Dirección IP misteriosa Secuestro

4

Estoy trabajando en el nuevo sitio web de un cliente. Para poner las cosas en marcha rápidamente, mantenemos su servicio de nombres de dominio y hospedamos el sitio web en otro servidor. El cliente compró el nombre de la URL hace años, nunca lo usó hasta ahora. Se estacionó en el registrador (register.com). Hicimos una configuración para apuntar a los servidores de alojamiento, luego creamos los punteros de subdominio apropiados, etc. ...

Así que estamos esperando que las cosas se propaguen. Pensé que revisaría el sitio, primero a través del navegador, sin ir. Todavía muestra que el sitio está estacionado, en register.com. Pensé en hacer ping al sitio con un intérprete de línea de comandos (en este caso, estoy usando Linux) y ver qué pasa.

Forma extraña. El sitio hace ping a una dirección IP de la que nunca había oído hablar. Suena a 208.91.197.39: Hmmm se pregunta de dónde vino eso. Conecté esa dirección IP directamente en el navegador, e inmediatamente fui enrutado a uno de los Cuidados de tener un virus, llame a XXX para salir de los sitios de la cárcel. Ugh.

Busco esa dirección IP en gwhois.org y está registrada en "Confluence Networks Inc, Road Town, Tortola, VG" No tenemos idea de cómo ocurrió esto.

Supongo que hay un script en ejecución que busca cualquier URL sin la ubicación de IP designada y se asigna a sí mismo en su lugar. ¿Es esto posible?

¿Alguien sabe lo que está pasando? ¿Deberíamos estar preocupados?

    
pregunta zipzit 02.07.2015 - 01:13
fuente

2 respuestas

2

Como dijo @schroeder, alguien (probablemente los mismos que controlan la IP 208.91.197.39) secuestró el DNS de su registrador. Esto significa que cambiaron los registros DNS para que el nombre del dominio (lo que usted llama incorrectamente "URL") que compró su cliente ahora apunte a la IP 208.91.197.39 en lugar de a la IP o el dominio legítimos asignados a su cliente.

La razón por la que hacen eso es múltiple: por ejemplo, para generar tráfico para un sitio web que aloja anuncios / estafas / malware, o para suplantar a otro dominio para cometer fraudes.

    
respondido por el dr01 02.07.2015 - 14:02
fuente
1

TL; DR podría ser el enrutador que se ha infectado.

Mi razonamiento es el siguiente. La OP dijo,

  1. Pensé que revisaría el sitio, primero a través del navegador, sin ir. Todavía muestra que el sitio está estacionado, en register.com.
  2. Pensé en hacer ping al sitio con un intérprete de línea de comandos (en este caso, estoy usando Linux) y ver qué sucede. Camino extraño El sitio hace ping a una dirección IP de la que nunca había oído hablar. Suena a 208.91.197.39
  3. Conecté esa dirección IP directamente en el navegador, e inmediatamente fui enrutado a uno de esos Cuidado, tienes un virus, llama a XXX para salir de los sitios de la cárcel.

Si se trataba de un secuestro de DNS, debería haber obtenido la misma dirección IP en el navegador y en la CLI. Y sabemos que la IP funciona como un host web, por lo que debería haber funcionado como # 3 tanto en el caso # 1 como en el caso # 2.

Mi hipótesis es que el navegador y la línea de comandos de Linux están en dos máquinas diferentes, con diferentes DNS.

Dado que uno de los dos DNS parece devolver un resultado que parece correcto (además, no se dijo nada acerca de los fallos de funcionamiento de los navegadores, lo que debería notarse mucho más rápido que los fallos de PING), me inclino a cree que el navegador lo tenía correcto y, por lo tanto, un DNS estaba configurado correctamente.

¿De dónde viene la segunda respuesta del DNS (el malvado)? Me preocuparía del enrutador . Hay varios gusanos que intentan dividirse en enrutadores no seguros y reemplazan el servidor DNS con uno falso que suministra direcciones infectadas a sus clientes.

Sin embargo, lo que veo que sucede en varias instalaciones pequeñas es que, con bastante frecuencia, el "propietario" de una estación de trabajo alternará con la configuración de IP, por ejemplo, al pasar de DHCP a la dirección IP estática y colocar las entradas de DNS "más rápidas" ( nueve casos de cada diez, 8.8.8.8 de Google) en la configuración de resolución. A falta de un administrador de TI proactivo y políticas estrictas establecidas (la mayoría de las empresas pequeñas no tienen una), la red se estabiliza rápidamente en un conjunto de direcciones IP que varían lentamente (no DHCP, no es exactamente estática; más bien es una "estática hasta conflicto" kills-surfing "- lástima el acrónimo de que ya está tomado). Algunas máquinas, generalmente las más estables, utilizan el DHCP del enrutador, las otras gravitan lentamente hacia los ISP o los de Google.

Y así sucede: la máquina de Windows con el navegador resuelve la IP muerta y no hace nada. La máquina Linux confía en el sistema de resolución de DNS del enrutador y recibe una dirección de malware.

A veces, el problema se "resuelve" cambiando la dirección DNS en la máquina, y nadie se da cuenta de que el enrutador todavía está infectado, pero peor aún, es vulnerable . Hoy se realizó la redirección de DNS: mañana, un gusano más intrusivo puede establecer un túnel y escanear las máquinas de la intranet, desviar las partes del disco en busca de información valiosa y, en todo caso, acaparar todo el ancho de banda mientras lo hace.

    
respondido por el LSerni 06.12.2015 - 18:04
fuente

Lea otras preguntas en las etiquetas