有人在我不知情的情况下创建了子域。如何？

Question

今天收到一封来自 CIRA 的有趣电子邮件，内容为：

CE14-12545 [Malware hosted on ygglhalayvtwy.khabarov[.]ca] 
URL: http://ygglhalayvtwy.khabarov[.]ca/xnor/orladjaup.jpg
IP: 204[.]44[.]87[.]184
MD5: EFDCED1D3D8145EED471362B04E144871EBA2122
Malware: Trojan.Win32/Bicololo.A

这很奇怪，因为域是我的，但我从未设置子域，甚至是通配符。而且我显然不提供恶意软件。

挖掘输出：

; <<>> DiG 9.8.3-P1 <<>> ygglhalayvtwy.khabarov.ca
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29242
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ygglhalayvtwy.khabarov.ca. IN  A

;; ANSWER SECTION:
ygglhalayvtwy.khabarov.ca. 2498 IN  A   204.44.87.184

;; Query time: 2 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Mon Dec 29 23:10:19 2014
;; MSG SIZE  rcvd: 59

所以它解析为一些我不知道的 IP。

我检查了我在那里管理 DNS 的恐惧.org。那里没有这样的记录。

我持有域名的 Namecheap 也没有任何可疑之处。

这到底是怎么回事？

Answer 1

我立即怀疑是其他人控制了您的域。现在有两种可能：

• 无论您在何处托管您的区域，您的帐户都已被黑客入侵。
• 您正在使用一些笨拙的预算 DNS 主机，它允许您免费托管您的区域，作为回报，您允许他们授予从您的域中创建子域的权利。（旁注：因为我粗心大意，在得出我的结论并开始试图伪造它之前我只阅读了你帖子的一半，我什至没有注意到你明确声明害怕.org 是你的 DNS 主机。我发现不过，你会在两秒钟后看到我自己。）

快速DNSMan！去挖掘！

dig +short ns khabarov.ca
ns2.afraid.org.
ns4.afraid.org.
ns3.afraid.org.
ns1.afraid.org.

好吧，好吧，好吧。除了好 ol'afear.org，我们还有什么。我不会说他们的服务不好，因为我不认为它本质上是不好的。但是，当您使用它们时，您需要了解您所提供的内容。当你让像害怕.org 这样的免费服务托管你的区域时，他们允许其他人从你的域中创建子域。

有人使用了你的域，很可能是随机的，并创建了一个子域，给人们带来了一些讨厌的东西。那个子域通过各种渠道被举报，现在已经有了死亡的味道。分享是魔法！