参见英文答案 >
Phishing site uses subdomain that I never registered6个
今天收到了来自CIRA的有趣电子邮件:
今天收到了来自CIRA的有趣电子邮件:
CE14-12545 [Malware hosted on ygglhalayvtwy.khabarov[.]ca] URL: http://ygglhalayvtwy.khabarov[.]ca/xnor/orladjaup.jpg IP: 204[.]44[.]87[.]184 MD5: EFDCED1D3D8145EED471362B04E144871EBA2122 Malware: Trojan.Win32/Bicololo.A
这很奇怪,因为域名是我的,但我从来没有设置子域名,甚至是通配符.我显然不会提供恶意软件.
挖掘输出:
; <<>> DiG 9.8.3-P1 <<>> ygglhalayvtwy.khabarov.ca ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY,status: NOERROR,id: 29242 ;; flags: qr rd ra; QUERY: 1,ANSWER: 1,AUTHORITY: 0,ADDITIONAL: 0 ;; QUESTION SECTION: ;ygglhalayvtwy.khabarov.ca. IN A ;; ANSWER SECTION: ygglhalayvtwy.khabarov.ca. 2498 IN A 204.44.87.184 ;; Query time: 2 msec ;; SERVER: 192.168.1.1#53(192.168.1.1) ;; WHEN: Mon Dec 29 23:10:19 2014 ;; MSG SIZE rcvd: 59
所以它解决了一些我不知道的IP.
我检查了怕我在哪里管理DNS.那里没有这样的A记录.
我拿着域名的名称也没有任何可疑之处.
这到底发生了什么?
解决方法
我的直接怀疑是,其他人控制了你的域名.现在有两种可能性:
>您在托管区域的任何地方都已将您的帐户入侵.
>您正在使用一些janky预算DNS主机,它允许您免费托管您的区域,作为回报,您允许他们授予从您的域创建子域名的权限. (旁注:因为我粗心大意,在我得出结论并开始试图伪造它之前只阅读了一半的帖子,我甚至没有注意到你明确表示fear.org是你的DNS主机.我发现那个不过我自己可以在两秒钟内看到.)
快速DNSMan!去挖掘!
dig +short ns khabarov.ca ns2.afraid.org. ns4.afraid.org. ns3.afraid.org. ns1.afraid.org.
好吧,好吧.我们在这里有什么,但好的’怕’.我不会说他们的服务有什么不好,因为我认为这本来就不好.但是,当您使用它们时,您需要了解您所提供的内容.当您让像怕网这样的免费服务托管您的区域时,他们允许其他人在您的域名之外创建子域名.
有人使用你的域,很可能是随机的,并创建了一个子域,给人们带来了一些肮脏.该子域名通过各种渠道报道,现在已经有了死亡的恶臭.分享是神奇的!
