Mystery IP address Hijack

Come ha detto @schroeder, qualcuno (probabilmente gli stessi che controllano l'IP 208.91.197.39) ha dirottato il DNS del tuo registrar. Ciò significa che hanno modificato i record DNS in modo che il nome del dominio (che in modo errato chiama "URL") che il cliente ha acquistato ora punti all'IP 208.91.197.39 anziché all'IP o dominio legittimo assegnato al cliente.

Il motivo per cui lo fanno sono molti: ad esempio per generare traffico per un sito web che ospita pubblicità / truffe / malware, o per impersonare un altro dominio per fare frodi.

TL; DR potrebbe essere il router che è stato infettato.

Il mio ragionamento è il seguente. L'OP ha detto,

1. Ho pensato di controllare il sito, prima via browser, no. Mostra ancora il sito è parcheggiato, su register.com.
2. Ho pensato di eseguire il ping del sito con un interprete della riga di comando (in questo caso sto usando Linux) e vedere cosa succede. Molto strano Il sito esegue il ping ad un indirizzo IP di cui non ho mai sentito parlare prima. Fa ping a 208.91.197.39
3. Ho inserito l'indirizzo IP direttamente nel browser e ho immediatamente indirizzato su di esso. Attenti ai virus, chiama XXX per uscire dai siti di prigione.

Se si trattava di un dirottamento DNS, avrebbe dovuto ottenere lo stesso indirizzo IP nel browser e nella CLI. E sappiamo che l'IP funziona come un host Web, quindi avrebbe dovuto funzionare come # 3 sia nel caso # 1 che nel caso # 2.

La mia ipotesi è che il browser e la riga di comando di Linux siano su due macchine diverse, con DNS diversi.

Dal momento che uno dei due DNS sembra restituire un risultato che sembra corretto (inoltre, non è stato detto nulla circa i malfunzionamenti del browser, che dovrebbero essere notati molto più velocemente dei malfunzionamenti di PING), sono propenso a crediamo che il browser avesse ragione e, quindi, un DNS era configurato correttamente.

Da dove viene la seconda risposta DNS (quella malwared)? Sarei diffidente del router . Ci sono diversi worm che provano e si infrangono su router non sicuri e sostituiscono il server DNS con un ladro che fornisce indirizzi infetti ai propri clienti.

Quello che vedo succedere, però, in diverse piccole installazioni, è che molto spesso il "proprietario" di una workstation si diverte con le impostazioni IP, ad esempio spostando da DHCP a indirizzo IP statico e inserendo voci DNS "più veloci" ( nove casi su dieci, Google 8.8.8.8) nell'impostazione del resolver. In assenza di un amministratore IT proattivo e di politiche rigorose (la maggior parte delle piccole imprese non ne ha una), la rete si stabilizza rapidamente su un guazzabuglio di indirizzi IP che variano lentamente (non DHCP, non esattamente statico, più di un "statico fino al conflitto") kills-surfing "- peccato l'acronimo per quello è già preso). Alcune macchine, di solito quelle più stabili, usano il DHCP del router, le altre lentamente gravitano verso gli ISP o Google.

E così succede: la macchina Windows con il browser risolve l'IP guasto e non fa nulla. La macchina Linux si fida del risolutore DNS del router e riceve un indirizzo di malware.

A volte, il problema viene "risolto" cambiando l'indirizzo DNS sulla macchina, e nessuno si accorge che il router è ancora infetto, ma peggio ancora, è ancora vulnerabile . Oggi è stato il reindirizzamento DNS: domani un worm più intrusivo può stabilire un tunnel e scansionare le macchine intranet, sottrarre le condivisioni di dischi alla ricerca di informazioni preziose e, se non altro, tratteggiare l'intera larghezza di banda mentre lo fa.