[nsp-sec] Inboot.me - vboot.us using DRDoS as a paid service

Shelton, Steve sshelton at Cogentco.com
Tue Sep 30 07:01:32 EDT 2014 

All,

Did anyone happen to see this yesterday hitting their resolvers?  It seems they were playing around try to boost the amp rate and departed from the ~any query and set up a rather large TXT file in the zone for vboot.us domain which is just as nefarious and related to inboot.me.

Having firsthand experience with inboot, I would dare to say they are responsible for a very large percentage of the ongoing DRDoS incidents.  They seem to like SSDP, SNMP, NTP and DNS as their primary punch, but offer other protocols such as SYN, HTTP etc.

https://inboot.me/
https://inboot.me/testboot.php

Non-authoritative answer:
inboot.me	A	108.162.206.195
inboot.me	A	108.162.205.195
inboot.meinboot.meinboot.me	SOA
    origin = eric.ns.cloudflare.com
    mail addr = dns at cloudflare.com
    serial = 2016095447
    refresh = 10000 (2 hours 46 mins 40 secs)
    retry = 2400 (40 mins)
    expire = 604800 (7 days)
    minimum ttl = 3600 (1 hour)
inboot.me	NS	lucy.ns.cloudflare.com
inboot.me	NS	eric.ns.cloudflare.com


vboot.us	A	108.162.199.214
vboot.us	A	199.233.245.136
vboot.us	A	108.162.198.214
vboot.usvboot.usvboot.us	MX	0  vboot.us
vboot.us	SOA
    origin = eric.ns.cloudflare.com
    mail addr = dns at cloudflare.com
    serial = 2016371348
    refresh = 10000 (2 hours 46 mins 40 secs)
    retry = 2400 (40 mins)
    expire = 604800 (7 days)
    minimum ttl = 3600 (1 hour)
vboot.usvboot.usvboot.us	NS	eric.ns.cloudflare.com
vboot.us	NS	lucy.ns.cloudflare.com


04:50:12.027789 IP (tos 0x0, ttl 56, id 55076, offset 0, flags [+], proto UDP (17), length 1500) 38.107.91.3.53 > 192.223.26.x.39144: 8999 1/0/0 smar.vboot.us. TXT[|domain]
	0x0000:  4500 05dc d724 2000 3811 2981 266b 5b03  E....$..8.).&k[.
	0x0010:  c0df 1a1e 0035 98e8 1003 eef8 2327 8180  .....5......#'..
	0x0020:  0001 0001 0000 0000 0473 6d61 7205 7662  .........smar.vb
	0x0030:  6f6f 7402 7573 0000 ff00 01c0 0c00 1000  oot.us..........
	0x0040:  0100 0000 d80f d0fc 696e 626f 6f74 2e6d  ........inboot.m
	0x0050:  652d                                     e-


04:50:11.933760 IP (tos 0x0, ttl 54, id 22671, offset 0, flags [+], proto UDP (17), length 1476) 38.86.37.252.53 > 192.223.26.x.7716: 2426 1/0/0 smar.vboot.us. TXT[|domain]
	0x0000:  4500 05c4 588f 2000 3611 df4a 2656 25fc  E...X...6..J&V%.
	0x0010:  c0df 1a1e 0035 1e24 1003 b786 097a 8180  .....5.$.....z..
	0x0020:  0001 0001 0000 0000 0473 6d61 7205 7662  .........smar.vb
	0x0030:  6f6f 7402 7573 0000 ff00 01c0 0c00 1000  oot.us..........
	0x0040:  0100 0000 d90f d0fc 696e 626f 6f74 2e6d  ........inboot.m
	0x0050:  652d                                     e-

--- 09/29/14 09:01:43 US Eastern Daylight Time
--- DNS lookup for "smar.vboot.us", please wait...

Non-authoritative answer:
smar.vboot.us    text = 

Authoritative answers can be found from:
vboot.us	NS	LUCY.NS.CLOUDFLARE.COM
vboot.us	NS	ERIC.NS.CLOUDFLARE.COM
eric.ns.cloudflare.com	A	173.245.59.112
eric.ns.cloudflare.comlucy.ns.cloudflare.com	A	173.245.58.133
lucy.ns.cloudflare.com

--- 09/29/14 09:01:43 US Eastern Daylight Time


 ;; Truncated, retrying in TCP mode.
 DNS server handling your query: localhost
 DNS server's address:	127.0.0.1#53
 
 Non-authoritative answer:
 smar.vboot.us	text = "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82\"\"lulznigrslellolg"

Steve Shelton
Security Engineer
Cogent Communications

More information about the nsp-security mailing list