DNS bir ülkede yanlış IP adresini çözüyor

Arkadaşımdan birinin Claroline tabanlı bir e-Öğrenim web sitesi var. İki gün önce, web sitesi etki alanına erişirken yalnızca İsviçre kullanıcıları başka bir IP adresine "rastgele" yönlendirme yapmaya başladı.

DNS sunucusunu öğrencilerin bilgisayarında 8.8.8.8 veya 9.9.9.9'a zorlarsam, etki alanı doğru şekilde çözümlenir. Ancak yerel İsviçre DNS Sunucusu ile kalırsam, kötü (kara listeye alınmış) bir IP adresine çözümlenir.

Garip kısmı: Sadece bu müşteri ve kendi bilgisayarı değil. İsviçre'de yaşayan her öğrenci de etkilenir. Ama Fransız olanlar değil.

İkinci garip kısım: Bazı sayfalar bu yanlış IP adresinden doğru içeriğe yanıt veriyor. E-Öğrenim başka bir sunucuda çoğaltıldı VEYA bir yerde önbelleğe alındı ​​gibi.

Sunucu eski bir Ubuntu 10.04.4 LTS'dir ve muhtemelen doğru şekilde korumalı / yapılandırılmamıştır. Bu sunucuda tam erişimim var, ancak yönetemedim, bu yüzden ne arayacağından ve hatta ne yapacağından emin değilim.

İşte şimdiye kadar baktım / denedim:

• Tüm Apache 2 vhost conf kontrol edildi.
• İşaretli iptables (boş) ve /etc/hostsve /etc/resolv.conf(güvenli)
• Swisscom'a (ana İsviçre telekom) alan adını veya başka bir şeyi kara listeye ekleyip eklemediklerini sordu: Hayır Checked krolin kodu tabanı: güvenli görünüyor, ancak çok büyük. Tüm dosyaları kontrol edemiyorum.

İşte öğrenci Windows bilgisayarlarından birinde nslookup:

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

Ve elbette, 195.186.210.161 sunucunun doğru IP adresi değildir.

Sistem yöneticisi değilim. Sadece bir arkadaşa yardım ediyorum, bu yüzden bir sonraki adımdan ne yapacağımdan emin değilim.

As MadHatter yazdı, bu (Swisscom) bir filtreleme proxy üzerinden sitenizi yeniden yönlendirme son kullanıcıların ISP'dir. İnternet Koruması hizmetine abone olan tüm kullanıcıların sadece sitenize değil, aslında oraya vekalet etmesi muhtemeldir.

Filtrenin kötü amaçlı yazılımlara, kimlik avına ve virüslere karşı olduğunu söylüyorlar , bu nedenle bir "sınıflandırma" sorunu değil, bir güvenlik sorunu olmalıdır.

Bu nedenle ilk adımınız, siteye virüs bulaşmadığını kontrol etmek olmalıdır. PHP siteleri oldukça savunmasız olma eğilimindedir (birisi görünür hiyerarşide bir yere bir .php dosyası yüklemek için bir yol bulursa, daha sonra istediği her şeyi yapmak için uzaktan yürütülebilir). Zarar vermenin başka birçok yolu da vardır (SQL enjeksiyonları, saklanan XSS ...).

Ana sayfanız engellenmedi veya en azından her zaman değil, bu nedenle:

• sadece bazı sayfalara virüs bulaşmış
• enfeksiyon kullanıcı isteklerinde zamanın sadece bir kısmını gösterir (radarın altında uçmak için ortak bir strateji)
• veya bazı sayfalarda yanlış pozitif tetikleyen başka bir şey var

Web sitesinin adresini proxy'nin IP adresine yönlendirerek sonucu kendiniz görebilirsiniz. /etc/hostsDosyanızı düzenleyerek (ayrıntılar platforma göre değişir) ve bir satır ekleyerek bunu yapabilirsiniz:

195.186.210.161        elearning.affis.ch

Daha sonra siteyi bu kullanıcılardan biri olarak ziyaret edebilir ve hangi sayfaların engellenip engellenmediğini görebilirsiniz.

Hangi sayfaların engellendiğini veya engellenmediğini daha iyi öğrendikten sonra, asıl sorunu belirlemek daha kolay olabilir. Sonra düzeltin ve ya aniden hemen geçecek ya da yanlış bir pozitif bildirmeniz gerekebilir (bunun için "engellenen" sayfanın altında bir bağlantı var).

Enfeksiyon kontrol etmeden önce yanlış pozitif bildirmeye çalışmanın muhtemelen verimsiz olacağını unutmayın. Önce sorunu bulmak ve düzeltmek için çok çalışın.

Düzenle

Çalıştırdığınız Claroline sürümünün (1.11.9) 2014'ten beri bilinen birden çok XSS güvenlik açığına sahip olduğunu unutmayın :

Claroline 1.11.9 ve önceki sürümlerde yer alan birden çok siteler arası komut dosyası (XSS) güvenlik açığı, kimliği doğrulanmış uzak kullanıcıların (1) gelen kutusu eylemindeki Arama alanını mesajlaşma / messagebox.php'ye (2) " Ad "auth / profile.php alanına veya (3) rqAded eylemindeki Hoparlörler alanına calendar / agenda.php dosyasına ekleyin

Sorun gerçekten depolanmış bir XSS saldırısıysa, veritabanınızın en son dökümünü alın ve <scriptetiket gibi bir şey içerip içermediğini kontrol edin (büyük / küçük harfe duyarlı olmayan bir şekilde arama yapmayı unutmayın).

Bir tarayıcıyı döndürülen IP adresine ( http://195.186.210.161/) yönlendirirseniz , Swisscom'un "tehlikeli web sitesi engellendi" mesajını alırsınız. Benim tahminim, onların "güvenli internet" içerik engelleme sisteminin, en azından kısmen, DNS isteklerine yanıt olarak yalan söyleyerek çalışması ve web sitenizin bazı nedenlerden dolayı faul düşmesi.

Onlara sizi engelleyip engellemediklerini sorduğunuzu anlıyorum, ancak tecrübelerime göre orta büyüklükteki ISS'lerin ön hat teknik desteği bile neler olup bittiğine dair en ufak bir fikre sahip değil. Dadı sisteminin tamamının dışarıdan temin edilmesi (veya bir üçüncü taraf ticari ürün tarafından yapılması) ve Swisscom'daki hiç kimsenin belirli bir zamanda hangi sitelerin engellendiğine dair bir fikri olmaması mümkündür. Öğrencinize herhangi bir "dadı internet" ayarına sahip olup olmadığını sormak daha verimli olabilir.

Günün sonunda, bu çözebileceğiniz bir sorun olmayabilir, çünkü ISS'nin müşterisi siz değilsiniz ve size hiçbir şey borçlu değiller. Öğrencinin ebeveyninin ISS desteklerini aramasını, yanlış DNS çözümlemesi hakkında yüksek sesle şikayet etmesini ve çözülmediği takdirde ISS'yi değiştirmekle tehdit etmesinin, herhangi bir etkisi olan tek şey olması muhtemeldir.

Düzenleme : Bu konu Swisscom'un site engelleme motorunun biraz fazla hevesli olabileceğini ve onlardan her türlü olumlu çözümü almanın her zaman kolay olmadığını göstermektedir. Ayrıca, bunun bir isteğe bağlı filtre olmadığını, ancak beğenip beğenmediklerini tüm Swisscom müşterileri için geçerli olduğunu, bu nedenle kapsam dışında kalmanın zor olabileceğini düşündürmektedir.