Il DNS risolve un indirizzo IP errato in un paese

14

Uno dei miei amici ha un sito di e-learning basato su Claroline. Due giorni fa, solo gli utenti svizzeri hanno iniziato a reindirizzare "in modo casuale" su un altro indirizzo IP durante l'accesso al dominio del sito Web.

Se forzo il server DNS a 8.8.8.8 o 9.9.9.9 sul PC degli studenti, il dominio viene risolto correttamente. Ma se rimango con il server DNS svizzero locale, si risolve in un indirizzo IP non valido (nella lista nera).

La parte strana è: non è solo questo cliente e il suo computer. Anche ogni studente residente in Svizzera è interessato. Ma non quelli francesi.

La seconda strana parte è: alcune pagine rispondono a questo falso indirizzo IP con il contenuto corretto. Come l'e-learning è stato duplicato su un altro server o memorizzato nella cache da qualche parte.

Il server è un vecchio Ubuntu 10.04.4 LTS e probabilmente non è protetto / configurato correttamente. Ho pieno accesso su questo server, ma non l'ho gestito, quindi non sono sicuro di cosa cercare o anche cosa fare.

Ecco cosa ho visto / provato finora:

  • Controllato tutto il vhost conf di Apache 2.
  • Iptables controllati (vuoti) e /etc/hostse /etc/resolv.conf(sicuri)
  • Chiesto a Swisscom (la principale telecom svizzera) se ha inserito nella blacklist il dominio o qualcosa del genere: No Base di controllo Claroline controllata: sembra sicura, ma è enorme. Non riesco a controllare tutti i file.

Ecco un nslookup su uno dei computer Windows degli studenti:

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

E, naturalmente, 195.186.210.161 non è l'indirizzo IP corretto del server.

Non sono un amministratore di sistema. Sto solo aiutando un amico, quindi non sono sicuro di cosa guardare dopo.

domain-name-system 
iizno
fonte
1
Forse è possibile che l'ISP di quegli studenti stia tentando di eseguire una memorizzazione nella cache intelligente e quindi interferisca con il DNS. Sono tutti nella stessa università per esempio? Se si utilizza HTTPS per il proprio server, è comunque possibile modificare il DNS, ma l'utente finale visualizzerebbe un errore del certificato se il risultato DNS punta a un server diverso dal proprio in quanto non sarebbe in possesso della chiave privata.
David,
1
Inoltre, sei sicuro che l'indirizzo IP del server sia statico? Ad esempio, se cambiano frequentemente o sono stati recentemente modificati all'interno del TTL del record DNS, è possibile che il DNS venga risolto in un vecchio (una volta valido IP), anche se ciò non spiegherebbe perfettamente il motivo per cui vedono il contenuto speculare. Se utilizzi uno strumento come mxtoolbox.com/DNSLookup.aspx potresti essere in grado di vedere il TTL del record A o del record CNAME associato al dominio.
David,
1
@DavidGoate Questa è la parte divertente, gli studenti sono a casa, in tutta la Francia e la Svizzera. Quello francese non ha alcun problema.
Iizno,
1
L'indirizzo IP del server @DavidGoate è fisso e mai modificato. dnschecker.org/#A/elearning.affis.ch non mostra alcun errore.
Iizno,
1
Salve, un'altra cosa che può succedere, visto che in passato ho riscontrato errori del genere, può essere un server DNS mal gestito dall'ISP. Ho visto la zona DNS che è stata trasferita ma non è mai stata cancellata a livello di ISP, portando così a strani errori.
yagmoth555

Risposte:

11

Come ha scritto MadHatter , questo è l'ISP (Swisscom) degli utenti finali che reindirizza il tuo sito attraverso un proxy di filtro. È molto probabile che tutti gli utenti che si abbonano al loro servizio Internet Guard vengano effettivamente sottoposti a proxy, non solo al tuo sito.

Dicono che il filtro è contro malware, phishing e virus, quindi non dovrebbe essere un problema di "classificazione", ma di sicurezza.

Il tuo primo passo dovrebbe quindi essere quello di verificare che il sito non sia stato infettato. I siti PHP tendono ad essere piuttosto vulnerabili (se qualcuno trova un modo per caricare un file .php da qualche parte nella gerarchia visibile, può quindi essere eseguito in remoto per fare tutto ciò che vogliono). Ci sono anche molti altri modi per fare del male (iniezioni di SQL, XSS memorizzato ...).

La tua home page non è bloccata, o almeno non sempre, quindi:

  • solo alcune delle pagine sono infette
  • l'infezione mostra solo una frazione del tempo richiesto dagli utenti (una strategia comune per volare sotto il radar)
  • o c'è qualcos'altro in alcune pagine che fa scattare un falso positivo

Puoi vedere tu stesso il risultato indicando l'indirizzo del sito web all'indirizzo IP del proxy. Puoi farlo modificando il tuo /etc/hostsfile (i dettagli variano in base alla piattaforma) e aggiungendo una riga:

195.186.210.161        elearning.affis.ch

È quindi possibile visitare il sito come uno di quegli utenti e vedere quali pagine sono bloccate o meno.

Una volta che hai una migliore idea di quali pagine sono bloccate o meno, potrebbe essere più facile individuare il problema reale. Quindi correggilo, o improvvisamente passerà subito, o potresti dover segnalare un falso positivo (c'è un link per quello in fondo alla pagina "bloccata").

Si noti che tentare di segnalare un falso positivo prima di verificare l'infezione sarebbe probabilmente controproducente. Prova molto a trovare e risolvere prima il problema.

modificare

Si noti che la versione di Claroline in esecuzione (1.11.9) presenta più vulnerabilità XSS note dal 2014:

Molteplici vulnerabilità di cross-site scripting (XSS) in Claroline 1.11.9 e precedenti consentono agli utenti remoti autenticati di iniettare script Web o HTML arbitrari tramite (1) il campo Cerca in un'azione posta in arrivo in messaggistica / messagebox.php, (2) il " Nome "field in auth / profile.php, oppure (3) il campo Speakers in un'azione rqAggiungi a calendar / agenda.php

Se il problema è effettivamente un attacco XSS memorizzato, prendi l'ultimo dump del tuo database e controlla se contiene qualcosa come un <scripttag (non dimenticare di cercare senza distinzione tra maiuscole e minuscole).

jcaron
fonte
18

Se si indirizza un browser all'indirizzo IP restituito, http://195.186.210.161/ , viene visualizzato il messaggio "sito Web pericoloso" di Swisscom bloccato. La mia ipotesi è che il loro sistema di blocco dei contenuti "Internet sicuro" funzioni, almeno in parte, mentendo in risposta alle richieste DNS, e che il tuo sito Web ne stia andando male, per qualche motivo.

Capisco che hai chiesto loro se ti stavano bloccando, ma nella mia esperienza anche il supporto tecnico di prima linea degli ISP di medie dimensioni non ha la minima idea di cosa stia succedendo. È del tutto possibile che l'intero sistema di baby sitter sia esternalizzato (o realizzato da un prodotto commerciale di terze parti) e che nessuno di Swisscom abbia idea di quali siti siano bloccati in un dato momento. Chiedere al tuo studente se ha qualche tipo di impostazione di "Internet bambinaia" può essere più produttivo.

Alla fine, questo potrebbe non essere un problema che puoi risolvere, dal momento che non sei il cliente dell'ISP e non ti devono nulla. Far sì che il genitore dello studente chiami il proprio supporto ISP, si lamenti ad alta voce della risoluzione DNS errata e minacci di cambiare ISP se non viene risolto, è probabilmente l'unica cosa che ha alcun effetto.

Modifica : questo thread suggerisce che il motore di blocco del sito di Swisscom può essere un po 'troppo entusiasta e che non è sempre facile ottenere da essi alcun tipo di risoluzione positiva. Suggerisce inoltre che questo non è un filtro opt-in, ma che si applica a tutti i clienti Swisscom, che lo apprezzino o meno, pertanto la loro rinuncia può rivelarsi difficile.

Cappellaio Matto
fonte
1
Ecco perché penso anche io, ma perché alcune pagine mostrano il contenuto corretto e altre sono appena scadute. ? È come se duplicassero alcune pagine.
Iizno,
7
Non sappiamo cosa stanno usando, quindi non possiamo sapere come funziona. Forse la decisione di prima linea viene presa al momento della risoluzione DNS, ma il sistema al 195.186.201.161 implementa una decisione di seconda linea basata sull'URL richiesto, inoltrando al server reale se e solo se decide che il contenuto è "sicuro" ". Una volta che le persone iniziano a cercare di piegare i protocolli Internet alla ricerca di una (irraggiungibile) visione di una rete "sicura", quasi tutto può andare storto.
MadHatter,
2
Sembra un problema che potrebbe essere risolto con un avvocato nella giusta giurisdizione ...
R .. GitHub FERMA AIUTANDO ICE
4
Se viene effettivamente sottoposto a proxy e scansionato, forzare HTTPS potrebbe aiutare (o ferire). L'ISP avrebbe almeno la scelta di bloccare l'intero sito o nessuno, piuttosto che bloccare alcune pagine e non altre. Ciò può rendere le cose meno confuse per gli utenti.
Joshua Dwire,
3
È del tutto possibile che l'intero sistema di baby sitter sia esternalizzato (o realizzato da un prodotto commerciale di terze parti) e che nessuno di Swisscom abbia idea di quali siti siano bloccati in un dato momento. Ho lavorato con un grande telco che fa esattamente questo, quindi posso confermare. Il supporto tecnico dell'ISP probabilmente non ha semplicemente modo di saperlo, tuttavia dovrebbero essere in grado di aprire un ticket a chiunque stia effettivamente eseguendo il sistema di classificazione in caso di problemi.
Bakuriu,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.