Eu estava escrevendo um script Powershell para a minha rede quando me deparei com algumas informações alarmantes em nosso DNS. Tenha em mente que ainda usamos o Powershell v2, não o v3. Então eu tenho que consultar o DNS através do comando Get-WMI. Eu escrevi uma consulta para obter todos os registros A de um dos nossos servidores DNS. O comando exato que usei foi:
get-wmiobject -computer OURDNS -Namespace roo\MicrosoftDNS -class MicrosoftDNS_AType
Esse comando funcionou, mas me deu uma dica de raiz muito alarmante:
Caption:
ContainerName: ..RootHints
Description:
DnsServerName: OURDNS.ourdomain.com
DomainName: biz.
InstallDate:
IP Address: 195.22.26.253
Name:
OwnerName: hmksreiuojy.biz
....
Eu fiz um whois nesse domínio. O endereço IP está correto. É sinalizado como um site de malware. Com base nos dados brutos acima, qualquer cliente que resolver um nome de domínio .biz será direcionado para esse site. Isso é .... ruim.
Agora eu preciso me livrar disso. Mas não consigo encontrá-lo em nenhum lugar no meu servidor DNS. O snap-in do DNS não possui nenhuma referência a esse nome de host ou IP. A página de propriedades do servidor não lista esse host ou IP nas Dicas de Raiz ou nos Encaminhadores. Não está no contêiner de encaminhadores condicionais. Nem está no arquivo c: \ windows \ system32 \ dns \ cache.dns.
Então, onde o WMI está recebendo essa entrada? E como me livrar disso?
Aparece no ADSIEdit? Parece que você deve ser capaz de removê-lo de lá. Tente isto: link
Edit: Eu sei que o artigo não é exatamente o seu caso, mas mostra como chegar à seção DNS e fornece algumas informações básicas, etc.
Você pode acessá-lo aqui: Contexto de nomenclatura padrão - > domínio - > Sistema - > MicrosoftDNS