恶意软件 DNS A 记录指向我的 IP 地址

恶意软件 DNS A 记录指向我的 IP 地址

我使用 BIND 已有大约十年了,但绝不是专家。话虽如此,我刚刚因为加密挖矿恶意软件感染而清除了我的 VPS。

当我重新设置 BIND 时,我注意到一个不属于我的域名 (TLD) 正在由我的 IP 地址托管。进一步检查显示,该域名的 A 记录指向我的 IP。

我可以理解没有什么可以阻止某人设置 A 记录来指向任何地方。但难道我就没有办法阻止这种事情发生吗?看起来这可能是我遗漏的一些非常基本的东西,但我在排除故障时遇到了麻烦。我的大部分搜索都无果而终。

递归已关闭。

以下是 named.conf 中的选项

options {
    listen-on port 53       { any; };
    listen-on-v6 port 53    { any; };
    directory               "/var/named";
    dump-file               "/var/named/data/cache_dump.db";
    statistics-file         "/var/named/data/named_stats.txt";
    memstatistics-file      "/var/named/data/named_mem_stats.txt";
    allow-query             { any; };
    allow-transfer          { none; };
    recursion               no;
    dnssec-enable           yes;
    dnssec-validation       yes;
    bindkeys-file           "/etc/named.iscdlv.key";
    managed-keys-directory  "/var/named/dynamic";
    pid-file                "/run/named/named.pid";
    session-keyfile         "/run/named/session.key";
};

答案1

您无法更改其他人的域名记录。

然而...

如果另一个域名确实是恶意软件的来源,您可以联系其 DNS 提供商和域名注册商(如果不同)的滥用联系人,将该域名报告为恶意软件来源(并提供相关证据)。然后这些提供商可能会采取一些措施,例如暂时或永久暂停该域名。

您也可以尝试从您自己的服务提供商处获取新的 IP 地址。

答案2

有两件事需要考虑:

  1. 有人有指向您 IP 地址的 A 记录 — — 您对此无能为力。
  2. 这个 A 记录本身不是问题。当这个 A 记录用于向您的主机发送流量时,问题(可能)就开始了——您知道这是什么类型的流量吗?例如,如果它主要是 HTTP(S) 流量,您可以修改您的默认网站,向可能由于错误的 A 记录而访问您网站的最终用户提供错误 DNS 记录的解释。

您还可以分析源 IP 地址,如果它们来自您没有业务往来的国家/地区,则可以阻止它们。但我从来都不喜欢阻止 IP 地址或地址范围。

相关内容