Qualcuno ha registrato un nome di dominio con l'IP del mio VPS [duplicato]

Naviga le tue risposte
8

Ho noleggiato un server VPS per eseguire il mio sito Web alcuni mesi fa. Oggi ho visto /var/log/apache2/access.log e ho notato una strana linea: 

192.0.2.123 - - [02/Aug/2015:05:21:29 -0400] "GET / HTTP/1.1" 200 4043 "http://buttons-for-website.com" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:38 -0400] "GET /ressources/css/genericons.css HTTP/1.1" 200 14062 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:38 -0400] "GET /ressources/css/style.css HTTP/1.1" 200 894 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:38 -0400] "GET /ressources/css/header-style.css HTTP/1.1" 200 1208 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:38 -0400] "GET /ressources/js/mobile.js HTTP/1.1" 200 774 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:40 -0400] "GET /ressources/frameworks/font-awesome/css/font-awesome.min.css HTTP/1.1" 200 5782 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:44 -0400] "GET /ressources/img/nav.svg HTTP/1.1" 200 966 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"

Non era http://example.com/ , l'ho modificato per scopi di privacy. Ero incuriosito e ho deciso di andare su quel sito. Sono stato sorpreso di vedere che era la mia copia esatta. Con i miei file personali (CV, ecc.). Così ho deciso di controllare l'indirizzo IP di quel sito web: 

; <<>> DiG 9.8.3-P1 <<>> example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10369
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;example.com.       IN  A

;; ANSWER SECTION:
example.com.    14400   IN  A   IP_OF_MY_WEBSERVER

;; Query time: 60 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Tue Aug  4 16:52:53 2015
;; MSG SIZE  rcvd: 49

Sono stato sorpreso di vedere che era l'IP del mio VPS. In effetti, sembra che qualcuno abbia noleggiato il nome di dominio example.com e l'abbia collegato al mio sito web.

- Perché qualcuno dovrebbe farlo?
- C'è qualche problema di sicurezza di cui dovrei preoccuparmi?

    
posta Jovial 04.08.2015 - 17:05
fonte

3 risposte

5

Anche se potrebbe essere parte di un attacco, il mio sospetto è che sia stato un errore. Forse il dichiarante ha avuto quell'IP in precedenza. Dovrai controllare i dettagli della tua compagnia VPS / piano. Potresti avere un IP fisso o uno variabile (non probabile). Anche con un IP fisso, il provider VPS probabilmente ha fornito quell'IP a un utente VPS precedente.

Comunque è successo, hanno bisogno di ottenere un nuovo IP.

Esiste la possibilità che la voce DNS per bye-powerpoint.com punti ancora al tuo indirizzo IP. Se questo è il caso, probabilmente significa che il sito è morto (altrimenti avrebbero notato che il loro sito è diventato inaccessibile).

Azioni che puoi intraprendere:

  1. Contatta il tuo provider VPS e vedi se possono aiutarti. Ti hanno dato un indirizzo IP che è incline allo spam. Dovrebbero risolverlo o dartene un altro.
  2. Cerca il nome di dominio in un sito whois online (ad esempio: questo ) e vedi se riesci a ottenere informazioni di contatto sul registrante. Di solito puoi ricevere un'email (anche se a volte è solo una goccia morta). Fai loro sapere il problema e vedi se potranno / possono correggerlo.
  3. Contatta il registrar che ha registrato bye-powerpoint.com e fai sapere loro cosa sta succedendo. Dovrebbero correggere il mapping DNS una volta che sanno che è sbagliato.
  4. Puoi configurare il tuo server web per avere un vhost che rifiuterà le richieste, magari con un codice di stato 403.

Spero che questo aiuti.

EDIT: ho aggiornato la risposta in base ai commenti. Grazie a tutti per l'aiuto.

    
risposta data 04.08.2015 - 17:23
fonte
4

La mia ipotesi è che la persona ha commesso un errore e non ha intenzione di impostare il server web come indirizzo IP del proprio sito. Potrebbe essere che intendevano parcheggiare il dominio e ottenere l'indirizzo IP sbagliato

In termini di rischi per la sicurezza, il principale potrebbe essere che il contenuto del tuo sito appare sotto il loro nome di dominio, ma ciò non sembra troppo probabile come rischio generico (che è tutto ciò che si può dire senza vedere il contenuto del tuo sito).

Se vuoi bloccare il traffico, puoi semplicemente configurare un Vhost in Apache in modo che se qualcuno arriva al tuo server con quel nome di dominio viene reindirizzato o puoi mostrare una pagina che dice "hey this isn" t il tuo server "o qualcosa di simile.

    
risposta data 04.08.2015 - 17:25
fonte
3

Una possibilità potrebbe essere quella di provare l'Internet Archive o simili per verificare come appariva il sito in passato. Potresti quindi essere in grado di individuare il punto in cui si è verificato il cambiamento e se è stato legittimo in passato.

Probabilmente vorrai anche guardare la data in cui il dominio è stato registrato per la prima volta. Era qualche anno fa, o più di recente? Se più tempo fa, potrebbe essere una modifica di VPS, con il dominio che non è stato aggiornato. Se recente potrebbe essere un errore di battitura o dannoso.

Consiglierei di configurare il tuo server in modo che serva solo pagine di domini conosciuti, per prevenire questo problema.

    
risposta data 04.08.2015 - 20:04
fonte

Leggi altre domande sui tag

Popolarità di IDS basati su anomalie Qualcuno può spiegare come sshd fa la separazione dei privilegi?