DNS rozwiązuje nieprawidłowy adres IP w jednym kraju

14

Jeden z moich przyjaciół ma stronę e-learningową opartą na Claroline. Dwa dni temu tylko użytkownicy ze Szwajcarii zaczęli przekierowywać „losowo” na inny adres IP podczas uzyskiwania dostępu do domeny witryny.

Jeśli wymuszę na serwerze DNS 8.8.8.8 lub 9.9.9.9 na komputerze studentów, domena zostanie poprawnie rozwiązana. Ale jeśli pozostanę z lokalnym szwajcarskim serwerem DNS, rozwiąże on zły adres IP (na czarnej liście).

Dziwne jest to, że to nie tylko ten jeden klient i jego własny komputer. Dotyczy to również każdego ucznia z siedzibą w Szwajcarii. Ale nie francuskie.

Druga dziwna część to: Niektóre strony z tego fałszywego adresu IP odpowiadają prawidłową treścią. Jak eLearning został zduplikowany na innym serwerze LUB gdzieś w pamięci podręcznej.

Serwer to stary Ubuntu 10.04.4 LTS i prawdopodobnie nie jest odpowiednio chroniony / skonfigurowany. Mam pełny dostęp do tego serwera, ale nie zarządzałem nim, więc nie jestem pewien, czego szukać, a nawet co robić.

Oto, na co dotychczas patrzyłem / próbowałem:

  • Sprawdzono wszystkie confhost vache Apache 2.
  • Sprawdzone iptables (puste) /etc/hostsi /etc/resolv.conf(bezpieczne)
  • Zapytał Swisscom (główny szwajcarski operator telekomunikacyjny), czy umieścił domenę na czarnej liście czy coś w tym rodzaju: Nie. Sprawdziłem bazę kodu cleoline: wygląda bezpiecznie, ale jest ogromna. Nie mogę sprawdzić wszystkich plików.

Oto nslookup na jednym ze studenckich komputerów z systemem Windows:

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

I oczywiście 195.186.210.161 nie jest prawidłowym adresem IP serwera.

Nie jestem administratorem systemu. Pomagam tylko przyjacielowi, więc nie jestem pewien, co dalej.

domain-name-system iizno
źródło
1
Być może ISP tych studentów próbuje przeprowadzić pewne inteligentne buforowanie, a więc ingeruje w DNS. Czy wszyscy są na przykład na tym samym uniwersytecie? Jeśli korzystasz z HTTPS dla swojego serwera, może on nadal modyfikować DNS, ale użytkownik końcowy zobaczy błąd certyfikatu, jeśli wynik DNS wskazuje na inny serwer niż twój, ponieważ nie byłby w posiadaniu klucza prywatnego.
David,
1
Czy jesteś pewien, że adres IP serwera jest statyczny? Na przykład, jeśli często zmienia się lub ostatnio zmienia się w ramach TTL rekordu DNS, możliwe jest, że DNS jest tłumaczony na stary (niegdyś ważny adres IP) - chociaż to nie wyjaśniałoby doskonale, dlaczego widzą dublowaną zawartość. Jeśli używasz narzędzia takiego jak mxtoolbox.com/DNSLookup.aspx, możesz zobaczyć TTL rekordu A lub CNAME dołączonego do domeny.
David,
1
@DavidGoate To jest fajna część, studenci są w domu, w całej Francji i Szwajcarii. Francuski nie ma żadnego problemu.
iizno
1
@DavidGoate IP serwera jest poprawiony i nigdy nie zmieniany. dnschecker.org/#A/elearning.affis.ch nie wyświetla żadnych błędów.
iizno
1
Cześć, kolejna rzecz, która może się zdarzyć, ponieważ widziałem taki błąd w przeszłości, może to być źle utrzymany serwer DNS przez dostawcę usług internetowych. Widziałem strefę DNS, która została przeniesiona, ale nigdy nie została usunięta na poziomie ISP, co prowadzi do dziwnego błędu.
yagmoth555

Odpowiedzi:

11

Jak napisał MadHatter , jest to ISP użytkowników końcowych (Swisscom) przekierowujący twoją witrynę za pośrednictwem filtrującego proxy. Jest całkiem prawdopodobne, że wszyscy użytkownicy subskrybujący swoje usługi Internet Guard są w rzeczywistości za pośrednictwem serwera proxy, nie tylko Twoja witryna.

Mówią, że filtr chroni przed złośliwym oprogramowaniem, phishingiem i wirusami, więc nie powinien to być problem „klasyfikacji”, ale bezpieczeństwa.

Pierwszym krokiem powinno być sprawdzenie, czy witryna nie została zainfekowana. Witryny PHP są zwykle bardzo wrażliwe (jeśli ktoś znajdzie sposób na przesłanie pliku .php gdzieś w widocznej hierarchii, może on zostać wykonany zdalnie, aby zrobić cokolwiek zechce). Istnieje również wiele innych sposobów wyrządzenia krzywdy (zastrzyki SQL, przechowywane XSS ...).

Twoja strona główna nie jest zablokowana, a przynajmniej nie cały czas, więc albo:

  • zainfekowane są tylko niektóre strony
  • infekcja pokazuje tylko ułamek czasu na prośby użytkowników (wspólna strategia latania pod radarem)
  • lub na niektórych stronach jest coś, co wywołuje fałszywy alarm

Możesz zobaczyć wynik samodzielnie, wskazując adres strony internetowej na adres IP serwera proxy. Możesz to zrobić, edytując /etc/hostsplik (szczegóły różnią się w zależności od platformy) i dodając wiersz:

195.186.210.161        elearning.affis.ch

Następnie możesz odwiedzić witrynę jako jeden z tych użytkowników i zobaczyć, które strony są zablokowane, czy nie.

Gdy masz lepsze pojęcie o tym, które strony są blokowane, czy nie, łatwiej będzie wskazać rzeczywisty problem. Następnie napraw go, albo albo nagle przejdzie natychmiast, albo będziesz musiał zgłosić fałszywy alarm (link znajduje się na dole „zablokowanej” strony).

Pamiętaj, że próba zgłoszenia fałszywego wyniku pozytywnego przed sprawdzeniem infekcji prawdopodobnie przyniesie efekt przeciwny do zamierzonego. Najpierw bardzo spróbuj znaleźć i rozwiązać problem.

Edytować

Uwaga: uruchomiona wersja Claroline (1.11.9) ma wiele luk w zabezpieczeniach XSS znanych od 2014 roku:

Wiele luk w zabezpieczeniach skryptów krzyżowych (XSS) w Claroline 1.11.9 i wcześniejszych umożliwia zdalnym uwierzytelnionym użytkownikom wstrzykiwanie dowolnego skryptu internetowego lub HTML poprzez (1) pole wyszukiwania w akcji skrzynki odbiorczej do wiadomości / messagebox.php, (2) „ Imię ”do auth / profile.php lub (3) pole Głośniki w akcji rqDodaj do calendar / agenda.php

Jeśli problem dotyczy rzeczywiście przechowywanego ataku XSS, zrób najnowszy zrzut bazy danych i sprawdź, czy zawiera coś takiego jak <scriptznacznik (nie zapomnij wyszukiwać bez rozróżniania wielkości liter).

Jcaron
źródło
18

Jeśli wskażesz przeglądarkę na zwrócony adres IP, http://195.186.210.161/ , otrzymasz komunikat „niebezpieczna strona internetowa” zablokowana przez Swisscom. Domyślam się, że ich system blokowania zawartości „bezpiecznego internetu” działa, przynajmniej częściowo, kłamając w odpowiedzi na żądania DNS i że twoja strona internetowa z jakiegoś powodu się z nimi nie zgadza.

Rozumiem, że zapytałeś ich, czy cię blokują, ale z mojego doświadczenia wynika, że ​​nawet wsparcie techniczne średniego dostawcy ISP nie ma najmniejszego pojęcia, co się dzieje. Jest całkiem możliwe, że cały system niania jest zlecany na zewnątrz (lub przez produkt komercyjny innej firmy) i że nikt nie w Swisscom nie ma pojęcia, które strony są blokowane w danym momencie. Zapytanie ucznia, czy ma jakieś ustawienia „Internet dla niani”, może być bardziej produktywne.

Na koniec dnia może nie być to problem, który możesz rozwiązać, ponieważ nie jesteś klientem tego usługodawcy internetowego i nie są ci nic winni. Gdy rodzic ucznia zadzwoni do swojego dostawcy usług internetowych, głośno narzeka na niewłaściwe rozwiązanie DNS i grozi zmianą usługodawcy internetowego, jeśli nie zostanie rozwiązany, prawdopodobnie będzie to jedyna rzecz, która ma jakikolwiek skutek.

Edycja : ten wątek sugeruje, że silnik blokujący witryny Swisscom może być nieco zbyt entuzjastyczny i że nie zawsze łatwo jest uzyskać od nich jakąkolwiek pozytywną rozdzielczość. Sugeruje również, że nie jest to filtr opt-in, ale dotyczy wszystkich klientów Swisscom, czy im się to podoba, czy nie, więc rezygnacja z niego może okazać się trudna.

Szalony Kapelusznik
źródło
1
Dlatego też tak myślę, ale dlaczego niektóre strony wyświetlają poprawną treść, a inne właśnie się skończyły. ? To tak, jakby duplikowały niektóre strony.
iizno
7
Nie wiemy, czego używają, więc nie wiemy, jak to działa. Być może decyzja pierwszego wiersza jest podejmowana w czasie rozpoznawania DNS, ale system na 195.186.201.161 implementuje decyzję drugiego wiersza na podstawie żądanego adresu URL, przekazując dane do prawdziwego serwera wtedy i tylko wtedy, gdy uzna, że ​​treść jest „bezpieczna „. Gdy ludzie zaczną próbować naginać protokoły internetowe w dążeniu do (nieosiągalnej) wizji „bezpiecznego” Internetu, prawie wszystko może pójść nie tak.
MadHatter
2
Wydaje się, że to problem, który można rozwiązać z prawnikiem we właściwej jurysdykcji ...
R .. GitHub ZATRZYMAJ LODĘ
4
Jeśli faktycznie jest proxy i skanowane, wymuszenie HTTPS może pomóc (lub zranić). Dostawca usług internetowych miałby przynajmniej wybór zablokowania całej witryny lub wcale, zamiast zablokować niektóre strony, a nie inne. Może to sprawić, że użytkownicy będą mniej mylący.
Joshua Dwire,
3
Całkiem możliwe, że cały system niania jest zlecany na zewnątrz (lub przez zewnętrzny produkt komercyjny) i że nikt w Swisscom nie ma pojęcia, które strony są blokowane w danym momencie. Pracowałem z dużym telco, który właśnie to robi, więc mogę to potwierdzić. Wsparcie techniczne ISP prawdopodobnie po prostu nie jest w stanie się dowiedzieć, jednak w przypadku wystąpienia problemu powinni oni być w stanie otworzyć bilet dla każdego, kto faktycznie prowadzi system klasyfikacji.
Bakuriu