当我尝试从我托管的一个虚拟服务器对我的一个域名进行 nslookup 时,我注意到一些非常奇怪且令人担忧的结果。
域名 [mydomain].info 解析为 [mydomain].info.com.au 并列出 4 个我不使用的 IP。
这仅发生在一台服务器上,并且仅针对该域和子域(根据我所做的测试)。
我尝试过的事情......
1)“ipconfig /flushdns”。无效。
2) 检查 hosts 文件。没有可疑内容。
3) 我检查了注册表中与 DNSChanger 病毒相关的条目,但没有发现任何可疑的内容。
4)更改了连接接口的DNS服务器。nslookup显示新的DNS服务器,但结果是一样的。
5) 扫描了 dnslookup.exe 中的病毒,但什么也没出现。此外,如果我从另一台计算机使用此可执行文件运行查询,结果是正确的。
我不知道这是否意味着我的服务器实际上已被入侵,或者我的托管服务提供商是否可能在出站 DNS 查找方面做了一些不正当的事情。
服务器是Windows Server 2012
除了这个 DNS 问题之外,服务器运行正常。我没有发现任何其他异常行为。
如果有人有任何建议,我们将不胜感激。这是一个实时生产服务器,托管许多客户网站,因此这让我感到压力很大。
以下是根据要求的输出。抱歉,我不希望显示实际域名,因为它是个人身份信息。不过,我已验证域名记录是正确的。
PS C:\scripts> nslookup [mydomain].info
Server: google-public-dns-a.google.com
Address: 8.8.8.8
Non-authoritative answer:
Name: [mydomain].info.com.au
Addresses: 52.3.124.67
52.201.189.141
54.85.85.70
52.5.111.221
PS C:\scripts>
经过进一步调查,似乎这不仅仅是我的域名。任何 .info 域名都会发生这种情况。我已将启用了调试的 nslookup 结果包含在内...
> somedomain123123.info
Server: google-public-dns-a.google.com
Address: 8.8.8.8
------------
Got answer:
HEADER:
opcode = QUERY, id = 74, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
somedomain123123.info.hosting24.com.au, type = A, class = IN
AUTHORITY RECORDS:
-> hosting24.com.au
ttl = 1799 (29 mins 59 secs)
primary name server = ns1.web24.net.au
responsible mail addr = dns.web24.net.au
serial = 2016060205
refresh = 7200 (2 hours)
retry = 3600 (1 hour)
expire = 604800 (7 days)
default TTL = 3600 (1 hour)
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 75, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
somedomain123123.info.hosting24.com.au, type = AAAA, class = IN
AUTHORITY RECORDS:
-> hosting24.com.au
ttl = 1799 (29 mins 59 secs)
primary name server = ns1.web24.net.au
responsible mail addr = dns.web24.net.au
serial = 2016060205
refresh = 7200 (2 hours)
retry = 3600 (1 hour)
expire = 604800 (7 days)
default TTL = 3600 (1 hour)
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 76, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 4, authority records = 0, additional = 0
QUESTIONS:
somedomain123123.info.com.au, type = A, class = IN
ANSWERS:
-> somedomain123123.info.com.au
internet address = 52.5.111.221
ttl = 59 (59 secs)
-> somedomain123123.info.com.au
internet address = 52.201.189.141
ttl = 59 (59 secs)
-> somedomain123123.info.com.au
internet address = 52.3.124.67
ttl = 59 (59 secs)
-> somedomain123123.info.com.au
internet address = 54.85.85.70
ttl = 59 (59 secs)
------------
Non-authoritative answer:
------------
Got answer:
HEADER:
opcode = QUERY, id = 77, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
somedomain123123.info.com.au, type = AAAA, class = IN
AUTHORITY RECORDS:
-> info.com.au
ttl = 899 (14 mins 59 secs)
primary name server = ns1.info.com.ru
responsible mail addr = hostmaster.info.com
serial = 2016052612
refresh = 7200 (2 hours)
retry = 900 (15 mins)
expire = 1209600 (14 days)
default TTL = 86400 (1 day)
------------
Name: somedomain123123.info.com.au
Addresses: 52.5.111.221
52.201.189.141
52.3.124.67
54.85.85.70
我的托管服务提供商是 web24.com.au,大概这就是 hosting24.com.au 的来源。
答案1
使用:
nslookup
> set debug
> [mydomain].info
查看您的 DNS 查询的详细信息。
您可能已经配置主 DNS 后缀在您的服务器上com.au。问题可能是,[mydomain].info.com.au存在,所以这就是您得到的结果。
答案2
如果正如您所说,一切都正常,那么一切似乎都很好。同样,如果没有域名供我们自己测试,我们无法为您验证您的信息。有很多方法可能会影响这一点,我们无法真正深入研究。
如果您认为您的托管服务提供商正在做一些不正当的事情,您需要与他们讨论此事。
同样,如果客户端站点按预期工作,则可能会存在一些奇怪的、一次性的奇怪配置问题,这些问题极难诊断,而且实际上不会影响任何事情。