5 votes

matzhu avatar

Malware L'enregistrement DNS A pointe vers mon adresse IP

Demandé el 22 de Octobre, 2018
Quand la question a-t-elle été
108 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'utilise BIND depuis une dizaine d'années, mais je ne suis pas du tout un expert. Cela dit, je viens d'effacer mon VPS à cause d'une infection par un logiciel malveillant de type crytomining.

Alors que je remettais en place BIND, j'ai remarqué qu'un domaine (TLD) dont je ne suis pas propriétaire apparaissait comme étant hébergé par mon adresse IP. Une inspection plus poussée montre que l'enregistrement A de ce domaine pointe vers mon IP.

Je peux comprendre que rien n'empêche quelqu'un d'établir un enregistrement A pour pointer n'importe où. Mais n'y a-t-il rien que je puisse faire pour bloquer cela ? Je pense qu'il s'agit probablement de quelque chose de très basique qui m'échappe, mais j'ai du mal à le résoudre. La plupart de mes recherches ont été infructueuses.

La récursivité est désactivée.

Voici les options de named.conf

options {
    listen-on port 53       { any; };
    listen-on-v6 port 53    { any; };
    directory               "/var/named";
    dump-file               "/var/named/data/cache_dump.db";
    statistics-file         "/var/named/data/named_stats.txt";
    memstatistics-file      "/var/named/data/named_mem_stats.txt";
    allow-query             { any; };
    allow-transfer          { none; };
    recursion               no;
    dnssec-enable           yes;
    dnssec-validation       yes;
    bindkeys-file           "/etc/named.iscdlv.key";
    managed-keys-directory  "/var/named/dynamic";
    pid-file                "/run/named/named.pid";
    session-keyfile         "/run/named/session.key";
};
Demandé el 22 de Octobre, 2018 par matzhu

Réponses

Trop de publicités?

6voto

Michael Hampton avatar
Michael Hampton Points 232226

Vous ne pouvez pas modifier les enregistrements de domaine de quelqu'un d'autre.

Cependant...

Si l'autre domaine est en fait le domaine responsable de la diffusion des logiciels malveillants, vous pouvez contacter le contact abusif de leur fournisseur DNS et de leur registraire de domaine, s'il est différent, pour signaler le domaine comme source de logiciels malveillants (et inclure des preuves de cette source). Ces fournisseurs peuvent alors être en mesure de faire quelque chose, comme suspendre temporairement ou définitivement le domaine.

Vous pouvez également essayer d'obtenir une nouvelle adresse IP auprès de votre propre fournisseur de services.

Répondu el 22 de Octobre, 2018 par Michael Hampton (232226 Points )

3voto

Tommiie avatar
Tommiie Points 5467

Deux éléments sont à prendre en compte :

  1. Quelqu'un a un enregistrement A qui pointe vers votre adresse IP - vous ne pouvez rien y faire.
  2. Ce record A n'est pas un problème en soi. Les problèmes (pourraient) commencer lorsque cet enregistrement A est utilisé pour envoyer du trafic vers votre hôte - avez-vous une idée du type de trafic dont il s'agit ? Par exemple, s'il s'agit principalement de trafic HTTP(S), vous pourriez modifier votre site web par défaut pour fournir une explication de l'enregistrement DNS incorrect aux utilisateurs finaux qui pourraient se retrouver sur votre site web à cause de l'enregistrement A incorrect.

Vous pouvez également analyser les adresses IP sources et les bloquer si elles proviennent d'un pays avec lequel vous ne faites pas affaire. Mais je ne suis pas un adepte du blocage des adresses IP ou des plages d'adresses.

Répondu el 23 de Octobre, 2018 par Tommiie (5467 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X