Получил сегодня интересное письмо от CIRA:
CE14-12545 [Malware hosted on ygglhalayvtwy.khabarov[.]ca]
URL: http://ygglhalayvtwy.khabarov[.]ca/xnor/orladjaup.jpg
IP: 204[.]44[.]87[.]184
MD5: EFDCED1D3D8145EED471362B04E144871EBA2122
Malware: Trojan.Win32/Bicololo.A
Это довольно странно, так как домен мой, но я никогда не настраивал поддомены или даже подстановочные знаки. И я явно не обслуживаю вредоносные программы.
Выход копания:
; <<>> DiG 9.8.3-P1 <<>> ygglhalayvtwy.khabarov.ca
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29242
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ygglhalayvtwy.khabarov.ca. IN A
;; ANSWER SECTION:
ygglhalayvtwy.khabarov.ca. 2498 IN A 204.44.87.184
;; Query time: 2 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Mon Dec 29 23:10:19 2014
;; MSG SIZE rcvd: 59
Итак, он разрешается на какой-то IP, о котором я понятия не имею.
Я проверил fear.org, где управляю DNS. Нет такой записи.
В Namecheap, где я держу доменное имя, тоже нет ничего подозрительного.
Что именно здесь происходит?
Мое непосредственное подозрение заключалось в том, что кто-то другой контролировал ваш домен. Теперь есть две возможности:
Быстрый DNSMan! На раскопки!
dig +short ns khabarov.ca
ns2.afraid.org.
ns4.afraid.org.
ns3.afraid.org.
ns1.afraid.org.
Так так так. Что у нас здесь, кроме старого доброго fear.org. Я не скажу ничего плохого об их сервисе, потому что не считаю его плохим по своей сути. Однако вам нужно знать, что вы даете, когда используете их. Когда вы разрешаете бесплатному сервису, например fear.org, размещать вашу зону, они позволяют другим создавать поддомены вне вашего домена.
Кто-то использовал ваш домен, вполне вероятно, случайно, и создал поддомен, который доставил людям некоторую неприятность. Об этом субдомене сообщили по разным каналам, и теперь от него пахнет смертью. Обмен - это волшебство!