DNS разрешает неправильный IP-адрес в одной стране

14

У одного из моих друзей есть сайт электронного обучения на основе Claroline. Два дня назад только пользователи Швейцарии начали перенаправлять «случайным образом» на другой IP-адрес при доступе к домену сайта.

Если я заставлю DNS-сервер использовать 8.8.8.8 или 9.9.9.9 на ПК учеников, домен будет разрешен правильно. Но если я останусь с локальным швейцарским DNS-сервером, он преобразуется в неверный (занесенный в черный список) IP-адрес.

Странная часть: это не только один клиент и его собственный компьютер. Это касается и каждого студента из Швейцарии. Но не французские.

Вторая странная часть: некоторые страницы отвечают с этого ложного IP-адреса правильным содержанием. Как электронное обучение было продублировано на другом сервере или где-то кэшировано.

Сервер старый Ubuntu 10.04.4 LTS, и он, вероятно, не правильно защищен / настроен. У меня есть полный доступ на этом сервере, но я не управлял им, поэтому я не уверен, что искать или даже что делать.

Вот что я посмотрел / попробовал до сих пор:

  • Проверил все Apache 2 vhost conf.
  • Проверил iptables (пусто) и /etc/hostsи /etc/resolv.conf(безопасно)
  • Спросил Swisscom (основной швейцарский телеком), занесли ли они в черный список домен или что-то в этом роде: Нет. Проверка базы кода кларолина: она выглядит безопасной, но она огромна. Я не могу проверить все файлы.

Вот nslookup на одном из компьютеров Windows студентов:

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

И, конечно же, 195.186.210.161 не является правильным IP-адресом сервера.

Я не системный администратор. Я просто помогаю другу, поэтому я не уверен, что искать дальше.

domain-name-system 
iizno
источник
1
Возможно, интернет-провайдер этих студентов пытается выполнить интеллектуальное кэширование и поэтому вмешивается в работу DNS. Например, они все в одном университете? Если вы используете HTTPS для своего сервера, они все равно могут изменять DNS, но конечный пользователь увидит ошибку сертификата, если результат DNS будет указывать на сервер, отличный от вашего, поскольку у них не будет закрытого ключа.
Дэвид
1
Кроме того, вы уверены, что IP-адрес сервера является статическим? Например, если часто меняющиеся или недавно измененные в пределах TTL записи DNS, возможно, что DNS разрешается к старому (когда-то действующему IP), хотя это не вполне объясняет, почему они видят зеркальный контент. Если вы используете такой инструмент, как mxtoolbox.com/DNSLookup.aspx, вы сможете увидеть TTL-запись A или запись CNAME, присоединенную к домену.
Дэвид
1
@DavidGoate Это забавная часть, студенты дома, по всей Франции и Швейцарии. У французского нет проблем.
iizno
1
@DavidGoate IP-адрес сервера является фиксированным и никогда не изменяется. dnschecker.org/#A/elearning.affis.ch не показывает никаких ошибок.
iizno
1
Привет, еще одна вещь, которая может произойти, поскольку я видел такую ​​ошибку в прошлом, это может быть плохо обслуживаемый DNS-сервер ISP. Я видел зону DNS, которая была передана, но никогда не стиралась на уровне ISP, что приводило к странной ошибке.
yagmoth555

Ответы:

11

Как пишет MadHatter , это провайдер конечных пользователей (Swisscom), перенаправляющий ваш сайт через фильтрующий прокси. Вполне вероятно, что все пользователи, подписывающиеся на их службу Internet Guard, на самом деле проксируют туда, а не только ваш сайт.

Они говорят, что фильтр против вредоносных программ, фишинга и вирусов, поэтому это должен быть не вопрос «классификации», а вопрос безопасности.

Таким образом, ваш первый шаг должен проверить, что сайт не был заражен. Сайты PHP имеют тенденцию быть довольно уязвимыми (если кто-то найдет способ загрузить файл .php где-нибудь в видимой иерархии, он может быть выполнен удаленно для выполнения чего угодно). Есть также много других способов причинить вред (инъекции SQL, хранимые XSS ...).

Ваша домашняя страница не заблокирована, или, по крайней мере, не все время, так что либо:

  • только некоторые страницы заражены
  • заражение показывает лишь небольшую часть времени по запросам пользователей (обычная стратегия, позволяющая скрываться от радаров)
  • или что-то еще на некоторых страницах вызывает ложный положительный результат

Вы можете увидеть результат самостоятельно, указав адрес веб-сайта на IP-адрес прокси. Вы можете сделать это, отредактировав свой /etc/hostsфайл (детали могут отличаться в зависимости от платформы) и добавив строку:

195.186.210.161        elearning.affis.ch

Затем вы можете посетить сайт как один из этих пользователей и посмотреть, какие страницы заблокированы или нет.

Как только вы почувствуете, какие страницы заблокированы или нет, вам будет легче точно определить реальную проблему. Затем исправьте это, и оно либо сразу пройдет, либо вам придется сообщить о ложном срабатывании (для этого есть ссылка внизу «заблокированной» страницы).

Обратите внимание, что попытка сообщить о ложноположительном результате до проверки на инфекцию, вероятно, будет контрпродуктивной. Постарайтесь сначала найти и исправить проблему.

редактировать

Обратите внимание, что версия Claroline, которую вы используете (1.11.9), имеет несколько уязвимостей XSS, известных с 2014 года:

Многочисленные уязвимости межсайтового скриптинга (XSS) в Claroline 1.11.9 и более ранних версиях позволяют удаленным аутентифицированным пользователям вводить произвольный веб-скрипт или HTML с помощью (1) поля «Поиск» в действии «Входящие» для сообщения / messagebox.php, (2) « Поле «Имя» для auth / profile.php или (3) поле «Динамики» в действии rqAdd для calendar /nda.php

Если проблема действительно заключается в сохраненной XSS-атаке, возьмите последний дамп вашей базы данных и проверьте, не содержит ли он что-либо вроде <scriptтега (не забудьте выполнить поиск без учета регистра).

jcaron
источник
18

Если вы укажете браузеру на возвращенный IP-адрес http://195.186.210.161/ , вы получите сообщение Swisscom «Опасный веб-сайт заблокирован». Я предполагаю, что их система блокировки контента в «безопасном интернете» работает, по крайней мере частично, путем лжи в ответ на запросы DNS, и что ваш сайт почему-то ругается на них.

Я понимаю, что вы спросили их, не блокируют ли они вас, но, по моему опыту, даже передовая техническая поддержка интернет-провайдеров не имеет ни малейшего представления о том, что происходит сзади. Вполне возможно, что вся система няней передана на аутсорсинг (или сделана сторонним коммерческим продуктом) и что никто в Swisscom не знает, какие сайты заблокированы в любой момент времени. Спросите вашего ученика, есть ли у него какие-либо настройки «няни интернета», может быть более продуктивным.

В конце концов, это не та проблема, которую вы можете решить, поскольку вы не являетесь клиентом этого провайдера, и он вам ничего не должен. Если родители учащегося позвонят в службу поддержки интернет-провайдера, будут громко жаловаться на неправильное разрешение DNS и угрожают изменить интернет-провайдера, если он не будет решен, скорее всего, это единственное, что окажет какое-либо влияние.

Редактировать : эта ветка предполагает, что механизм блокировки сайтов Swisscom может быть немного чрезмерно восторженным, и что не всегда легко получить какое-либо положительное разрешение от них. Это также говорит о том, что это не дополнительный фильтр, но он применяется ко всем клиентам Swisscom, нравится им это или нет, поэтому отказаться от него может оказаться затруднительным.

Безумный Шляпник
источник
1
Вот почему я тоже так думаю, но почему на некоторых страницах отображается правильное содержание, а на других просто истекло время ожидания. ? Как будто они дублируют некоторые страницы.
Изно
7
Мы не знаем, что они используют, поэтому мы не можем знать, как это работает. Может быть, решение по первой строке принимается во время разрешения DNS, но система по адресу 195.186.201.161 реализует решение по второй строке на основе того, какой URL запрашивается, с прокси на реальном сервере, если и только если она решит, что контент «безопасен» ». Как только люди начинают пытаться изгибать интернет-протоколы в поисках (недостижимого) видения «безопасного» интернета, почти все может пойти не так.
MadHatter
2
Это похоже на проблему, которую можно решить с юристом в правильной юрисдикции ...
R .. GitHub ОСТАНОВИТЬ ПОМОЩЬ ICE
4
Если он действительно проксируется и сканируется, форсирование HTTPS может помочь (или навредить). Интернет-провайдер, по крайней мере, будет иметь возможность заблокировать весь сайт или не блокировать его вообще, а не блокировать некоторые страницы, а не другие. Это может сделать вещи менее запутанными для пользователей.
Джошуа Двайр,
3
Вполне возможно, что вся система няней передана на аутсорсинг (или сделана сторонним коммерческим продуктом), и что никто в Swisscom не знает, какие сайты заблокированы в любой момент времени. Я работал с большой телекоммуникационной компанией, которая делает именно это, так что могу подтвердить. Техническая поддержка интернет-провайдера, вероятно, просто не имеет возможности узнать, однако они должны иметь возможность открыть билет тому, кто фактически использует систему классификации, если возникнут какие-либо проблемы.
Бакуриу
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.