DNS แก้ไขที่อยู่ IP ผิดในหนึ่งประเทศ

14

เพื่อนคนหนึ่งของฉันมีเว็บไซต์อีเลิร์นนิ่งอิงจาก Claroline สองวันที่ผ่านมามีเพียงผู้ใช้สวิสเซอร์แลนด์เท่านั้นที่เริ่มรับการเปลี่ยนเส้นทางแบบ "สุ่ม" ในที่อยู่ IP อื่นเมื่อเข้าถึงโดเมนเว็บไซต์

ถ้าฉันบังคับให้เซิร์ฟเวอร์ DNS ไปที่ 8.8.8.8 หรือ 9.9.9.9 บนพีซีของนักเรียนโดเมนนั้นจะได้รับการแก้ไขอย่างถูกต้อง แต่ถ้าฉันอยู่กับเซิร์ฟเวอร์ DNS ของสวิสนั้นจะแก้ไขเป็นที่อยู่ IP ที่ไม่ดี (บัญชีดำ)

ส่วนที่แปลกคือมันไม่ใช่แค่ลูกค้าคนนี้และคอมพิวเตอร์ของเขาเท่านั้น นักเรียนทุกคนที่อยู่ในสวิตเซอร์แลนด์ก็ได้รับผลกระทบเช่นกัน แต่ไม่ใช่คนฝรั่งเศส

ส่วนที่สองที่แปลกคือ: บางหน้าตอบสนองจากที่อยู่ IP ที่ผิดพลาดนี้พร้อมเนื้อหาที่ถูกต้อง เช่นเดียวกับ eLearning ที่ซ้ำกันบนเซิร์ฟเวอร์อื่นหรือแคชไว้ที่อื่น

เซิร์ฟเวอร์เป็น Ubuntu 10.04.4 LTS เก่าและอาจไม่ได้รับการป้องกัน / กำหนดค่าอย่างถูกต้อง ฉันสามารถเข้าถึงเซิร์ฟเวอร์นี้ได้อย่างสมบูรณ์ แต่ฉันไม่ได้จัดการมันดังนั้นฉันจึงไม่แน่ใจว่าจะมองหาอะไรหรือต้องทำอะไร

นี่คือสิ่งที่ฉันดู / ลองมา:

  • ตรวจสอบทั้งหมด Apache 2 vhost conf
  • iptables ที่ตรวจสอบแล้ว (ว่างเปล่า) /etc/hostsและ/etc/resolv.conf(ปลอดภัย)
  • ถาม Swisscom (โทรคมนาคมสวิสหลัก) ว่าพวกเขาขึ้นบัญชีดำหรืออะไรบางอย่าง: Nope Checked รหัสฐาน claroline: มันดูปลอดภัย แต่มันใหญ่มาก ฉันไม่สามารถตรวจสอบไฟล์ทั้งหมด

นี่คือ nslookup บนคอมพิวเตอร์ Windows เครื่องใดเครื่องหนึ่งของนักเรียน:

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

และแน่นอน 195.186.210.161 ไม่ใช่ที่อยู่ IP ที่ถูกต้องของเซิร์ฟเวอร์

ฉันไม่ใช่ผู้ดูแลระบบ ฉันแค่ช่วยเพื่อนดังนั้นฉันไม่แน่ใจว่าจะมองอะไรต่อไป

domain-name-system 
iizno
แหล่งที่มา
1
บางทีอาจเป็นไปได้ว่า ISP ของนักเรียนเหล่านั้นกำลังพยายามทำการแคชอัจฉริยะและมีการรบกวน DNS พวกเขาทั้งหมดอยู่ในมหาวิทยาลัยเดียวกันหรือไม่ หากคุณใช้ HTTPS สำหรับเซิร์ฟเวอร์ของพวกเขาพวกเขายังคงสามารถแก้ไข DNS ได้ แต่ผู้ใช้จะเห็นข้อผิดพลาดใบรับรองหากผลลัพธ์ DNS ชี้ไปยังเซิร์ฟเวอร์อื่นที่ไม่ใช่ของคุณเองเนื่องจากพวกเขาจะไม่ได้ครอบครองคีย์ส่วนตัว
David
1
นอกจากนี้คุณแน่ใจหรือว่าที่อยู่ IP ของเซิร์ฟเวอร์เป็นแบบคงที่หรือไม่ ตัวอย่างเช่นหากการเปลี่ยนแปลงบ่อยครั้งหรือเปลี่ยนแปลงเร็ว ๆ นี้ภายใน TTL ของระเบียน DNS อาจเป็นไปได้ว่า DNS กำลังได้รับการแก้ไขให้เป็นเก่า หากคุณใช้เครื่องมือเช่นmxtoolbox.com/DNSLookup.aspxคุณอาจเห็น TTL ของระเบียน A หรือระเบียน CNAME ที่แนบกับโดเมน
David
1
@DavidGoate นั่นคือส่วนที่สนุกสนานนักเรียนอยู่ที่บ้านทั่วประเทศฝรั่งเศสและสวิตเซอร์แลนด์ คนฝรั่งเศสไม่มีปัญหาใด ๆ
iizno
1
@DavidGoate เซิร์ฟเวอร์ IP นั้นได้รับการแก้ไขและไม่เคยเปลี่ยนแปลง dnschecker.org/#A/elearning.affis.chจะไม่แสดงข้อผิดพลาดใด ๆ
iizno
1
สวัสดีอีกสิ่งหนึ่งที่สามารถเกิดขึ้นได้เมื่อฉันเห็นข้อผิดพลาดบางอย่างเช่นที่ผ่านมา ISP อาจได้รับการดูแลรักษาเซิร์ฟเวอร์ DNS ที่ไม่ดี ฉันเห็นโซน DNS ที่ถ่ายโอน แต่ไม่เคยลบในระดับ ISP จึงนำไปสู่ข้อผิดพลาดแปลก ๆ
yagmoth555

คำตอบ:

11

ดังที่MadHatterเขียนนี่คือ ISP (Swisscom) ของผู้ใช้ปลายทางที่กำหนดเส้นทางไซต์ของคุณใหม่ผ่านพร็อกซีการกรอง อาจเป็นไปได้ว่าผู้ใช้ทั้งหมดที่สมัครใช้บริการ Internet Guard ของพวกเขานั้นได้รับการส่งมอบจริงผ่านทางเว็บไซต์ของคุณ

พวกเขากล่าวว่าตัวกรองนั้นต่อต้านมัลแวร์ฟิชชิงและไวรัสดังนั้นจึงไม่ควรเป็นปัญหาของ "การจำแนก" แต่เป็นหนึ่งในความปลอดภัย

ขั้นตอนแรกของคุณควรตรวจสอบว่าไซต์นั้นไม่ได้ติดไวรัส ไซต์ PHP มีแนวโน้มที่จะค่อนข้างอ่อนไหว (หากมีคนพบวิธีอัปโหลดไฟล์. php ที่ใดที่หนึ่งในลำดับชั้นที่มองเห็นได้จากนั้นจะสามารถดำเนินการจากระยะไกลเพื่อทำสิ่งที่พวกเขาต้องการ) นอกจากนี้ยังมีวิธีอื่น ๆ อีกมากมายที่จะทำอันตราย (การฉีด SQL, XSS ที่เก็บไว้)

หน้าแรกของคุณไม่ถูกบล็อกหรืออย่างน้อยก็ไม่ตลอดเวลาดังนั้น:

  • มีเพียงบางหน้าเท่านั้นที่ติดไวรัส
  • การติดเชื้อจะแสดงเพียงเสี้ยวเวลาบนคำขอของผู้ใช้ (เป็นกลยุทธ์ทั่วไปในการบินใต้เรดาร์)
  • หรือมีบางอย่างในบางหน้าที่ก่อให้เกิดผลบวกปลอม

คุณสามารถดูผลลัพธ์ได้ด้วยการชี้ที่อยู่ของเว็บไซต์ไปยังที่อยู่ IP ของพร็อกซี คุณสามารถทำได้โดยแก้ไข/etc/hostsไฟล์ของคุณ(รายละเอียดแตกต่างกันไปตามแพลตฟอร์ม) และเพิ่มบรรทัด:

195.186.210.161        elearning.affis.ch

จากนั้นคุณสามารถเยี่ยมชมไซต์ในฐานะหนึ่งในผู้ใช้เหล่านั้นและดูว่าหน้าใดถูกบล็อกหรือไม่

เมื่อคุณรู้สึกดีขึ้นเกี่ยวกับหน้าเว็บที่ถูกบล็อกหรือไม่มันอาจจะง่ายกว่าที่จะระบุปัญหาจริง จากนั้นแก้ไขและจากนั้นจะผ่านทันทีหรือคุณอาจต้องรายงานการบวกปลอม (มีลิงก์สำหรับที่ด้านล่างของหน้า "บล็อก")

โปรดทราบว่าการพยายามรายงานการบวกที่ผิด ๆ ก่อนตรวจสอบการติดเชื้อน่าจะเป็นการต่อต้าน ลองค้นหาและแก้ไขปัญหาก่อน

แก้ไข

โปรดทราบว่าเวอร์ชั่นของ Claroline ที่คุณใช้งาน (1.11.9) มีช่องโหว่ XSS หลายช่องโหว่ที่รู้จักตั้งแต่ปี 2557:

ช่องโหว่ cross-site scripting (XSS) หลายช่องโหว่ใน Claroline 1.11.9 และก่อนหน้านี้อนุญาตให้ผู้ใช้ที่ได้รับการรับรองความถูกต้องจากระยะไกลสามารถฉีดสคริปต์เว็บหรือ HTML ผ่านทาง (1) ฟิลด์ค้นหาในการดำเนินการกล่องข้อความเข้า ชื่อ "field เพื่อรับรองความถูกต้อง / profile.php หรือ (3) ฟิลด์ Speakers ในการดำเนินการ rqAdd ไปยัง calendar / Agenda.php

หากปัญหาดังกล่าวเป็นการโจมตี XSS ที่เก็บไว้ใช้ดัมพ์ล่าสุดของฐานข้อมูลของคุณและตรวจสอบว่ามีสิ่งใดที่เหมือนกับ<scriptแท็กหรือไม่ (อย่าลืมค้นหาแบบตรงตามตัวพิมพ์ใหญ่ - ใหญ่)

jcaron
แหล่งที่มา
18

หากคุณชี้เบราว์เซอร์ที่ที่อยู่ IP กลับมาhttp://195.186.210.161/คุณจะได้รับข้อความ "เว็บไซต์อันตรายถูกบล็อก" ของ Swisscom ฉันเดาว่าระบบปิดกั้นเนื้อหา "อินเทอร์เน็ตที่ปลอดภัย" ของพวกเขาทำงานได้อย่างน้อยก็บางส่วนโดยการโกหกเพื่อตอบสนองต่อคำขอ DNS และเว็บไซต์ของคุณล้มเหลวด้วยเหตุผลบางประการ

ฉันเข้าใจว่าคุณถามพวกเขาว่าพวกเขากำลังบล็อกคุณหรือไม่ แต่จากประสบการณ์ของฉันแม้แต่การสนับสนุนด้านเทคโนโลยีระดับแนวหน้าของผู้ให้บริการอินเทอร์เน็ตขนาดกลางก็ไม่มีความคิดเพียงเล็กน้อยว่าจะเกิดอะไรขึ้น อาจเป็นไปได้ว่าระบบพี่เลี้ยงทั้งหมดนั้นได้รับการว่าจ้างจากภายนอก (หรือกระทำโดยผลิตภัณฑ์เชิงพาณิชย์ของบุคคลที่สาม) และไม่มีใครที่ Swisscom มีความคิดใด ๆ ว่าไซต์ใดถูกบล็อกในเวลาใดก็ตาม ถามนักเรียนของคุณว่าเขาเปิดใช้งานการตั้งค่า "อินเทอร์เน็ตพี่เลี้ยง" หรือไม่

ในตอนท้ายของวันนี้อาจไม่ใช่ปัญหาที่คุณสามารถแก้ไขได้เนื่องจากคุณไม่ใช่ลูกค้าของ ISP และพวกเขาไม่ได้เป็นหนี้คุณ การให้บิดามารดาของนักเรียนโทรติดต่อฝ่ายสนับสนุน ISP ของพวกเขาบ่นเกี่ยวกับการแก้ปัญหา DNS ผิดพลาดและขู่ว่าจะเปลี่ยน ISP หากไม่ได้รับการแก้ไขอาจเป็นเพียงสิ่งเดียวที่มีผลกระทบใด ๆ

แก้ไข : กระทู้นี้แสดงให้เห็นว่าเอ็นจิ้นการบล็อกเว็บไซต์ของ Swisscom นั้นค่อนข้างกระตือรือร้นและไม่ได้รับความนิยมในเชิงบวกจากพวกเขาเสมอไป นอกจากนี้ยังชี้ให้เห็นว่านี่ไม่ใช่ตัวกรองการเลือกใช้ แต่มันใช้กับลูกค้า Swisscom ทุกคนไม่ว่าพวกเขาจะชอบหรือไม่ก็ตามการเลือกที่จะไม่ใช้อาจเป็นเรื่องยาก

MadHatter
แหล่งที่มา
1
นั่นเป็นเหตุผลที่ฉันคิดเช่นกัน แต่ทำไมบางหน้าแสดงเนื้อหาที่ถูกต้องและอื่น ๆ หมดเวลา ? มันเหมือนพวกเขาทำซ้ำบางหน้า
iizno
7
เราไม่รู้ว่าพวกเขากำลังใช้อะไรดังนั้นเราจึงไม่รู้ว่ามันทำงานอย่างไร บางทีการตัดสินใจในบรรทัดแรกอาจใช้เวลาในการแก้ปัญหา DNS แต่ระบบที่ 195.186.201.161 ใช้การตัดสินใจบรรทัดที่สองตาม URL ที่ขอให้พร็อกซีผ่านไปยังเซิร์ฟเวอร์จริงหากว่าเนื้อหาตัดสินว่า "ปลอดภัย" " เมื่อคนเริ่มพยายามที่จะงอโปรโตคอลอินเทอร์เน็ตในการแสวงหาวิสัยทัศน์บางอย่าง (ไม่สามารถบรรลุได้) ของอินเทอร์เน็ตที่ "ปลอดภัย" เกือบทุกอย่างสามารถผิดพลาดได้
MadHatter
2
ดูเหมือนว่าปัญหาจะสามารถแก้ไขได้ด้วยทนายความในเขตอำนาจศาลที่ถูกต้อง ...
R. GitHub หยุดช่วยเหลือน้ำแข็ง
4
หากมีการพร็อกซีและสแกนจริงการบังคับให้ HTTPS สามารถช่วย (หรือทำร้าย) ISP อย่างน้อยจะมีทางเลือกในการปิดกั้นทั้งไซต์หรือไม่มีเลยแทนที่จะปิดกั้นบางหน้าไม่ใช่อื่น ๆ สิ่งนี้อาจทำให้ผู้ใช้สับสนน้อยลง
Joshua Dwire
3
อาจเป็นไปได้ว่าระบบพี่เลี้ยงทั้งหมดนั้นได้รับการว่าจ้างจากภายนอก (หรือกระทำโดยผลิตภัณฑ์เชิงพาณิชย์ของบุคคลที่สาม) และไม่มีใครที่ Swisscom มีความคิดใด ๆ ว่าไซต์ใดถูกบล็อกในเวลาใดก็ตาม ฉันทำงานกับtelco ขนาดใหญ่ที่ทำสิ่งนี้ได้อย่างแน่นอนดังนั้นสามารถยืนยันได้ ฝ่ายสนับสนุนด้านเทคนิคของ ISP อาจไม่มีทางรู้ แต่พวกเขาควรจะสามารถเปิดตั๋วให้กับใครก็ตามที่ใช้งานระบบการจำแนกจริงหากมีปัญหาใด ๆ
Bakuriu
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.