У одного из моих друзей есть веб-сайт электронного обучения на базе Claroline. Два дня назад только пользователи из Швейцарии начали "случайным образом" перенаправлять на другой IP-адрес при доступе к домену веб-сайта.
Если я устанавливаю DNS-сервер на 8.8.8.8 или 9.9.9.9 на ПК учеников, домен разрешается правильно. Но если я останусь с местным швейцарским DNS-сервером, он преобразуется в плохой (занесенный в черный список) IP-адрес.
Странно то, что дело не только в этом одном покупателе и его собственном компьютере. Это касается и каждого студента, проживающего в Швейцарии. Но не французские.
Вторая странная часть: некоторая страница отвечает с этого ложного IP-адреса с правильным содержанием. Как будто электронное обучение было скопировано на другой сервер ИЛИ где-то в кэше.
Сервер представляет собой старый Ubuntu 10.04.4 LTS, и, вероятно, он неправильно защищен / настроен. У меня есть полный доступ к этому серверу, но мне это не удалось, поэтому я не уверен, что искать или даже что делать.
Вот что я пока смотрел / пробовал:
/etc/hosts и /etc/resolv.conf (сейф)Вот nslookup на одном из ученических компьютеров с Windows:
C:\WINDOWS\system32>nslookup
Serveur par défaut : UnKnown
Address: fe80::8e59:c3ff:fecf:8d9b
> elearning.redacted-domain.ch
Serveur : UnKnown
Address: fe80::8e59:c3ff:fecf:8d9b
Réponse ne faisant pas autorité :
Nom : elearning.redacted-domain.ch
Address: 195.186.210.161
И, конечно же, 195.186.210.161 - неправильный IP-адрес сервера.
Я не системный администратор. Я просто помогаю другу, поэтому не знаю, что мне делать дальше.
Если вы укажете браузеру возвращенный IP-адрес, http://195.186.210.161/, вы получаете сообщение Swisscom «опасный веб-сайт заблокирован». Я предполагаю, что их система блокировки контента «безопасного интернета» работает, по крайней мере частично, за счет лжи в ответ на запросы DNS, и что ваш веб-сайт по какой-то причине не отвечает им.
Я понимаю, что вы спросили их, блокируют ли они вас, но, по моему опыту, даже служба технической поддержки средних интернет-провайдеров не имеет ни малейшего представления о том, что происходит за пределами сети. Вполне возможно, что вся система няни передана на аутсорсинг (или выполняется сторонним коммерческим продуктом) и что никто Компания Swisscom знает, какие сайты заблокированы в любой момент времени. Спросить вашего ученика, есть ли у него какие-либо настройки «Интернета для няни», может быть более продуктивным.
В конце концов, это может быть не та проблема, которую вы можете решить, поскольку вы не являетесь клиентом этого интернет-провайдера, и они ничего вам не должны. Если родитель учащегося позвонит в службу поддержки своего интернет-провайдера, громко пожалуется на неправильное разрешение DNS и пригрозит сменить интернет-провайдера, если проблема не будет решена, скорее всего, это единственное, что имеет какой-либо эффект.
редактировать: эта тема предполагает, что механизм блокировки сайтов Swisscom может быть немного чрезмерным, и что не всегда легко получить от него какое-либо положительное решение. Это также говорит о том, что это не фильтр выбора, но что он применяется ко всем клиентам Swisscom, нравится им это или нет, поэтому отказ от него может оказаться трудным.
Так как Безумный Шляпник писал, что это интернет-провайдер конечных пользователей (Swisscom), перенаправляющий ваш сайт через фильтрующий прокси. Вполне вероятно, что все пользователи, подписавшиеся на их службу Internet Guard, фактически проходят через них, а не только ваш сайт.
Они говорят что фильтр защищает от вредоносных программ, фишинга и вирусов, поэтому это не должно быть вопросом «классификации», а вопросом безопасности.
Таким образом, ваш первый шаг должен состоять в том, чтобы убедиться, что сайт не заражен. Сайты PHP, как правило, довольно уязвимы (если кто-то найдет способ загрузить файл .php где-нибудь в видимой иерархии, он может быть запущен удаленно, чтобы делать все, что они хотят). Есть также много других способов причинить вред (SQL-инъекции, сохраненный XSS ...).
Ваша домашняя страница не заблокирована, по крайней мере, не все время, поэтому:
Вы можете сами увидеть результат, указав адрес сайта на IP-адрес прокси. Вы можете сделать это, отредактировав свой /etc/hosts файл (детали зависят от платформы) и добавить строку:
195.186.210.161 elearning.affis.ch
Затем вы можете посетить сайт как один из этих пользователей и посмотреть, какие страницы заблокированы или нет.
Когда вы лучше поймете, какие страницы заблокированы или нет, вам будет проще определить реальную проблему. Затем исправьте это, и либо он внезапно исчезнет сразу, либо вам, возможно, придется сообщить о ложном срабатывании (для этого есть ссылка в нижней части «заблокированной» страницы).
Обратите внимание, что попытка сообщить о ложном срабатывании перед проверкой на наличие инфекции, вероятно, будет контрпродуктивной. Постарайтесь сначала найти и исправить проблему.
Обратите внимание, что в используемой вами версии Claroline (1.11.9) есть множественные уязвимости XSS известно с 2014 года:
Множественные уязвимости межсайтового скриптинга (XSS) в Claroline 1.11.9 и ранее позволяют удаленным аутентифицированным пользователям вводить произвольный веб-скрипт или HTML через (1) поле поиска в действии папки «Входящие» в messaging / messagebox.php, (2) Имя »в auth / profile.php или (3) поле Speakers в действии rqAdd в calendar / повестке дня.
Если проблема действительно связана с сохраненной атакой XSS, возьмите последний дамп вашей базы данных и проверьте, содержит ли он что-нибудь вроде <script тег (не забывайте искать без учета регистра).