<div dir="ltr"><div>[ Classification Level: <font color="blue">GENERAL BUSINESS</font> ]</div><br><div>Sorry to follow up on my own post, but I feel I should add a caveat about blocking IPs -- the resolution of <a href="http://ns2.honeypot.us" target="_blank">ns2.honeypot.us</a> could *change* over time, so an IP-based block might not be effective in the long term, and in fact might cause more harm than good.</div><div><br></div><div>If you truly want to block any communication with <a href="http://ns2.honeypot.us" target="_blank">ns2.honeypot.us</a> by *name*, permanently, you'd probably have to go to the extreme of creating a zone for just that particular name, resolve it to 0.0.0.0, something of that nature.</div><div><br></div><div>In the larger picture, you might want to consider, instead, a dynamic, reputation-based RPZ feed. See <a href="https://dnsrpz.info/" target="_blank">https://dnsrpz.info/</a> for more.</div><div><br></div><div>                                                            - Kevin</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Oct 20, 2020 at 10:45 AM Kevin Darcy <<a href="mailto:kevin.darcy@fcagroup.com" target="_blank">kevin.darcy@fcagroup.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>[ Classification Level: <font color="blue">GENERAL BUSINESS</font> ]</div><br>According to <a href="http://securitytrails.com" target="_blank">securitytrails.com</a> (for instance), there are over 3,000 domains hosted on <a href="http://ns2.honeybot.us" target="_blank">ns2.honeybot.us</a> (securitytrails only shows the first few domains hosted -- to see more, one presumably needs a subscription to their service).<div><br></div><div>If one of your clients looked up a name in one of those 3,000+ domains, your BIND instance will potentially reach out to that nameserver to resolve the name.</div><div><br></div><div>As far as BIND logging, I don't know the best way to track this, offhand, short of cranking up debug to ridiculous levels, and wading through the verbose output. This might take significant resources (storage, CPU, etc.)</div><div><br></div><div>It might be easier to run a packet capture, looking for something sent to the specific IP associated with <a href="http://ns2.honeybot.us" target="_blank">ns2.honeybot.us</a>. Or, if you have a robust Intrusion Prevention/Detection System (IPS or IDS), maybe configure an "alert" rule for that destination IP. For either option, it might also be interesting to see the response from <a href="http://ns2.honeybot.us" target="_blank">ns2.honeybot.us</a>, to check for shenanigans.</div><div><br></div><div>If you just want to mitigate any danger, and are willing to deal with any fallout, you could just block the IP, on your firewall or IPS or with BIND's "blackhole" feature.</div><div><br></div><div>                                                          - Kevin<br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Oct 20, 2020 at 10:17 AM <<a href="mailto:Senthan.Sivasundaram@szkb.ch" target="_blank">Senthan.Sivasundaram@szkb.ch</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div lang="DE-CH">

<div>

<p class="MsoNormal" style="margin-bottom:12pt"><a name="m_-2683073525244918417_m_-1968273932636466648_m_4457741434563249426_SignatureMark"><span style="font-size:10pt">Dear BIND-Users,<u></u><u></u></span></a></p>

<p class="MsoNormal"><span><span lang="EN-US" style="font-size:10pt">We use in our environment a BIND Server. It works properly.<br>

One Day it came an alert from Cybereason (Antivirus-Software), that our Bind server tried to Connect to a suspicious domain "<a href="http://ns2.honeybot.us" target="_blank">ns2.honeybot.us</a>".<br>

But I couldn’t find the log,  which domain the BIND server was searching for, so that the BIND server has to connect to "<a href="http://ns2.honeybot.us" target="_blank">ns2.honeybot.us</a>". I can see the Queries log, which domain the Clients were querying but I couldn’t find out why our Bind Server tried to

 connect the name server "<a href="http://ns2.honeybot.us" target="_blank">ns2.honeybot.us</a>".<br>

<br>

Does someone has an idea, which log I have to activate.<br>

<br>

Thank you for your help in advance.<br>

<br>

Best Regards <br>

Senthan</span></span><span><span lang="EN-US" style="font-size:9pt;font-family:Courier;color:black;background:white"><u></u><u></u></span></span></p>

<p class="MsoNormal"><span><span lang="EN-US" style="font-size:9pt">--

</span></span><span lang="EN-US" style="font-size:9pt"><u></u><u></u></span></p>

<p class="MsoNormal"><a name="m_-2683073525244918417_m_-1968273932636466648_m_4457741434563249426_SZKB"><span lang="EN-US" style="font-size:9pt">Schwyzer Kantonalbank</span></a><span lang="EN-US" style="font-size:9pt"><u></u><u></u></span></p>

<p class="MsoNormal"><a name="m_-2683073525244918417_m_-1968273932636466648_m_4457741434563249426_VorName"><span lang="EN-US" style="font-size:9pt">Senthan Sivasundaram</span></a><span lang="EN-US" style="font-size:9pt"><u></u><u></u></span></p>

<p class="MsoNormal"><a name="m_-2683073525244918417_m_-1968273932636466648_m_4457741434563249426_Abteilung"><span lang="EN-US" style="font-size:9pt">IT Systems</span></a><span lang="EN-US" style="font-size:9pt"><u></u><u></u></span></p>

<p class="MsoNormal"><a name="m_-2683073525244918417_m_-1968273932636466648_m_4457741434563249426_Adresse"><span lang="EN-US" style="font-size:9pt">Postfach 263</span></a><span lang="EN-US" style="font-size:9pt"><u></u><u></u></span></p>

<p class="MsoNormal"><a name="m_-2683073525244918417_m_-1968273932636466648_m_4457741434563249426_PLZOrt"><span lang="EN-US" style="font-size:9pt">6431 Schwyz</span></a><span lang="EN-US" style="font-size:9pt"><u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:9pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><a name="m_-2683073525244918417_m_-1968273932636466648_m_4457741434563249426_TelNummer"><span lang="EN-US" style="font-size:9pt">Tel. +41 (0)58 800 29 88</span></a><span lang="EN-US" style="font-size:9pt"><u></u><u></u></span></p>

<p class="MsoNormal"><a name="m_-2683073525244918417_m_-1968273932636466648_m_4457741434563249426_FaxNummer"><span lang="EN-US" style="font-size:9pt">Fax +41 (0)58 800 20 21</span></a><span lang="EN-US" style="font-size:9pt"><u></u><u></u></span></p>

<p class="MsoNormal"><a name="m_-2683073525244918417_m_-1968273932636466648_m_4457741434563249426_Mail"></a><span style="font-size:9pt"><a href="mailto:senthan.sivasundaram@szkb.ch" target="_blank"><span lang="EN-US">senthan.sivasundaram@szkb.ch</span></a></span><span lang="EN-US" style="font-size:9pt"><u></u><u></u></span></p>

<p class="MsoNormal"><a name="m_-2683073525244918417_m_-1968273932636466648_m_4457741434563249426_SZKBWeb"></a><span style="font-size:9pt"><a href="http://www.szkb.ch/" target="_blank"><span lang="EN-US">www.szkb.ch</span></a></span><span lang="EN-US" style="font-size:9pt"><u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10pt;font-family:"Times New Roman",serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><a href="https://www.facebook.com/szkb.ch" target="_blank"><span style="font-family:Calibri,sans-serif;color:windowtext;text-decoration:none"><img border="0" width="16" height="16" style="width:0.1666in;height:0.1666in" id="m_-2683073525244918417gmail-m_-1968273932636466648m_4457741434563249426_x0000_i1025" src="http://www.szkb.ch/files/png1/facebook.png" alt="http://www.szkb.ch/files/png1/facebook.png"></span></a><span lang="EN-US" style="font-family:Calibri,sans-serif"> 

</span><a href="https://www.xing.com/companies/schwyzerkantonalbank" target="_blank"><span style="font-family:Calibri,sans-serif;color:windowtext;text-decoration:none"><img border="0" width="16" height="16" style="width:0.1666in;height:0.1666in" id="m_-2683073525244918417gmail-m_-1968273932636466648m_4457741434563249426_x0000_i1026" src="http://www.szkb.ch/files/png1/xing.png" alt="http://www.szkb.ch/files/png1/xing.png"></span></a><span lang="EN-US" style="font-family:Calibri,sans-serif">  </span><a href="https://www.youtube.com/schwyzerkantonalbank" target="_blank"><span style="font-family:Calibri,sans-serif;color:windowtext;text-decoration:none"><img border="0" width="16" height="16" style="width:0.1666in;height:0.1666in" id="m_-2683073525244918417gmail-m_-1968273932636466648m_4457741434563249426_x0000_i1027" src="http://www.szkb.ch/files/png1/youtube.png" alt="http://www.szkb.ch/files/png1/youtube.png"></span></a><span lang="EN-US" style="font-family:Calibri,sans-serif">  <u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:12pt;font-family:"Times New Roman",serif"><br>

</span><span style="font-size:10pt">Gut beraten, Schwyzer Art. -

<a href="https://www.szkb.ch/pub/ueber-die-szkb/servicezentrum/bestellen/newsletter-abonnieren" target="_blank">

SZKB-Newsletter abonnieren</a></span><span style="font-size:12pt;font-family:"Times New Roman",serif">

<br>

<br>

<br>

</span><span style="font-size:7.5pt">Aufgrund der bisherigen E-Mail-Korrespondenz bzw. getroffener Absprachen, erachtet sich die SZKB als berechtigt, mit Ihnen per E-Mail zu kommunizieren. Die SZKB geht davon aus, dass Sie die Risiken

 von E-Mails kennen und in Kauf nehmen. So sind namentlich gewöhnliche, unverschlüsselte, E-Mails, die über das Internet gesendet werden, weder vertraulich noch sicher. Es besteht die Gefahr von Manipulation oder Missbrauch durch Dritte, Fehlleitung, verzögerte

 Übermittlung oder Bearbeitung, Anhang von Viren, Malware usw. Die SZKB lehnt jede Haftung für Schäden im Zusammenhang mit der Verwendung von E-Mails ab, sofern sie die geschäftsübliche Sorgfalt nicht verletzt hat.

</span><span style="font-size:12pt;font-family:"Times New Roman",serif"><br>

<br>

</span><span style="font-size:7.5pt">E-Mails werden nur während den üblichen Geschäftszeiten der SZKB bearbeitet. Sie können nicht von der sofortigen Kenntnisnahme Ihrer E-Mail ausgehen. Die SZKB ist grundsätzlich nicht verpflichtet,

 Aufträge oder Anweisungen, die per E-Mail erteilt werden, auszuführen, ausser dies wurde ausdrücklich vereinbart. Falls Sie diese E-Mail irrtümlich erhalten haben, ersuchen wir Sie, die E-Mail an den Absender zurückzusenden und die Nachricht mit allen Anhängen

 von ihrem System zu löschen. </span><span style="font-size:12pt;font-family:"Times New Roman",serif"><br>

<br>

<br>

<img border="0" id="m_-2683073525244918417gmail-m_-1968273932636466648m_4457741434563249426_x0000_i1028" src="https://www.szkb.ch/files/png1/co2.png"></span><span style="font-size:10pt;font-family:Calibri,sans-serif">  Bitte denken Sie an die Umwelt - drucken Sie diese E-Mail nicht aus und

<br>

        sparen Sie pro Seite 100 ml Wasser, 7 g CO2 und 11 g Holz. </span><span style="font-size:12pt;font-family:"Times New Roman",serif"><u></u><u></u></span></p>

</div>

<br>

<font face="Arial" size="2">Gut beraten, Schwyzer Art. - <a href="https://www.szkb.ch/pub/ueber-die-szkb/servicezentrum/bestellen/newsletter-abonnieren" target="_blank">

SZKB-Newsletter abonnieren</a></font> <br>

<br>

<br>

<font face="Arial" size="1">Aufgrund der bisherigen E-Mail-Korrespondenz bzw. getroffener Absprachen, erachtet sich die SZKB als berechtigt, mit Ihnen per E-Mail zu kommunizieren. Die SZKB geht davon aus, dass Sie die Risiken von E-Mails kennen und in Kauf

 nehmen. So sind namentlich gewöhnliche, unverschlüsselte, E-Mails, die über das Internet gesendet werden, weder vertraulich noch sicher. Es besteht die Gefahr von Manipulation oder Missbrauch durch Dritte, Fehlleitung, verzögerte Übermittlung oder Bearbeitung,

 Anhang von Viren, Malware usw. Die SZKB lehnt jede Haftung für Schäden im Zusammenhang mit der Verwendung von E-Mails ab, sofern sie die geschäftsübliche Sorgfalt nicht verletzt hat.

</font><br>

<br>

<font face="Arial" size="1">E-Mails werden nur während den üblichen Geschäftszeiten der SZKB bearbeitet. Sie können nicht von der sofortigen Kenntnisnahme Ihrer E-Mail ausgehen. Die SZKB ist grundsätzlich nicht verpflichtet, Aufträge oder Anweisungen, die per

 E-Mail erteilt werden, auszuführen, ausser dies wurde ausdrücklich vereinbart. Falls Sie diese E-Mail irrtümlich erhalten haben, ersuchen wir Sie, die E-Mail an den Absender zurückzusenden und die Nachricht mit allen Anhängen von ihrem System zu löschen.

</font><br>

<br>

</div>

_______________________________________________<br>

Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>

<br>

ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" rel="noreferrer" target="_blank">https://www.isc.org/contact/</a> for more information.<br>

<br>

<br>

bind-users mailing list<br>

<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>

<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>

</blockquote></div></div></div>

</blockquote></div></div>