Malware DNS Um registro aponta para o meu endereço IP

3

Eu uso o BIND há cerca de dez anos, mas não sou de forma alguma um especialista. Dito isto, eu limpei o meu VPS devido a uma infecção por malware crytomining.

Enquanto eu estava recuperando o BIND, notei que um domínio (TLD) que eu não possuo estava chegando como sendo hospedado pelo meu endereço IP. Uma inspeção mais detalhada mostra que o registro A deste domínio aponta para o meu IP.

Eu posso entender que não haveria nada para impedir que alguém estabelecesse um registro A para apontar onde quer que fosse. Mas não há nada que eu possa fazer para bloquear isso? Parece que isso é provavelmente algo muito básico que estou perdendo, mas estou tendo problemas para solucionar o problema. A maioria das minhas pesquisas foram infrutíferas.

A recursão está desativada.

Aqui estão as opções do named.conf

options {
    listen-on port 53       { any; };
    listen-on-v6 port 53    { any; };
    directory               "/var/named";
    dump-file               "/var/named/data/cache_dump.db";
    statistics-file         "/var/named/data/named_stats.txt";
    memstatistics-file      "/var/named/data/named_mem_stats.txt";
    allow-query             { any; };
    allow-transfer          { none; };
    recursion               no;
    dnssec-enable           yes;
    dnssec-validation       yes;
    bindkeys-file           "/etc/named.iscdlv.key";
    managed-keys-directory  "/var/named/dynamic";
    pid-file                "/run/named/named.pid";
    session-keyfile         "/run/named/session.key";
};
    
por matzhu 22.10.2018 / 22:54

2 respostas

5

Você não pode alterar os registros de domínio de outra pessoa.

No entanto ...

Se o outro domínio for realmente o domínio responsável por fornecer malware, você poderá entrar em contato com o contato de abuso no provedor de DNS e no registrador de domínio, se for diferente, para informar o domínio como uma fonte de malware (e incluir provas). Esses provedores podem, então, fazer algo, como suspensão temporária ou permanente do domínio.

Você também pode tentar obter um novo endereço IP do seu próprio provedor de serviços.

    
por 22.10.2018 / 23:42
1

Existem duas coisas a considerar:

  1. Alguém tem um registro A apontando para seu endereço IP - não há nada que você possa fazer sobre isso.
  2. Este registro em si não é um problema. Problemas (podem) começar quando este registro é usado para enviar tráfego para seu host - você tem uma idéia do tipo de tráfego? Por exemplo, se for principalmente tráfego HTTP (S), você poderá modificar seu website padrão para fornecer uma explicação do registro DNS incorreto para usuários finais que podem acabar em seu website devido ao registro A incorreto.

Você também pode analisar os endereços IP de origem e bloqueá-los se eles vierem de um país com o qual você não faz negócios. Mas eu nunca sou fã de bloquear endereços IP ou intervalos de endereços.

    
por 23.10.2018 / 13:43