Witryna wyłudzająca informacje używa subdomeny, której nigdy nie zarejestrowałem

42

Niedawno otrzymałem następującą wiadomość z Narzędzi Google dla webmasterów:

Drogi właścicielu strony lub webmasterze http://gotgenes.com/ ,

[...]

Poniżej znajduje się co najmniej jeden przykładowy adres URL w Twojej witrynie, który może być częścią ataku phishingowego:

http://repair.gotgenes.com/~elmsa/.your-account.php

[...]

Nie rozumiem tego, że nigdy nie miałem subdomeny repair.gotgenes.com, ale odwiedzenie jej w przeglądarce daje rzeczywisty Mój DNS to FreeDNS , który nie zawiera subdomeny naprawy. Moja nazwa domeny jest zarejestrowana w GoDaddy, a serwery nazw są poprawnie ustawione na NS1.AFRAID.ORG, NS2.AFRAID.ORG, NS3.AFRAID.ORG i NS4.AFRAID.ORG.

Mam następujące pytania:

  1. Gdzie naprawdę jest zarejestrowana naprawa.gotgenes.com?
  2. Jak to zostało zarejestrowane?
  3. Jakie działania mogę podjąć, aby usunąć je z DNS?
  4. Jak mogę temu zapobiec w przyszłości?

To jest dość niepokojące; Wydaje mi się, że moja domena została przejęta. Każda pomoc będzie mile widziana.

gotgenes
źródło
1
Czy Twój panel sterowania ma moc kontrolowania Twojego DNS, podobnie jak wiele paneli sterowania? Jeśli tak, to właśnie tam szukałem włamania.
Oli
2
Powiedział, że używa FreeDNS. Nie spodziewałbym się, że wszyscy się z nim zaznajomią, ale to nie jest hosting, nie ma „Panelu sterowania”, a pozostałe odpowiedzi są nie tylko poprawne, ale mają istotne szczegóły.
Chris S

Odpowiedzi:

78

Westchnienie. Miałem kilku klientów wpadających w pułapkę, używając afraid.org jako dostawcy DNS. Ponieważ są one bezpłatne, pozwalają wszystkim, którzy chcą tworzyć poddomeny poza domeną podstawową, chyba że wyraźnie to zabronisz.

Możesz zobaczyć tutaj: https://freedns.afraid.org/domain/registry/?sort=5&q=gotgenes&submit=SEARCH, że ktoś utworzył 79 subdomen z Twojej podstawowej domeny.

Nigdy. zawsze. zawsze. zawsze. użyj afraid.org jako strony, na której ci zależy.

Mark Henderson
źródło
6
Łał. Dzięki za znak informacyjny, bardzo przydatny, choć przerażający, a nawet lekkomyślny ze strony afraid.org. DNS jest wystarczający jako wektor, naprawdę muszą zmienić tę zasadę. +1
mcauth
4
Dzięki bezpłatnym dostawcom zazwyczaj dostajesz to, za co płacisz. :)
John Gardeniers
2
W tym przypadku wygląda na to, że dostałeś jeszcze mniej niż zapłaciłeś.
Shadur,
Czy wyjaśniają, dlaczego zachowują się tak niebezpiecznie?
Dan Neely,
13
Tak działa freedns. Zapewniają każdej osobie możliwość utworzenia subdomeny w tysiącach innych domen, które są darowane przez inne osoby. To, co robią, czyste i proste. Każdy, kto nie zdaje sobie z tego sprawy, nie miał pojęcia, co robią, kiedy zapisał się na wolności.
user606723,
13

Jeśli chcesz, aby domena była tylko do użytku, musisz ją skonfigurować w ten sposób: http://freedns.afraid.org/queue/explanation.php

FreeDNS to, jak wspomnieli inni, przede wszystkim usługa rejestracji nazwy hosta w jednej z wielu dostępnych domen; dodając domenę do FreeDNS, domyślnie dodajesz do zestawu domen dostępnych dla każdego.

Malcolm Scott
źródło
7
com.            172800  IN  NS  e.gtld-servers.net.
com.            172800  IN  NS  l.gtld-servers.net.
com.            172800  IN  NS  c.gtld-servers.net.
com.            172800  IN  NS  a.gtld-servers.net.
com.            172800  IN  NS  i.gtld-servers.net.
com.            172800  IN  NS  m.gtld-servers.net.
com.            172800  IN  NS  b.gtld-servers.net.
com.            172800  IN  NS  f.gtld-servers.net.
com.            172800  IN  NS  j.gtld-servers.net.
com.            172800  IN  NS  d.gtld-servers.net.
com.            172800  IN  NS  g.gtld-servers.net.
com.            172800  IN  NS  h.gtld-servers.net.
com.            172800  IN  NS  k.gtld-servers.net.
;; Received 509 bytes from 192.36.148.17#53(192.36.148.17) in 551 ms

gotgenes.com.       172800  IN  NS  ns1.afraid.org.
gotgenes.com.       172800  IN  NS  ns2.afraid.org.
gotgenes.com.       172800  IN  NS  ns3.afraid.org.
gotgenes.com.       172800  IN  NS  ns4.afraid.org.
;; Received 119 bytes from 2001:503:a83e::2:30#53(2001:503:a83e::2:30) in 395 ms

repair.gotgenes.com.    3600    IN  A   209.217.234.183
gotgenes.com.       3600    IN  NS  ns4.afraid.org.
gotgenes.com.       3600    IN  NS  ns1.afraid.org.
gotgenes.com.       3600    IN  NS  ns3.afraid.org.
gotgenes.com.       3600    IN  NS  ns2.afraid.org.
;; Received 227 bytes from 174.37.196.55#53(174.37.196.55) in 111 ms

Otrzymuję odpowiedź z nsX.afraid.org - tych samych serwerów nazw, które są wymienione dla Twojej domeny.

Tak też powiedziałbym

  • Twoje konto DNS zostało zhakowane
  • Utworzyłeś rekord, którego nie pamiętasz
  • Pracownik z Twoim hostem DNS jest uszkodzony
  • Twój serwer DNS został zhakowany i rekordy są tworzone bez ich możliwości zobaczenia.
Frands Hansen
źródło
9
To nie jest tak bardzo, jak został zhakowany, a zamiast tego otworzył całą swoją nazwę firmy otwartą na nadużycia za pomocą afraid.org, który pozwala każdemu na utworzenie subdomeny poza domeną podstawową.
Mark Henderson
2
Nie miałem nawet wyobraźni, aby wyobrazić sobie, że zrobiłby to dostawca DNS. Nauczyłem się też czegoś nowego, co jest świetne: D
Frands Hansen
2

Domyślnie Twoja domena jest udostępniona. W ten sposób każdy może dodać subdomenę Twojej domeny. Możesz to zmienić w panelu domen i kliknąć wartość obok „Udostępnione:”, co powinno zmienić z Publiczny> Prywatny. Jeśli nie, prawdopodobnie został zhakowany lub coś w tym rodzaju.

Nieznany użytkownik
źródło
0

Ktoś zhakował twój serwer nazw. Sprawdź z kimkolwiek jest twój serwer nazw dla domeny. Serwer nazw jest zdefiniowany na koncie u rejestratora.

to facet
źródło
7
„Zgodnie z projektem”! = „Zhakowany”.
Andrew
0

Dodam tutaj niuans do już udzielonych odpowiedzi. Większość osób wskazała na możliwy problem z DNS. To ważny punkt. Kolejną możliwością są tak zwane poddomeny Wildcard (lub Catch-all). Możesz skonfigurować jedną z nich w ramach zaawansowanych edycji rekordów DNS, jak na załączonym obrazku.

Przykładem szczegółów na temat subdomen wieloznacznych jest: strona pomocy namecheap dot com na ten temat .

Pamiętaj, że sama subdomena nie jest zła, ale kiedy zaczynasz myśleć o fałszowaniu adresów e-mail i fałszywych stron internetowych, może to być dość poważne.

wprowadź opis zdjęcia tutaj

Alain
źródło