Mystery IP address Hijack

4

Sto lavorando al nuovo sito web di un cliente. Per fare in modo che tutto funzioni rapidamente, stiamo mantenendo il suo servizio di nomi di dominio e ospitando il sito Web su un altro server. Il cliente ha acquistato il nome dell'URL anni fa, non l'ha mai usato fino ad ora. E 'stato parcheggiato al registrar (register.com) Abbiamo fatto un setup per indicare i server di hosting, quindi creato i puntatori del sottodominio appropriati, ecc ...

Quindi stiamo aspettando che le cose si propaghino. Ho pensato di controllare il sito, prima via browser, no. Mostra ancora il sito è parcheggiato, su register.com. Ho pensato di eseguire il ping del sito con un interprete della riga di comando (in questo caso sto usando Linux) e vedere cosa succede.

Modo strano. Il sito esegue il ping ad un indirizzo IP di cui non ho mai sentito parlare prima. Fa un ping a 208.91.197.39: Hmmm si chiedono da dove viene. Ho inserito l'indirizzo IP direttamente nel browser, e ho subito indirizzato su di quelli Attenzione fai un virus, chiama XXX per uscire dai siti di prigione. Ugh.

Controllo l'indirizzo IP su gwhois.org e il suo registro su "Confluence Networks Inc, Road Town, Tortola, VG" Non abbiamo idea di come sia successo.

Suppongo che esista uno script in esecuzione che cerca qualsiasi URL senza un indirizzo IP designato e si riassegna invece. È persino possibile?

Qualcuno sa cosa sta succedendo? Dovremmo essere preoccupati?

    
posta zipzit 02.07.2015 - 01:13
fonte

2 risposte

2

Come ha detto @schroeder, qualcuno (probabilmente gli stessi che controllano l'IP 208.91.197.39) ha dirottato il DNS del tuo registrar. Ciò significa che hanno modificato i record DNS in modo che il nome del dominio (che in modo errato chiama "URL") che il cliente ha acquistato ora punti all'IP 208.91.197.39 anziché all'IP o dominio legittimo assegnato al cliente.

Il motivo per cui lo fanno sono molti: ad esempio per generare traffico per un sito web che ospita pubblicità / truffe / malware, o per impersonare un altro dominio per fare frodi.

    
risposta data 02.07.2015 - 14:02
fonte
1

TL; DR potrebbe essere il router che è stato infettato.

Il mio ragionamento è il seguente. L'OP ha detto,

  1. Ho pensato di controllare il sito, prima via browser, no. Mostra ancora il sito è parcheggiato, su register.com.
  2. Ho pensato di eseguire il ping del sito con un interprete della riga di comando (in questo caso sto usando Linux) e vedere cosa succede. Molto strano Il sito esegue il ping ad un indirizzo IP di cui non ho mai sentito parlare prima. Fa ping a 208.91.197.39
  3. Ho inserito l'indirizzo IP direttamente nel browser e ho immediatamente indirizzato su di esso. Attenti ai virus, chiama XXX per uscire dai siti di prigione.

Se si trattava di un dirottamento DNS, avrebbe dovuto ottenere lo stesso indirizzo IP nel browser e nella CLI. E sappiamo che l'IP funziona come un host Web, quindi avrebbe dovuto funzionare come # 3 sia nel caso # 1 che nel caso # 2.

La mia ipotesi è che il browser e la riga di comando di Linux siano su due macchine diverse, con DNS diversi.

Dal momento che uno dei due DNS sembra restituire un risultato che sembra corretto (inoltre, non è stato detto nulla circa i malfunzionamenti del browser, che dovrebbero essere notati molto più velocemente dei malfunzionamenti di PING), sono propenso a crediamo che il browser avesse ragione e, quindi, un DNS era configurato correttamente.

Da dove viene la seconda risposta DNS (quella malwared)? Sarei diffidente del router . Ci sono diversi worm che provano e si infrangono su router non sicuri e sostituiscono il server DNS con un ladro che fornisce indirizzi infetti ai propri clienti.

Quello che vedo succedere, però, in diverse piccole installazioni, è che molto spesso il "proprietario" di una workstation si diverte con le impostazioni IP, ad esempio spostando da DHCP a indirizzo IP statico e inserendo voci DNS "più veloci" ( nove casi su dieci, Google 8.8.8.8) nell'impostazione del resolver. In assenza di un amministratore IT proattivo e di politiche rigorose (la maggior parte delle piccole imprese non ne ha una), la rete si stabilizza rapidamente su un guazzabuglio di indirizzi IP che variano lentamente (non DHCP, non esattamente statico, più di un "statico fino al conflitto") kills-surfing "- peccato l'acronimo per quello è già preso). Alcune macchine, di solito quelle più stabili, usano il DHCP del router, le altre lentamente gravitano verso gli ISP o Google.

E così succede: la macchina Windows con il browser risolve l'IP guasto e non fa nulla. La macchina Linux si fida del risolutore DNS del router e riceve un indirizzo di malware.

A volte, il problema viene "risolto" cambiando l'indirizzo DNS sulla macchina, e nessuno si accorge che il router è ancora infetto, ma peggio ancora, è ancora vulnerabile . Oggi è stato il reindirizzamento DNS: domani un worm più intrusivo può stabilire un tunnel e scansionare le macchine intranet, sottrarre le condivisioni di dischi alla ricerca di informazioni preziose e, se non altro, tratteggiare l'intera larghezza di banda mentre lo fa.

    
risposta data 06.12.2015 - 18:04
fonte

Leggi altre domande sui tag