Назад | Перейти на главную страницу

Кто-то создал поддомен без моего ведома. Как?

Получил сегодня интересное письмо от CIRA:

CE14-12545 [Malware hosted on ygglhalayvtwy.khabarov[.]ca] 
URL: http://ygglhalayvtwy.khabarov[.]ca/xnor/orladjaup.jpg
IP: 204[.]44[.]87[.]184
MD5: EFDCED1D3D8145EED471362B04E144871EBA2122
Malware: Trojan.Win32/Bicololo.A

Это довольно странно, так как домен мой, но я никогда не настраивал поддомены или даже подстановочные знаки. И я явно не обслуживаю вредоносные программы.

Выход копания:

; <<>> DiG 9.8.3-P1 <<>> ygglhalayvtwy.khabarov.ca
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29242
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ygglhalayvtwy.khabarov.ca. IN  A

;; ANSWER SECTION:
ygglhalayvtwy.khabarov.ca. 2498 IN  A   204.44.87.184

;; Query time: 2 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Mon Dec 29 23:10:19 2014
;; MSG SIZE  rcvd: 59

Итак, он разрешается на какой-то IP, о котором я понятия не имею.

Я проверил fear.org, где управляю DNS. Нет такой записи.

В Namecheap, где я держу доменное имя, тоже нет ничего подозрительного.

Что именно здесь происходит?

Мое непосредственное подозрение заключалось в том, что кто-то другой контролировал ваш домен. Теперь есть две возможности:

  • Ваш аккаунт взломали, где бы вы ни размещали свою зону.
  • Вы используете некоторые дряблый бюджетный DNS-хост, который позволяет вам бесплатно размещать у них вашу зону, а взамен вы позволяете им давать права на создание поддоменов вне вашего домена. (Примечание: я неосторожен и прочитал только половину вашего сообщения, прежде чем пришел к своему выводу и начал пытаться его фальсифицировать, я даже не заметил, что вы явно указали, что вашим DNS-хостом является fear.org. Я обнаружил, что для себя, как вы увидите через две секунды.)

Быстрый DNSMan! На раскопки!

dig +short ns khabarov.ca
ns2.afraid.org.
ns4.afraid.org.
ns3.afraid.org.
ns1.afraid.org.

Так так так. Что у нас здесь, кроме старого доброго fear.org. Я не скажу ничего плохого об их сервисе, потому что не считаю его плохим по своей сути. Однако вам нужно знать, что вы даете, когда используете их. Когда вы разрешаете бесплатному сервису, например fear.org, размещать вашу зону, они позволяют другим создавать поддомены вне вашего домена.

Кто-то использовал ваш домен, вполне вероятно, случайно, и создал поддомен, который доставил людям некоторую неприятность. Об этом субдомене сообщили по разным каналам, и теперь от него пахнет смертью. Обмен - это волшебство!