那些遇到过的问题

DNS 在一个国家解析错误的 IP 地址

iiz*_*zno 14 domain-name-system

我的一位朋友有一个基于 Claroline 的电子学习网站。两天前,只有瑞士用户在访问网站域时开始“随机”重定向到另一个 IP 地址。

如果我将学生电脑上的 DNS 服务器强制设置为 8.8.8.8 或 9.9.9.9,则域名解析正确。但是,如果我继续使用当地的瑞士 DNS 服务器,它会解析为一个错误的(列入黑名单的)IP 地址。

奇怪的是:不仅仅是这个客户和他自己的电脑。每个在瑞士的学生也受到影响。但不是法国人。

第二个奇怪的部分是:某些页面从这个错误的 IP 地址响应正确的内容。就像电子学习在另一台服务器上复制或缓存在某处一样。

服务器是旧的 Ubuntu 10.04.4 LTS,它可能没有正确保护/配置。我对这台服务器有完全访问权限,但我没有管理它,所以我不确定要查找什么,甚至不知道要做什么。

这是我到目前为止所看到/尝试过的:

  • 检查了所有 Apache 2 vhost conf。
  • 检查iptables(空)和/etc/hosts/etc/resolv.conf(安全)
  • 询问 Swisscom(瑞士主要电信公司)是否将域名或其他内容列入黑名单:否 检查过 claroline 代码库:它看起来很安全,但它很大。我无法检查所有文件。

这是在其中一台学生 Windows 计算机上的 nslookup:

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161
Run Code Online (Sandbox Code Playgroud)

当然,195.186.210.161 不是服务器的正确 IP 地址。

我不是系统管理员。我只是在帮助一个朋友,所以我不确定下一步该看什么。

Mad*_*ter 18

如果您将浏览器指向返回的 IP 地址http://195.186.210.161/,您会收到 Swisscom 的“危险网站被阻止”消息。我的猜测是,他们的“安全互联网”内容阻止系统至少在一定程度上是通过对 DNS 请求的响应撒谎而起作用的,并且由于某种原因,您的网站与它们发生了冲突。

我知道你问他们是否阻止了你,但根据我的经验,即使是中型 ISP 的前线技术支持也不知道后面发生了什么。整个保姆系统很可能是外包的(或由第三方商业产品完成),并且Swisscom没有人知道在任何给定时间哪些站点被阻止。询问您的学生他是否有任何类型的“保姆互联网”设置可能会更有效率。

归根结底,这可能不是你能解决的问题,因为你不是那个 ISP 的客户,他们不欠你什么。让学生的家长打电话给他们的 ISP 支持,大声抱怨 DNS 解析错误,并威胁说如果没有解决就更换 ISP,这可能是唯一有影响的事情。

编辑此线程表明 Swisscom 的站点阻止引擎可能有点过于热情,并且从他们那里获得任何积极的解决方案并不总是那么容易。它还表明这不是一个选择加入的过滤器,但它适用于所有 Swisscom 客户,无论他们喜欢与否,因此选择退出它可能会很困难。

  • 我们不知道他们在使用什么,所以我们不知道它是如何工作的。也许第一行决定是在 DNS 解析时做出的,但是 195.186.201.161 的系统根据请求的 URL 执行第二行决定,当且仅当它决定内容是“安全的”时才代理到真实服务器”。一旦人们开始尝试改变互联网协议以追求“安全”互联网的某些(无法实现的)愿景,几乎任何事情都可能出错。 (7认同)
  • 如果它实际上是被代理和扫描的,那么强制使用 HTTPS 可能会有所帮助(或会受到伤害)。ISP 至少可以选择阻止整个站点或根本不阻止,而不是阻止某些页面而不是其他页面。这可能会使用户不那么困惑。 (4认同)
  • *整个保姆系统很可能是外包的(或由第三方商业产品完成),并且 Swisscom 没有人知道在任何给定时间哪些网站被阻止。* 我与一家*大* 电信公司合作正是这一点,所以可以确认。ISP 技术支持人员可能根本无法知道,但是如果有任何问题,他们*应该*能够向实际运行分类系统的任何人开票。 (3认同)
  • 这似乎是一个可以通过正确司法管辖区的律师解决的问题...... (2认同)

jca*_*ron 11

正如MadHatter所写,这是最终用户的 ISP(Swisscom)通过过滤代理重新路由您的站点。很可能所有订阅 Internet Guard 服务的用户实际上都是通过那里代理的,而不仅仅是您的站点。

他们说过滤器是针对恶意软件、网络钓鱼和病毒的,所以这不应该是“分类”问题,而是安全问题。

因此,您的第一步应该是检查该站点是否未被感染。PHP 站点往往很容易受到攻击(如果有人找到一种方法将 .php 文件上传到可见层次结构中的某处,则可以远程执行该文件以执行任何他们想做的事情)。还有许多其他方式可以造成伤害(SQL 注入、存储型 XSS ......)。

您的主页没有被屏蔽,或者至少不是一直被屏蔽,因此:

  • 只有部分页面被感染
  • 感染只出现在用户请求的一小部分时间(隐藏在雷达下的常见策略)
  • 或者某些页面上有其他内容会触发误报

您可以通过将网站地址指向代理的 IP 地址来自己查看结果。您可以通过编辑/etc/hosts文件(详细信息因平台而异)并添加一行来实现:

195.186.210.161        elearning.affis.ch
Run Code Online (Sandbox Code Playgroud)

然后,您可以作为这些用户之一访问该站点,并查看哪些页面被阻止。

一旦您对哪些页面被阻止有了更好的了解,查明实际问题可能会更容易。然后修复它,要么它会立即突然通过,要么你可能不得不报告一个误报(在“被阻止”页面的底部有一个链接)。

请注意,在检查感染之前尝试报告误报可能会适得其反。非常努力地首先找到并解决问题。

编辑

请注意,您运行的 Claroline 版本 (1.11.9) 存在多个自 2014 年以来已知的XSS 漏洞

Claroline 1.11.9 及更早版本中的多个跨站点脚本 (XSS) 漏洞允许远程身份验证用户通过 (1) 收件箱操作中的搜索字段来注入任意 Web 脚本或 HTML 到消息 /messagebox.php,(2) “名”字段添加到 auth/profile.php,或 (3) rqAdd 操作中的 Speakers 字段到 calendar/agenda.php

如果问题确实是存储型 XSS 攻击,请获取数据库的最新转储并检查它是否包含诸如<script标记之类的内容(不要忘记不区分大小写地进行搜索)。

归档时间:

查看次数:

6490 次

最近记录:

6 年,11 月 前
相关归档
DNS 刚刚开始将我的 server.prod 地址解析为 127.0.53.53 36
如何“测试”基于名称的虚拟主机? 12
为什么 nslookup 会为 yahoo.com 或 microsoft.com 返回两个或多个 IP 地址? 7
什么是 DNS TXT 记录以及为什么需要它们 6
是否可以找到域的所有 DKIM 密钥的列表? 6
BIND:如何将子区域委托给其他 DNS 服务器? 4
无效的子域被重定向到另一个域 3
哪个 GPO 使我的域控制器成为我客户的 DNS 服务器? 1
无效的主机名 - DNS 更改 -1
设置 BIND 以传输 gTLD 的每个二级域的区域文件? -4
难疑归档
如何使用远程桌面发送 ctrl+alt+del? 288
如何使用 bash shell 多次运行命令? 205
反向代理时让 nginx 传递上游的主机名 122
robocopy 传输文件而不是文件夹 117
如何从 Unix 中的文件中删除空行/空白行(包括空格)? 109
Linux 中是否有等效于 /dev/null 的目录? 93
删除后多久可以创建同名的 s3 存储桶? 86
nginx 配置上的可疑符号 58
如何检查后缀队列大小? 58
相当于 OSX 上的 logrotate 56