Alguém criou subdomínio sem o meu conhecimento. Como? [duplicado]

Navegue suas respostas
4

Recebemos hoje um e-mail interessante do CIRA com: 

CE14-12545 [Malware hosted on ygglhalayvtwy.khabarov[.]ca] 
URL: http://ygglhalayvtwy.khabarov[.]ca/xnor/orladjaup.jpg
IP: 204[.]44[.]87[.]184
MD5: EFDCED1D3D8145EED471362B04E144871EBA2122
Malware: Trojan.Win32/Bicololo.A

Isso é bem estranho, já que o domínio é meu, mas eu nunca configurei subdomínios, ou mesmo um curinga. E obviamente não ofereço malware.

Dig output: 

; <<>> DiG 9.8.3-P1 <<>> ygglhalayvtwy.khabarov.ca
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29242
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ygglhalayvtwy.khabarov.ca. IN  A

;; ANSWER SECTION:
ygglhalayvtwy.khabarov.ca. 2498 IN  A   204.44.87.184

;; Query time: 2 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Mon Dec 29 23:10:19 2014
;; MSG SIZE  rcvd: 59

Por isso, resolve para algum IP que não tenho ideia.

Eu verifiquei o fear.org onde eu gerencio o DNS. Nenhum registro desse tipo lá.

Namecheap onde eu tenho nome de domínio não tem nada de suspeito também.

O que está acontecendo exatamente aqui?

    
por Grocery 30.12.2014 / 05:17

1 resposta

6

Minha suspeita imediata era de que outra pessoa controlava seu domínio. Agora existem duas possibilidades:

  • Sua conta foi hackeada para onde quer que você hospede sua zona.
  • Você está usando um host DNS de orçamento janky que permite hospedar sua zona com eles gratuitamente e, em contrapartida, permite que eles ofereçam direitos para criar subdomínios fora de seu domínio. (Nota: Porque eu sou descuidado e li apenas metade do seu post antes de chegar à minha conclusão e começar a tentar falsificá-lo, eu nem percebi que você declarou explicitamente que o fear.org era o seu host de DNS. por mim mesmo, como você verá em dois segundos.)

DNSMan rápido! Para as escavações! 

dig +short ns khabarov.ca
ns2.afraid.org.
ns4.afraid.org.
ns3.afraid.org.
ns1.afraid.org.

Bem, bem, bem. O que temos aqui, mas o bom e velho fear.org. Não vou dizer nada de mal sobre o serviço deles, porque não acho que seja inerentemente ruim. No entanto, você precisa estar ciente do que está dando ao usá-los. Quando você permite que um serviço gratuito como o fear.org hospede sua zona, ele permite que outras pessoas criem subdomínios fora do seu domínio.

Alguém usou o seu domínio, provavelmente de forma aleatória, e criou um subdomínio que gerou alguma maldade para as pessoas. Esse subdomínio foi relatado através de vários canais, e agora tem o fedor de morte nele. Compartilhar é mágico!

    
por 30.12.2014 / 05:18

Tags

NGINX proxy_pass com modificação de URI Por que a verificação de status do Amazon EC2 é bem-sucedida para a instância que não responde?