DNS resolve endereço IP incorreto em um país

Navegue suas respostas
14

Um amigo meu tem um site de eLearning baseado no Claroline. Dois dias atrás, somente usuários da Suíça começaram a redirecionar "aleatoriamente" em outro endereço IP ao acessar o domínio do site.

Se eu forçar o servidor DNS a 8.8.8.8 ou 9.9.9.9 no computador dos alunos, o domínio será resolvido corretamente. Mas se eu ficar com o servidor de DNS suíço local, ele resolve um endereço IP incorreto (na lista negra).

A parte estranha é: não é apenas este cliente e seu próprio computador. Todos os estudantes baseados na Suíça também são afetados. Mas não os franceses.

A segunda parte estranha é: Algumas páginas respondem a esse endereço IP falso com o conteúdo correto. Como o eLearning foi duplicado em outro servidor OU armazenado em algum lugar.

O servidor é um antigo Ubuntu 10.04.4 LTS e provavelmente não está corretamente protegido / configurado. Eu tenho acesso total neste servidor, mas não consegui, então não sei o que procurar ou o que fazer.

Aqui está o que eu vi / tentei até agora:

  • Verificado todo o vhost do Apache 2
  • iptables verificados (vazios) e /etc/hosts e /etc/resolv.conf (seguros)
  • Perguntado à Swisscom (principal operadora suíça) se eles colocaram o domínio na lista negra ou algo assim: Verificado base de código claroline: parece seguro, mas é enorme. Não consigo verificar todos os arquivos.

Aqui está um nslookup em um dos computadores com Windows do aluno: 

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

E, é claro, 195.186.210.161 não é o endereço IP correto do servidor.

Eu não sou administrador do sistema. Estou apenas ajudando um amigo, então não tenho certeza sobre o que procurar em seguida.

    
por iizno 11.10.2018 / 13:52

2 respostas

11

Como MadHatter escreveu, este é o ISP (Swisscom) dos usuários finais que redireciona seu site por meio de um filtro proxy. É bem provável que todos os usuários que assinam seu serviço de Guarda na Internet sejam realmente intermediados por proxy, não apenas o seu site.

Dizem que o filtro é contra malware, phishing e vírus, por isso não deve ser uma questão de "classificação", mas de segurança.

Seu primeiro passo deve ser verificar se o site não foi infectado. Sites PHP tendem a ser bastante vulneráveis (se alguém encontrar uma maneira de fazer upload de um arquivo .php em algum lugar na hierarquia visível, ele poderá ser executado remotamente para fazer o que quiserem). Há também muitas outras maneiras de fazer mal (injeções SQL, XSS armazenado ...).

Sua home page não está bloqueada ou, pelo menos, não o tempo todo, então:

  • apenas algumas das páginas estão infectadas
  • a infecção só mostra uma fração do tempo nas solicitações do usuário (uma estratégia comum para voar sob o radar)
  • ou há algo mais em algumas páginas que aciona um falso positivo

Você mesmo pode ver o resultado apontando o endereço do site para o endereço IP do proxy. Você pode fazer isso editando o arquivo /etc/hosts (os detalhes variam de acordo com a plataforma) e adicionando uma linha: 

195.186.210.161        elearning.affis.ch

Você pode visitar o site como um desses usuários e ver quais páginas estão bloqueadas ou não.

Depois de ter uma ideia melhor de quais páginas estão bloqueadas ou não, pode ser mais fácil identificar o problema real. Em seguida, corrija-o e, de repente, ele será transmitido de imediato ou você terá que informar um falso positivo (há um link para isso na parte inferior da página "bloqueada").

Note que tentar denunciar um falso positivo antes de verificar a infecção provavelmente seria contraproducente. Tente muito difícil encontrar e corrigir o problema primeiro.

Editar

Observe que a versão do Claroline que você executa (1.11.9) tem várias vulnerabilidades XSS conhecidas desde 2014:

Multiple cross-site scripting (XSS) vulnerabilities in Claroline 1.11.9 and earlier allow remote authenticated users to inject arbitrary web script or HTML via (1) the Search field in an inbox action to messaging/messagebox.php, (2) the "First name" field to auth/profile.php, or (3) the Speakers field in an rqAdd action to calendar/agenda.php

Se o problema for de fato um ataque XSS armazenado, faça o último despejo do seu banco de dados e verifique se ele contém algo como uma tag <script (não se esqueça de pesquisar sem diferenciar maiúsculas e minúsculas).

    
por 11.10.2018 / 23:05
18

Se você apontar um navegador para o endereço IP retornado, link , receberá a mensagem "website perigoso bloqueado" da Swisscom. Meu palpite é que o sistema de bloqueio de conteúdo de "internet segura" funciona, pelo menos em parte, mentindo em resposta a solicitações de DNS, e que o seu site está sendo prejudicado por algum motivo.

Eu entendo que você perguntou se eles estavam bloqueando você, mas na minha experiência, até mesmo o suporte técnico da linha de frente dos ISPs de tamanho médio não tem a menor idéia do que está acontecendo lá atrás. É bem possível que todo o sistema de babás seja terceirizado (ou feito por um produto comercial de terceiros) e que ninguém na Swisscom tenha alguma ideia de quais sites estão bloqueados a qualquer momento. Perguntar ao aluno se ele (a) tiver algum tipo de configuração "babá na internet" pode ser mais produtivo.

No final do dia, isso pode não ser um problema que você pode resolver, já que você não é o cliente do ISP e eles não lhe devem nada. Fazer com que os pais do aluno liguem para o suporte do provedor, queixem-se em voz alta sobre a resolução errada do DNS e ameacem alterar o ISP, se não for resolvido, é provável que seja a única coisa que tenha algum efeito.

Editar : este tópico sugere que o mecanismo de bloqueio de sites da Swisscom pode ser um pouco exagerado, e que nem sempre é fácil obter qualquer tipo de resolução positiva deles. Ele também sugere que este não é um filtro opt-in, mas que se aplica a todos os clientes da Swisscom, quer gostem ou não, por isso, optar por sair dele pode ser difícil.

    
por 11.10.2018 / 14:23

Tags

Vale a pena o esforço para bloquear tentativas de login malsucedidas? Como posso forçar outros usuários a efetuar logout?