无法识别的域名 vultrusercontent.com 解析到我的本地主机

tag-icon tag-icon dns
无法识别的域名 vultrusercontent.com 解析到我的本地主机

我刚刚在监控我的 fail2ban 日志时看到了一些有趣的东西,我无法真正解释。好吧,也许我疯了。

我的 fail2ban 注册了这个:

2022-04-06 14:26:09,703 fail2ban.filter         [1039]: INFO    [wordpress] Found 108.61.177.131 - 2022-04-06 14:26:08
2022-04-06 14:26:10,313 fail2ban.ipdns          [1039]: WARNING Determined IP using DNS Lookup: 108.61.177.131.vultrusercontent.com = set(['127.0.0.1'])
2022-04-06 14:26:10,314 fail2ban.filter         [1039]: INFO    [wordpress] Ignore 127.0.0.1 by ignoreself rule

当我看到已解析的本地主机时,然后我看到 fail2ban 忽略了 127.0.0.1 上的过滤器,我告诉自己这很奇怪,让我 ping 它一下,然后咯咯笑。

[root@virtual ~]# ping vultrusercontent.com
PING vultrusercontent.com (127.0.0.1) 56(84) bytes of data.
64 bytes from mydomain.ca (127.0.0.1): icmp_seq=1 ttl=64 time=0.056 ms
64 bytes from mydomain.caca (127.0.0.1): icmp_seq=2 ttl=64 time=0.057 ms

为什么这会解析到我的服务器?我没有这个域名或任何东西。

这个域名所有者是否以某种方式创建了一条指向我的记录,并将其解析为 127.0.0.1?这样 fail2ban 就会忽略它,对吗?我会失去它吗?你甚至可以做到这一点!?

[root@virtual ~]# dig vultrusercontent.com

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> vultrusercontent.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48929
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;vultrusercontent.com.      IN  A

;; ANSWER SECTION:
vultrusercontent.com.   900 IN  A   127.0.0.1

;; Query time: 15 msec
;; SERVER: 67.207.67.2#53(67.207.67.2)
;; WHEN: Wed Apr 06 14:33:42 EDT 2022
;; MSG SIZE  rcvd: 65

然后我从另外两台完全不同的域的公共机器上执行了ping操作:

user@someotherbox:~$ ping vultrusercontent.com
PING vultrusercontent.com (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.040 ms
^C

[me@debian ~]# ping vultrusercontent.com 
PING vultrusercontent.com (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.040 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.045 ms
^C

我是不是漏掉了什么,或者心情有点糟糕?
我的结果显示 mxtoolbox dns 查找也指向 localhost

https://mxtoolbox.com/SuperTool.aspx?action=a%3avultrusercontent.com&run=toolpage

所有这些机器都使用不同的 DNS 服务器。我通常使用 1.1.1.1

答案1

该域名实际上指向 127.0.0.1。最有可能的是,该网站遭到黑客攻击,并且脚本/机器人正在尝试连接到您的系统。

在某些情况下,127.0.0.1 可能正常。通常,这种情况适用于不应从外部访问的域。例如,您可以设置子域 sql 并将其指向 127.0.0.1,这样您就可以使用 mysql.connect(sql.domain.ext;uname;pass;dbname),它就会起作用。对于顶级域名,这种情况是不寻常的,除非您入侵网站进行恶意操作。

相关内容