[nsp-sec] Inboot.me - vboot.us using DRDoS as a paid service
Andree Toonk
andree at bgpmon.net
Tue Sep 30 11:41:55 EDT 2014
OpenDNS is definitely seeing an increase in queries for smar.vboot.us
starting Sept 28 around 17:00 utc. Also see attached graph.
Cheers,
Andree (OpenDNS)
.-- My secret spy satellite informs me that at 2014-09-30 4:01 AM
Shelton, Steve wrote:
> ----------- nsp-security Confidential --------
>
> All,
>
> Did anyone happen to see this yesterday hitting their resolvers? It seems they were playing around try to boost the amp rate and departed from the ~any query and set up a rather large TXT file in the zone for vboot.us domain which is just as nefarious and related to inboot.me.
>
> Having firsthand experience with inboot, I would dare to say they are responsible for a very large percentage of the ongoing DRDoS incidents. They seem to like SSDP, SNMP, NTP and DNS as their primary punch, but offer other protocols such as SYN, HTTP etc.
>
> https://inboot.me/
> https://inboot.me/testboot.php
>
> Non-authoritative answer:
> inboot.me A 108.162.206.195
> inboot.me A 108.162.205.195
> inboot.meinboot.meinboot.me SOA
> origin = eric.ns.cloudflare.com
> mail addr = dns at cloudflare.com
> serial = 2016095447
> refresh = 10000 (2 hours 46 mins 40 secs)
> retry = 2400 (40 mins)
> expire = 604800 (7 days)
> minimum ttl = 3600 (1 hour)
> inboot.me NS lucy.ns.cloudflare.com
> inboot.me NS eric.ns.cloudflare.com
>
>
> vboot.us A 108.162.199.214
> vboot.us A 199.233.245.136
> vboot.us A 108.162.198.214
> vboot.usvboot.usvboot.us MX 0 vboot.us
> vboot.us SOA
> origin = eric.ns.cloudflare.com
> mail addr = dns at cloudflare.com
> serial = 2016371348
> refresh = 10000 (2 hours 46 mins 40 secs)
> retry = 2400 (40 mins)
> expire = 604800 (7 days)
> minimum ttl = 3600 (1 hour)
> vboot.usvboot.usvboot.us NS eric.ns.cloudflare.com
> vboot.us NS lucy.ns.cloudflare.com
>
>
> 04:50:12.027789 IP (tos 0x0, ttl 56, id 55076, offset 0, flags [+], proto UDP (17), length 1500) 38.107.91.3.53 > 192.223.26.x.39144: 8999 1/0/0 smar.vboot.us. TXT[|domain]
> 0x0000: 4500 05dc d724 2000 3811 2981 266b 5b03 E....$..8.).&k[.
> 0x0010: c0df 1a1e 0035 98e8 1003 eef8 2327 8180 .....5......#'..
> 0x0020: 0001 0001 0000 0000 0473 6d61 7205 7662 .........smar.vb
> 0x0030: 6f6f 7402 7573 0000 ff00 01c0 0c00 1000 oot.us..........
> 0x0040: 0100 0000 d80f d0fc 696e 626f 6f74 2e6d ........inboot.m
> 0x0050: 652d e-
>
>
> 04:50:11.933760 IP (tos 0x0, ttl 54, id 22671, offset 0, flags [+], proto UDP (17), length 1476) 38.86.37.252.53 > 192.223.26.x.7716: 2426 1/0/0 smar.vboot.us. TXT[|domain]
> 0x0000: 4500 05c4 588f 2000 3611 df4a 2656 25fc E...X...6..J&V%.
> 0x0010: c0df 1a1e 0035 1e24 1003 b786 097a 8180 .....5.$.....z..
> 0x0020: 0001 0001 0000 0000 0473 6d61 7205 7662 .........smar.vb
> 0x0030: 6f6f 7402 7573 0000 ff00 01c0 0c00 1000 oot.us..........
> 0x0040: 0100 0000 d90f d0fc 696e 626f 6f74 2e6d ........inboot.m
> 0x0050: 652d e-
>
> --- 09/29/14 09:01:43 US Eastern Daylight Time
> --- DNS lookup for "smar.vboot.us", please wait...
>
> Non-authoritative answer:
> smar.vboot.us text =
>
> Authoritative answers can be found from:
> vboot.us NS LUCY.NS.CLOUDFLARE.COM
> vboot.us NS ERIC.NS.CLOUDFLARE.COM
> eric.ns.cloudflare.com A 173.245.59.112
> eric.ns.cloudflare.comlucy.ns.cloudflare.com A 173.245.58.133
> lucy.ns.cloudflare.com
>
> --- 09/29/14 09:01:43 US Eastern Daylight Time
>
>
> ;; Truncated, retrying in TCP mode.
> DNS server handling your query: localhost
> DNS server's address: 127.0.0.1#53
>
> Non-authoritative answer:
> smar.vboot.us text = "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje
8!
> 2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje
8!
> 2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje
82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82Zzjfid!
> eIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje8asd" "inboot.me-s-verification=2ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82Zzjfi
d!
> eIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82ZzjfideIJFLFje82\"\"lulznigrslellolg"
>
> Steve Shelton
> Security Engineer
> Cogent Communications
>
>
>
> _______________________________________________
> nsp-security mailing list
> nsp-security at puck.nether.net
> https://puck.nether.net/mailman/listinfo/nsp-security
>
> Please do not Forward, CC, or BCC this E-mail outside of the nsp-security
> community. Confidentiality is essential for effective Internet security counter-measures.
> _______________________________________________
-------------- next part --------------
A non-text attachment was scrubbed...
Name: Screen Shot 2014-09-30 at 8.37.45 AM.png
Type: image/png
Size: 66453 bytes
Desc: not available
URL: <https://puck.nether.net/mailman/private/nsp-security/attachments/20140930/0cbef536/attachment-0001.png>
More information about the nsp-security
mailing list