今天收到一封来自 CIRA 的有趣的电子邮件,内容如下:
CE14-12545 [Malware hosted on ygglhalayvtwy.khabarov[.]ca]
URL: http://ygglhalayvtwy.khabarov[.]ca/xnor/orladjaup.jpg
IP: 204[.]44[.]87[.]184
MD5: EFDCED1D3D8145EED471362B04E144871EBA2122
Malware: Trojan.Win32/Bicololo.A
这很奇怪,因为域名是我的,但我从未设置子域名,甚至通配符。而且我显然不提供恶意软件。
挖掘输出:
; <<>> DiG 9.8.3-P1 <<>> ygglhalayvtwy.khabarov.ca
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29242
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ygglhalayvtwy.khabarov.ca. IN A
;; ANSWER SECTION:
ygglhalayvtwy.khabarov.ca. 2498 IN A 204.44.87.184
;; Query time: 2 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Mon Dec 29 23:10:19 2014
;; MSG SIZE rcvd: 59
因此它解析到一些我不知道的IP。
我查看了我管理 DNS 的 afraid.org。那里没有这样的 A 记录。
我持有域名的 Namecheap 也没有任何可疑之处。
这到底是怎么回事?
答案1
我立即怀疑有人控制了您的域名。现在有两种可能性:
- 无论您在何处托管区域,您的帐户都可能遭到黑客攻击。
- 您使用了一些
低廉的DNS 主机,这些主机允许您免费托管您的区域,作为回报,您允许他们授予您从您的域创建子域的权限。(旁注:因为我粗心大意,在得出结论并开始尝试伪造它之前只阅读了您帖子的一半,我甚至没有注意到您明确指出 afraid.org 是您的 DNS 主机。不过我自己发现了这一点,正如您将在两秒钟内看到的那样。)
快点 DNSMan!去挖掘吧!
dig +short ns khabarov.ca
ns2.afraid.org.
ns4.afraid.org.
ns3.afraid.org.
ns1.afraid.org.
好吧,好吧,好吧。我们这里除了好用的 afraid.org 之外还有什么呢?我不会说他们的服务不好,因为我认为它本质上并不坏。但是,当你使用它们时,你需要知道你给了什么。当你让 afraid.org 这样的免费服务托管你的区域时,他们允许其他人在你的域之外创建子域。
有人使用您的域名(很可能是随机的),并创建了一个子域名,向人们传递了一些恶意信息。该子域名已通过各种渠道被举报,现在已臭名昭著。分享就是魔法!
