Alguien registró un nombre de dominio con la IP de mi VPS [duplicado]

Navega tus respuestas
8

Hace unos meses alquilé un servidor VPS para ejecutar mi sitio web. Hoy, miré /var/log/apache2/access.log y noté una línea extraña: 

192.0.2.123 - - [02/Aug/2015:05:21:29 -0400] "GET / HTTP/1.1" 200 4043 "http://buttons-for-website.com" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:38 -0400] "GET /ressources/css/genericons.css HTTP/1.1" 200 14062 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:38 -0400] "GET /ressources/css/style.css HTTP/1.1" 200 894 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:38 -0400] "GET /ressources/css/header-style.css HTTP/1.1" 200 1208 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:38 -0400] "GET /ressources/js/mobile.js HTTP/1.1" 200 774 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:40 -0400] "GET /ressources/frameworks/font-awesome/css/font-awesome.min.css HTTP/1.1" 200 5782 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:44 -0400] "GET /ressources/img/nav.svg HTTP/1.1" 200 966 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"

No fue http://example.com/ , lo cambié por razones de privacidad. Estaba intrigado y decidí ir a ese sitio. Me sorprendió ver que era la copia exacta de la mía. Con mis propios archivos personales (CV, etc). Así que decidí verificar la dirección IP de ese sitio web: 

; <<>> DiG 9.8.3-P1 <<>> example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10369
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;example.com.       IN  A

;; ANSWER SECTION:
example.com.    14400   IN  A   IP_OF_MY_WEBSERVER

;; Query time: 60 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Tue Aug  4 16:52:53 2015
;; MSG SIZE  rcvd: 49

Me sorprendió ver que era la IP de mi propio VPS. De hecho, parece que alguien alquiló el nombre de dominio example.com y lo vinculó a mi sitio web.

- ¿Por qué alguien haría eso?
- ¿Hay algún problema de seguridad que deba preocuparme?

    
pregunta Jovial 04.08.2015 - 17:05
fuente

3 respuestas

5

Aunque podría ser parte de algún ataque, mi sospecha es que fue un error. Tal vez el solicitante tenía esa propiedad intelectual anteriormente. Tendrá que verificar los detalles de su compañía VPS / plan. Puede tener una IP fija o una variable (no es probable). Incluso con una IP fija, el proveedor de VPS probablemente le dio esa IP a un usuario de VPS anterior.

Sin embargo, sucedió, necesitan obtener una nueva IP.

Existe la posibilidad de que la entrada de DNS para bye-powerpoint.com aún apunte a su dirección IP. Si este es el caso, probablemente significa que el sitio está muerto (de lo contrario, habrían notado que su sitio se ha vuelto inaccesible).

Acciones que puedes tomar:

  1. Comuníquese con su proveedor de VPS y vea si pueden ayudarlo. Le han dado una dirección IP que es propensa al spam. Deben arreglarlo o darte otro.
  2. Busque el nombre de dominio en un sitio whois en línea (por ejemplo: este ) y vea si puede obtener Información de contacto sobre el titular. Por lo general, puede recibir un correo electrónico (aunque a veces es solo una caída). Hágales saber el problema y vea si lo pueden / pueden corregir.
  3. Comuníquese con el registrador que registró bye-powerpoint.com y hágales saber lo que está pasando. Deberían arreglar la asignación de DNS una vez que sepan que está mal.
  4. Puede configurar su servidor web para que tenga un host virtual que rechace las solicitudes, tal vez con un código de estado 403.

Espero que esto ayude.

EDITAR: Actualicé la respuesta según los comentarios. Gracias a todos por la ayuda.

    
respondido por el Neil Smithline 04.08.2015 - 17:23
fuente
4

Supongo que para esto sería que la persona ha cometido un error y no tenía la intención de configurar el servidor web como la dirección IP de su sitio. Podría ser que tenían la intención de aparcar el dominio y obtuvieron una dirección IP incorrecta

En cuanto a los riesgos de seguridad, el principal podría ser que el contenido de su sitio aparece bajo su nombre de dominio, pero eso no suena demasiado probable como un riesgo genérico (que es todo lo que se puede decir sin ver el contenido). de su sitio).

Si desea bloquear el tráfico, puede configurar un Vhost en Apache para que, si alguien llega a su servidor con ese nombre de dominio, se lo redirige o puede mostrar una página que dice "hey this isn ' t tu servidor "o algo similar.

    
respondido por el Rоry McCune 04.08.2015 - 17:25
fuente
3

Una posibilidad sería probar el Internet Archive o similar para verificar cómo se veía el sitio en el pasado. Es posible que luego pueda señalar cuándo hubo el cambio y si fue legítimo en el pasado.

Probablemente también querrá ver la fecha en que se registró por primera vez el dominio. ¿Fue hace algunos años, o más recientemente? Si hace más tiempo, podría tratarse de un cambio de VPS, con el dominio no actualizado. Si es reciente podría ser un error tipográfico o malicioso.

Recomiendo configurar su servidor para que solo sirva páginas de dominios conocidos, para evitar este problema.

    
respondido por el Shaun McDonald 04.08.2015 - 20:04
fuente

Lea otras preguntas en las etiquetas

¿Es segura la transmisión de un mensaje firmado con 'ssh-agent' como contraseña? Popularidad de IDSes basadas en anomalías