Не нашел подобной темы на хаблисте, поэтому решил создать новую.
Речь в ней пойдёт не о краже домена подбором паролей или взломе админок хостеров. Эти варианты слишком просты и давно всем известны.
Недавно мы столкнулись с новым методом кражи адресов и/или юзеров. Временной кражей, но всё равно неприятно.
Как-то раз заметил на себе, думал глюк, потом начали жаловаться пользователи. Адрес хаба dc1.xdnet.ru преобразуется в IP совсем не те, что указаны на DNS серверах хостера.
Вот как должно быть, это я получаю от своего провайдера. Здесь всё нормально:
Для справки ещё сообщу что адрес 209.222.14.6 никогда не для чего мною не использовался, никогда не фигурировал в настройках, даже локальных.
Кто знаком с подобными случаями? И как с ними бороться?
Добавлено: 07 авг 2014, 23:38
DTKMS
Сейчас заметил подобный случай. Причем IP адрес этого хаблиста отдавался с этим IP с провайдерского DNS сервера. Сначала думал ДДОСят опять хаблист, а тут вот какая петрушка.
Как вариант решения можно забить публичные ДНС сервера в настройках сетевой, роутера, модема.
Добавлено: 07 авг 2014, 23:44
Setup
DTKMS писал(а):Сейчас заметил подобный случай. Причем IP адрес этого хаблиста отдавался с этим IP с провайдерского DNS сервера. Сначала думал ДДОСят опять хаблист, а тут вот какая петрушка.
Как вариант решения можно забить публичные ДНС сервера в настройках сетевой, роутера, модема.
Большое спасибо за Ваш ответ. Аватарка классная, навивает воспоминания))
Я использовал гугловский 8.8.8.8
Но не советовать же всем тысячам пользователей менять настройки DNS, это просто невозможно.
Интересно, а что говорят провайдеры по этому поводу? Может кто обращался?
Добавлено: 08 авг 2014, 00:00
DTKMS
Провайдеры скорее всего синхронизируются с внешними какими-то серверами, добавляя к ним свою зону. Вот видно откуда то берется запись, а больше всего интересно: как и зачем
Добавлено: 08 авг 2014, 00:17
Setup
Написал провайдеру, ждём ответ...
Вот что мне удалось накопать:
Подменённый IP по базе RIPE не существует.
Трейс приводит в контору дающую в адренду серваки в США: http://www.choopa.com/
Mailing Address
Choopa, LLC
100 Matawan Rd., Suite 420
Matawan, NJ 07747
United States
Добавлено: 08 авг 2014, 08:13
Быстрый ответ
Вот вы не разобрались еще, однако ж тему уже успели назвать громко: "Кража DNS"... как-то это не очень правильно, наверно?
А может это вирус подменил у доброго юзера адреса DNS в настройках?
Добавлено: 08 авг 2014, 09:11
DTKMS
Быстрый ответ писал(а):Вот вы не разобрались еще, однако ж тему уже успели назвать громко: "Кража DNS"... как-то это не очень правильно, наверно?
А может это вирус подменил у доброго юзера адреса DNS в настройках?
Не думаю что это какая-то случайная подмена DNS адресов вирусом или скриптом.
Вот картинка с DNS серверами в моей сети провайдера, 2 сервера:
Один сервер видимо еще не обновленный и отдает "левый" IP. А второй - уже обновился.
К тому же, у разных доменов один ip и как он там оказался - еще не известно.
Добавлено: 08 авг 2014, 12:38
Setup
Быстрый ответ писал(а):"Кража DNS"... как-то это не очень правильно, наверно?
Согласен, тема называется не совсем корректно. Точнее этот метод называют DNS-spoofing
Я загуглил и нашел, что это делается путём атаки на BIND уязвимой версии, ниже 9-й. Уже лет 5 назад практически все админы обновили свои бинды, поэтому данная атака очень мало распространена. Однако же, я уверен, остались и мамонты, которые никогда ничего не обновляют. Вот видимо одного из таких мы и наблюдаем. (nsk.mts.ru)