Acabei de notar alguns resultados muito estranhos e preocupantes quando tentei fazer um nslookup para um dos meus nomes de domínio de um dos meus servidores virtuais hospedados.
O domínio [mydomain] .info está resolvendo como [mydomain] .info.com.au e listando 4 IPs que eu não uso.
Isso só acontece em um servidor e apenas para este domínio e subdomínios (dos testes que fiz).
Coisas que eu tentei ...
1) "ipconfig / flushdns". Sem efeito.
2) Arquivo de hosts verificado. Nada de suspeito.
3) Verifiquei no registro as entradas relacionadas ao vírus DNSChanger, mas não consigo ver nada de suspeito.
4) Alterou o servidor DNS para a interface conectada. O nslookup mostra o novo servidor DNS, mas os resultados são os mesmos.
5) Analisou o dnslookup.exe por vírus, mas nada aparece. Além disso, se eu executar uma consulta usando esse executável em outro computador, os resultados estarão corretos.
Não sei se isso significa que meu servidor está realmente comprometido ou, possivelmente, se meu provedor de hospedagem está fazendo algo suspeito com pesquisas de DNS de saída.
O servidor é o Windows Server 2012
Além desta questão do DNS, o servidor está funcionando perfeitamente. Eu não observei nenhum outro comportamento estranho.
Se alguém tiver alguma sugestão, seria muito apreciado. Este é um servidor de produção ao vivo, hospedando vários sites de clientes, então isso está me estressando um pouco.
Aqui está a saída, conforme solicitado. Minhas desculpas, eu prefiro não mostrar o nome de domínio real, como é pessoalmente identificável. No entanto, verifiquei que os registros de domínio estão corretos.
PS C:\scripts> nslookup [mydomain].info
Server: google-public-dns-a.google.com
Address: 8.8.8.8
Non-authoritative answer:
Name: [mydomain].info.com.au
Addresses: 52.3.124.67
52.201.189.141
54.85.85.70
52.5.111.221
PS C:\scripts>
Depois de mais algumas investigações, parece que não é apenas o meu domínio. Isso acontece com qualquer domínio .info. Eu incluí os resultados do nslookup com a depuração ativada ...
> somedomain123123.info
Server: google-public-dns-a.google.com
Address: 8.8.8.8
------------
Got answer:
HEADER:
opcode = QUERY, id = 74, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
somedomain123123.info.hosting24.com.au, type = A, class = IN
AUTHORITY RECORDS:
-> hosting24.com.au
ttl = 1799 (29 mins 59 secs)
primary name server = ns1.web24.net.au
responsible mail addr = dns.web24.net.au
serial = 2016060205
refresh = 7200 (2 hours)
retry = 3600 (1 hour)
expire = 604800 (7 days)
default TTL = 3600 (1 hour)
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 75, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
somedomain123123.info.hosting24.com.au, type = AAAA, class = IN
AUTHORITY RECORDS:
-> hosting24.com.au
ttl = 1799 (29 mins 59 secs)
primary name server = ns1.web24.net.au
responsible mail addr = dns.web24.net.au
serial = 2016060205
refresh = 7200 (2 hours)
retry = 3600 (1 hour)
expire = 604800 (7 days)
default TTL = 3600 (1 hour)
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 76, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 4, authority records = 0, additional = 0
QUESTIONS:
somedomain123123.info.com.au, type = A, class = IN
ANSWERS:
-> somedomain123123.info.com.au
internet address = 52.5.111.221
ttl = 59 (59 secs)
-> somedomain123123.info.com.au
internet address = 52.201.189.141
ttl = 59 (59 secs)
-> somedomain123123.info.com.au
internet address = 52.3.124.67
ttl = 59 (59 secs)
-> somedomain123123.info.com.au
internet address = 54.85.85.70
ttl = 59 (59 secs)
------------
Non-authoritative answer:
------------
Got answer:
HEADER:
opcode = QUERY, id = 77, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
somedomain123123.info.com.au, type = AAAA, class = IN
AUTHORITY RECORDS:
-> info.com.au
ttl = 899 (14 mins 59 secs)
primary name server = ns1.info.com.ru
responsible mail addr = hostmaster.info.com
serial = 2016052612
refresh = 7200 (2 hours)
retry = 900 (15 mins)
expire = 1209600 (14 days)
default TTL = 86400 (1 day)
------------
Name: somedomain123123.info.com.au
Addresses: 52.5.111.221
52.201.189.141
52.3.124.67
54.85.85.70
Meu provedor de hospedagem é o web24.com.au, que é presumivelmente de onde vem o hosting24.com.au.