leon named[9609]: /usr/src/usr.sbin/named/../../contrib/bind/bin/named/ns_resp.c:3933: ENSURE(cp <= eom_out) failed.
Sep  3 19:33:22 leon named[9609]: /usr/src/usr.sbin/named/../../contrib/bind/bin/named/ns_resp.c:3933: ENSURE(cp <= eom_out) failed.
Sep  3 19:33:22 leon /kernel: pid 9609 (named), uid 0: exited on signal 6 (core dumped)

named 8.3.2-T1B
FreeBSD 4.6-RELEASE

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[f_andrey]

юзайте кнопку

Код: Выделить всё

code

[hizel]

древненький какой у вас named
с него песочек не сыпется?
вы слышали о недавно прошемевшей уязвимости в named?
не смущает?

[maestrow]

древненький какой у вас named
с него песочек не сыпется?
вы слышали о недавно прошемевшей уязвимости в named?
не смущает?

даже очень... но, что то надо делать, а не знаю за что зацепится или в какую сторону разбиратся

[hizel]

есть возможность обновится до 6.x или 7.x ? :\

[maestrow]

есть возможность обновится до 6.x или 7.x ? :\

нет
будет новый сервер, но только будет, а этот должен нести пока свои функции

[zubzazub]

та же проблема.. возможности обновить bind сейчас нет

[maestrow]

Ребятушки, подсобите совтиком, пожалуста.

[maestrow]

Код: Выделить всё

Sep  3 19:33:21 leon named[9608]: limit files set to fdlimit (1024)

это скорее всего, что система установила ограничение на
кол-во открытых файлов 1024
и на запуск named это вроде не влияет, что есть еще...

в то же время пишется, что named starting, но в процесах его нет

Код: Выделить всё

Sep  3 19:33:21 leon named[9608]: starting (/etc/namedb/named.conf).  named 8.3.2-T1B Tue Jun 11 03:58:03 GMT 2002       murray@builder.freebsdmall.com:/usr/obj/usr/src/usr.sbin/named

и но как бы готов к работе

Код: Выделить всё

Sep  3 19:33:21 leon named[9609]: Ready to answer queries.

но вот дальше мне не понятно с чем связано

Код: Выделить всё

Sep  3 19:33:22 leon named[9609]: /usr/src/usr.sbin/named/../../contrib/bind/bin/named/ns_resp.c:3933: ENSURE(cp <= eom_out) failed.
Sep  3 19:33:22 leon named[9609]: /usr/src/usr.sbin/named/../../contrib/bind/bin/named/ns_resp.c:3933: ENSURE(cp <= eom_out) failed.
Sep  3 19:33:22 leon /kernel: pid 9609 (named), uid 0: exited on signal 6 (core dumped)

[hizel]

погуглил немного
то что понял - надо обновлять
и что то по поводу эксплоита бачут

[zubzazub]

я обгуглился весь, только не могу найти обновление хотя бы до 8.5.х какой-нибудь, а 9.х.х поставить не могу

named -d 9 -f

Код: Выделить всё

...
make_rr(dns-07.ns.aol.com, 2ac3c050, 7fffc483, 3469, 0) 4 zone 0 ttl 1220691200
addinfo: adding address data n = 16
do additional "dns-06.ns.aol.com" (from "aol.com")
found it
make_rr(dns-06.ns.aol.com, 2ac3c02c, 7fffc493, 3453, 0) 4 zone 0 ttl 1220691200
addinfo: adding address data n = 16
do additional "dns-01.ns.aol.com" (from "aol.com")
found it
make_rr(dns-01.ns.aol.com, 2ac06f14, 7fffc4a3, 3437, 0) 4 zone 0 ttl 1220691200
addinfo: adding address data n = 16
do additional "aol.com" (from "aol.com")
found it
trunc_adjust: 675 1 2 4 4, 12 1 2 4 4
ns_resp.c:3928: ENSURE(cp <= eom_out) failed.
ns_resp.c:3928: ENSURE(cp <= eom_out) failed.
Aborted

[hizel]

The more definitive solution is to upgrade to BIND 9. BIND 8 is being
declared "end of life" by ISC due to multiple architectural issues.

и ничего не поделаешь
дохтур сказал труп - значит труп

[maestrow]

погуглил немного

то что понял - надо обновлять

обновлять OS или BIND? пока сложно и то и другое...

и что то по поводу эксплоита бачут

чуть подробней если можно, пожалуста

[manefesto]

eom_out

я так думаю eom это out of memory
Посмотри в top

[zubzazub]

maestrow я пока закрыл 53 снаружи, гори оно огнем - named встал... видимо атака чтоли...
еще у меня записи о корневых днс были старые - заодно обновил..
http://www.root-servers.org/

[hizel]

я мыслю именно named ОСь пока не критична

[manefesto]

кстати да...порты можно пока обновить.

[hizel]

эге какие порты на 4.6 версии FreeBSD

[manefesto]

какие какие..нормальные...никто же не запрещает использовать порты от 4.11

[maestrow]

maestrow я пока закрыл 53 снаружи, гори оно огнем - named встал... видимо атака чтоли...
еще у меня записи о корневых днс были старые - заодно обновил..
http://www.root-servers.org/

а как закрыл? и закрыть снаружи, для меня наверно не вариант, надобно что бы к нему глядели, он же слейв
а про то, что кто то пиндует, тоже есть предположения, не могу пока найти как это отследить то

[hizel]

ну объясни людям подробнее
я некрофилий не страдаю поэтому незнаю что к чему

[zubzazub]

да я откуда знаю, у меня вообще какой-то доисторический alt linux master 2.4 ... 2002й год, чудо света.. притом что я в линухах ни в зуб ногой...

Код: Выделить всё

#iptables -A INPUT -p 'tcp' -i ppp0 --destination-port 53 -j REJECT

правда это видимо не сработало, поэтому закомментил в /etc/sysconfig/iptables строчки, где упомянался 53й порт снаружи..
второй день бьюсь, шаманю что-то, притом все наобум, не понимая что делаю... у меня шок уже..

[hizel]

Код: Выделить всё

iptables -A INPUT -p udp -i ppp0 --destination-port 53 -j REJECT
iptables -A INPUT -p tcp -i ppp0 --destination-port 53 -j REJECT

основной обмен с ДНС идет по udp порту

[zubzazub]

я просто как пример привел.

почему-то советуют еще 22 удп закрыть...

[maestrow]

обновил на свеженький named.root named запустился
ftp://ftp.internic.net/domain/named.root

Код: Выделить всё

Sep  4 11:57:55 leon named[27643]: starting (/etc/namedb/named.conf).  named 8.3.2-T1B Tue Jun 11 03:58:03 GMT 2002      murray@builder.freebsdmall.com:/usr/obj/usr/src/usr.sbin/named
Sep  4 11:57:55 leon named[27643]: limit files set to fdlimit (1024)
Sep  4 11:57:55 leon named[27644]: Ready to answer queries.

но смущают вот эти сообщения

Код: Выделить всё

Sep  4 10:51:43 leon /kernel: Limiting icmp unreach response from 229 to 200 packets per second
Sep  4 11:22:12 leon /kernel: Limiting icmp unreach response from 202 to 200 packets per second
Sep  4 11:54:04 leon /kernel: Limiting icmp unreach response from 211 to 200 packets per second