Pregunta DNS resuelve una dirección IP incorrecta en un país


Uno de mis amigos tiene un sitio web de aprendizaje electrónico basado en Claroline. Hace dos días, solo los usuarios de Suiza comenzaron a redireccionar "al azar" en otra dirección IP cuando accedían al dominio del sitio web.

Si fuerzo el servidor DNS a 8.8.8.8 o 9.9.9.9 en la PC de los estudiantes, el dominio se resuelve correctamente. Pero si me quedo con el servidor DNS suizo local, se resuelve en una dirección IP incorrecta (incluida en la lista negra).

La parte extraña es: no es solo este cliente y su propia computadora. Todos los estudiantes con sede en Suiza también se ven afectados. Pero no los franceses.

La segunda parte extraña es: Algunas páginas responden desde esta dirección IP falsa con el contenido correcto. Al igual que el aprendizaje electrónico se duplicó en otro servidor O se almacenó en caché en algún lugar.

El servidor es un antiguo Ubuntu 10.04.4 LTS, y probablemente no está protegido / configurado correctamente. Tengo acceso completo a este servidor, pero no lo manejé, así que no estoy seguro de qué buscar o qué hacer.

Aquí está lo que miré / probé hasta ahora:

  • Comprobado todos los apache 2 vhost conf.
  • Comprobado iptables (vacío) y /etc/hosts y /etc/resolv.conf (seguro)
  • Preguntó a Swisscom (la principal de las telecomunicaciones suizas) si incluían en la lista negra el dominio o algo: No Se verificó la base del código claroline: parece seguro, pero es enorme. No puedo revisar todos los archivos.

Aquí hay un nslookup en una de las computadoras con Windows para estudiantes:

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

Y, por supuesto, 195.186.210.161 no es la dirección IP correcta del servidor.

No soy un administrador del sistema. Solo estoy ayudando a un amigo, así que no estoy seguro de qué buscar a continuación.


14
2017-10-11 11:52


origen


Quizás es posible que el ISP de esos estudiantes esté intentando realizar un almacenamiento en caché inteligente y, por lo tanto, esté interfiriendo con el DNS. ¿Están todos en la misma universidad, por ejemplo? Si utiliza HTTPS para su servidor, entonces aún pueden modificar el DNS, pero el usuario final verá un error de certificado si el resultado del DNS apunta a un servidor distinto del suyo, ya que no estarían en posesión de la clave privada. - David Goate
Además, ¿estás seguro de que la dirección IP del servidor es estática? Por ejemplo, si se cambia con frecuencia o si se cambió recientemente dentro del TTL del registro de DNS, es posible que el DNS se resuelva a una antigua (una vez que sea una IP válida), aunque eso no explicaría perfectamente por qué ven contenido reflejado. Si utiliza una herramienta como mxtoolbox.com/DNSLookup.aspx es posible que pueda ver el TTL del registro A o el registro CNAME adjunto al dominio. - David Goate
@DavidGoate Esa es la parte divertida, los estudiantes están en casa, en toda Francia y Suiza. El francés no tiene ningún problema. - iizno
@DavidGoate Server IP es arreglado y nunca cambiado. dnschecker.org/#A/elearning.affis.ch No muestra ningún error. - iizno
Hola, otra cosa que puede suceder, como he visto un error como ese en el pasado, puede ser un servidor DNS mal mantenido por el ISP. Vi una zona DNS que se transfirió pero nunca se borró a nivel de ISP, lo que provocó un error extraño. - yagmoth555♦


Respuestas:


Como MadHatter escribió, este es el ISP de los usuarios finales (Swisscom) que redirecciona su sitio a través de un proxy de filtrado. Es muy probable que todos los usuarios que se suscriban a su servicio de Guardia de Internet en realidad sean proxy, no solo su sitio.

Ellos dicen el filtro es contra malware, phishing y virus, por lo que no debería ser un problema de "clasificación", sino de seguridad.

Por lo tanto, el primer paso debe ser verificar que el sitio no se haya infectado. Los sitios PHP tienden a ser bastante vulnerables (si alguien encuentra una manera de cargar un archivo .php en algún lugar de la jerarquía visible, puede ejecutarse de forma remota para hacer lo que quiera). También hay muchas otras formas de hacer daño (inyecciones de SQL, XSS almacenados ...).

Su página de inicio no está bloqueada, o al menos no todo el tiempo, así que:

  • solo algunas de las páginas están infectadas
  • la infección solo muestra una fracción del tiempo en las solicitudes de los usuarios (una estrategia común para volar bajo el radar)
  • o hay algo más en algunas páginas que dispara un falso positivo

Puede ver el resultado usted mismo apuntando la dirección del sitio web a la dirección IP del proxy. Puedes hacerlo editando tu /etc/hosts archivo (los detalles varían según la plataforma) y añadiendo una línea:

195.186.210.161        elearning.affis.ch

Luego puede visitar el sitio como uno de esos usuarios y ver qué páginas están bloqueadas o no.

Una vez que tenga una mejor idea de qué páginas están bloqueadas o no, puede ser más fácil identificar el problema real. Luego corríjalo y de repente pasará de inmediato o puede que tenga que informar un falso positivo (hay un enlace al final de la página "bloqueada").

Tenga en cuenta que tratar de reportar un falso positivo antes de verificar la infección probablemente sería contraproducente. Intenta muy difícil encontrar y solucionar el problema primero.

Editar

Tenga en cuenta que la versión de Claroline que ejecuta (1.11.9) tiene Vulnerabilidades múltiples XSS conocido desde 2014:

Las múltiples vulnerabilidades de secuencias de comandos entre sitios (XSS) en Claroline 1.11.9 y anteriores permiten que los usuarios autenticados remotamente inyecten secuencias de comandos web o HTML a través de (1) el campo Buscar en una acción de la bandeja de entrada a messaging / messagebox.php, (2) Primer nombre "campo a auth / profile.php, o (3) el campo Altavoces en una acción rqAdd a calendar / agenda.php

Si el problema es realmente un ataque XSS almacenado, tome el último volcado de su base de datos y verifique si contiene algo como un <script etiqueta (no olvide buscar mayúsculas y minúsculas).


11
2017-10-11 21:05





Si apunta un navegador a la dirección IP devuelta, http://195.186.210.161/, aparece el mensaje "sitio web peligroso bloqueado" de Swisscom. Mi conjetura es que su sistema de bloqueo de contenido de "internet seguro" funciona, al menos en parte, mintiendo en respuesta a las solicitudes de DNS, y que su sitio web se está deshaciendo de ellos, por alguna razón.

Entiendo que les preguntó si lo estaban bloqueando, pero en mi experiencia, incluso el soporte técnico de primera línea de los ISP de tamaño mediano no tiene la menor idea de lo que está sucediendo en el pasado. Es muy posible que todo el sistema de niñeras esté subcontratado (o sea realizado por un producto comercial de terceros) y que nadie Swisscom tiene alguna idea de qué sitios están bloqueados en un momento dado. Preguntarle a su estudiante si él (s) tiene algún tipo de configuración de "niñera de internet" puede ser más productivo.

Al final del día, esto puede no ser un problema que pueda resolver, ya que no es el cliente de ese ISP y no le debe nada. Es probable que lo único que tenga algún efecto sea que los padres del estudiante llamen al servicio de asistencia de su ISP, se quejen en voz alta sobre la resolución incorrecta del DNS y amenacen con cambiar el ISP si no se resuelve.

Editar: este hilo sugiere que el motor de bloqueo del sitio de Swisscom puede ser un poco demasiado entusiasta, y que no siempre es fácil obtener de ellos ningún tipo de resolución positiva. También sugiere que este no es un filtro opt-in, pero que se aplica a todos los clientes de Swisscom, les guste o no, por lo que la opción de no participar puede resultar difícil.


18
2017-10-11 12:23



Por eso creo que también, pero, ¿por qué algunas páginas muestran el contenido correcto y otras solo han caducado? ? Es como si duplicaran algunas páginas. - iizno
No sabemos qué están usando, por lo que no podemos saber cómo funciona. Tal vez la decisión de primera línea se toma en el momento de la resolución de DNS, pero el sistema en 195.186.201.161 implementa una decisión de segunda línea basada en qué URL se solicita, mediante proxy al servidor real si y solo si decide que el contenido es "seguro" ". Una vez que las personas comienzan a tratar de doblar los protocolos de Internet en busca de una visión (inalcanzable) de una Internet "segura", casi cualquier cosa puede salir mal. - MadHatter
Parece un problema que podría resolverse con un abogado en la jurisdicción adecuada ... - R..
Si en realidad se está procesando y escaneando, forzar el HTTPS podría ayudar (o perjudicar). El ISP al menos solo tendría la opción de bloquear todo el sitio o ninguno en lugar de bloquear algunas páginas y no otras. Esto puede hacer que las cosas sean menos confusas para los usuarios. - Joshua Dwire
Es muy posible que todo el sistema de niñeras esté subcontratado (o sea realizado por un producto comercial de terceros) y que nadie en Swisscom tenga idea de qué sitios están bloqueados en un momento dado. Trabajé con un grande Telco que hace exactamente esto, por lo que puede confirmar. El soporte técnico de ISP probablemente no tiene forma de saberlo, sin embargo debería ser capaz de abrir un boleto para quien realmente está ejecutando el sistema de clasificación si hay algún problema. - Bakuriu