O site de phishing usa um subdomínio que eu nunca registrei

42

Recentemente, recebi a seguinte mensagem das Ferramentas do Google para webmasters:

Caro proprietário do site ou webmaster de http://gotgenes.com/ ,

[...]

Abaixo estão um ou mais URLs de exemplo no seu site que podem fazer parte de um ataque de phishing:

http://repair.gotgenes.com/~elmsa/.your-account.php

[...]

O que eu não entendo é que nunca tive um subdomínio repair.gotgenes.com, mas visitá-lo no navegador da web fornece um My DNS is FreeDNS real , que não lista um subdomínio de reparo. Meu nome de domínio está registrado no GoDaddy e os servidores de nomes estão definidos corretamente como NS1.AFRAID.ORG, NS2.AFRAID.ORG, NS3.AFRAID.ORG e NS4.AFRAID.ORG.

Tenho as seguintes perguntas:

  1. Onde o repair.gotgenes.com está realmente registrado?
  2. Como foi registrado?
  3. Que ação posso tomar para removê-lo dos DNSs?
  4. Como posso impedir que isso aconteça no futuro?

Isso é bastante desconcertante; Sinto que meu domínio foi invadido. Qualquer ajuda seria muito apreciada.

gotgenes
fonte
1
Seu painel de controle tem o poder de controlar seu DNS, como muitos painéis de controle? Se isso acontecer, é onde eu estaria procurando a invasão.
Oli
2
Ele disse que está usando o FreeDNS. Eu não esperaria que todos estivessem familiarizados com isso, mas não é o Hosting, não possui um "Painel de Controle" e as outras respostas não são apenas corretas, mas também têm detalhes relevantes.
Chris S

Respostas:

78

Suspiro. Alguns clientes caíram na armadilha usando o fear.org como provedor de DNS. Por serem gratuitos, permitem que qualquer pessoa que queira criar subdomínios fora do seu domínio principal, a menos que você o proíba especificamente.

Você pode ver aqui: https://freedns.afraid.org/domain/registry/?sort=5&q=gotgenes&submit=SEARCH que alguém criou 79 subdomínios fora do seu domínio principal.

Nunca. sempre. sempre. sempre. use fear.org para um site de seu interesse.

Mark Henderson
fonte
6
Uau. Obrigado pela informação Mark, muito útil, se assustador ou mesmo imprudente por parte do fear.org. O DNS já é um vetor suficiente, eles realmente precisam mudar essa política. +1
mcauth 14/09/12
4
Com provedores gratuitos, você costuma receber o que paga. :)
John Gardeniers
2
Nesse caso, parece que você recebeu ainda menos do que pagou.
Shadur 14/09/12
Eles explicam por que eles têm um comportamento padrão tão perigoso?
21712 Dan Neely
13
É assim que o freedns funciona. Eles fornecem a qualquer pessoa a capacidade de criar um subdomínio em milhares de outros domínios doados por outros. É isso que eles fazem, puro e simples. Qualquer um que não perceba isso claramente não tinha ideia do que estava fazendo quando se inscreveu para as liberdades.
user606723
13

Se você deseja que o domínio seja apenas para seu uso, é necessário configurá-lo da seguinte forma: http://freedns.afraid.org/queue/explanation.php

O FreeDNS é, como já mencionado, principalmente um serviço para registrar um nome de host em um dos vários domínios disponíveis; adicionando um domínio no FreeDNS, você está adicionando, por padrão, ao conjunto de domínios disponíveis para qualquer pessoa usar.

Malcolm Scott
fonte
7
com.            172800  IN  NS  e.gtld-servers.net.
com.            172800  IN  NS  l.gtld-servers.net.
com.            172800  IN  NS  c.gtld-servers.net.
com.            172800  IN  NS  a.gtld-servers.net.
com.            172800  IN  NS  i.gtld-servers.net.
com.            172800  IN  NS  m.gtld-servers.net.
com.            172800  IN  NS  b.gtld-servers.net.
com.            172800  IN  NS  f.gtld-servers.net.
com.            172800  IN  NS  j.gtld-servers.net.
com.            172800  IN  NS  d.gtld-servers.net.
com.            172800  IN  NS  g.gtld-servers.net.
com.            172800  IN  NS  h.gtld-servers.net.
com.            172800  IN  NS  k.gtld-servers.net.
;; Received 509 bytes from 192.36.148.17#53(192.36.148.17) in 551 ms

gotgenes.com.       172800  IN  NS  ns1.afraid.org.
gotgenes.com.       172800  IN  NS  ns2.afraid.org.
gotgenes.com.       172800  IN  NS  ns3.afraid.org.
gotgenes.com.       172800  IN  NS  ns4.afraid.org.
;; Received 119 bytes from 2001:503:a83e::2:30#53(2001:503:a83e::2:30) in 395 ms

repair.gotgenes.com.    3600    IN  A   209.217.234.183
gotgenes.com.       3600    IN  NS  ns4.afraid.org.
gotgenes.com.       3600    IN  NS  ns1.afraid.org.
gotgenes.com.       3600    IN  NS  ns3.afraid.org.
gotgenes.com.       3600    IN  NS  ns2.afraid.org.
;; Received 227 bytes from 174.37.196.55#53(174.37.196.55) in 111 ms

Recebo a resposta do nsX.afraid.org - os mesmos servidores de nomes listados para o seu domínio.

Então eu diria que também

  • Sua conta DNS foi invadida
  • Você criou um registro do qual não se lembra
  • Um funcionário com seu host DNS está corrompido
  • Seu host DNS foi hackeado e os registros são criados sem que você possa vê-los.
Frands Hansen
fonte
9
Não é apenas o hackeado, mas o nome completo da empresa aberto a abusos usando o fear.org, que permite a qualquer pessoa criar um subdomínio fora do domínio principal.
Mark Henderson
2
Eu nem imaginava que um provedor de DNS faria isso. Então, eu aprendi algo novo também, o que é ótimo: D
Frands Hansen
2

Por padrão, seu domínio está definido para ser compartilhado. Dessa forma, qualquer pessoa pode adicionar um subdomínio do seu domínio. Você pode alterá-lo no painel de domínios e clicar no valor ao lado de "Compartilhado:" e isso deve ser alterado de Público> Privado. Caso contrário, provavelmente foi hackeado ou algo assim.

Usuário desconhecido
fonte
0

Alguém invadiu seu servidor de nomes. Verifique com quem é seu servidor de nomes para o domínio. O servidor de nomes é definido em sua conta com o registrador.

isso cara
fonte
7
"Por design"! = "Hackeado".
Andrew Andrew
0

Estou adicionando aqui uma nuance às respostas já fornecidas. A maioria das pessoas apontou para um possível problema de DNS. Esse é um ponto válido. Apenas outra possibilidade é o que chamamos de subdomínios Wildcard (ou Catch-all). Você pode configurá-lo como parte das edições avançadas do Registro DNS, como na figura em anexo.

Um exemplo de detalhes sobre subdomínios curinga é: página de suporte do namecheap dot com no tópico .

Observe que, por si só, o subdomínio curinga não é ruim, mas quando você começa a pensar em falsificação de endereços de email e sites falsos, pode ser bem sério.

insira a descrição da imagem aqui

Alain
fonte