标签: hijack

我们拥有一个主域名：

• businessdts.com

我不知道我们的管理员是否创建了我请求的子域“BDASERVER.businessdts.com。”，所以我只是尝试使用浏览器连接到它并得到“未找到”。然后我 ping 那个子域并得到一个不属于我们的 IP 地址：

• 用 32 字节的数据 Ping BDASERVER.businessdts.com [198.105.244.117]
• 我们的域和所有子域的 IP 地址应为 [173.203.24.209]

我让管理员检查了我们所有的 DNS 区域，但我们没有找到 BDASERVER 子域的实例（管理员还没有创建它），我们也没有找到 198.105.244.117 IP 地址的任何实例。

通过 IP 查找，我们发现 198.105.244.117 属于一家名为 Search Guide Inc. (searchguideinc.com) 的公司。他们似乎是某种域名经纪人。

我错过了什么：

• 这个 BDASERVER 子域如何解析到不属于我们的地址？
• 有人如何劫持子域？

我拥有域 gimmeanswers.com 不幸的是，我意识到浏览器劫持使用 gimmeanswers.org（我不拥有）域作为重定向。

搜索我的合法域名现在会返回大量结果，并附有我的 .com 版本。据我所知，我的域的合法 dns 是完整的，并且从几个远程服务器检查了我希望出现的页面，确实如此。所以我假设如果劫持的人被发送到似乎是我的域，那么它也必须弄乱主机/DNS缓存。

显然，我与劫持事件和 .org 无关，但我已经开始收到人们认为我这样做的电子邮件。

我可以做些什么简单的事情来从搜索结果中删除与我的合法姓名的关联/来自处于类似情况的人的任何建议？

当客户端的 IP 改变时，TCP 会话会发生什么？

我做了一个简单的测试，让 netcat 监听端口，并从客户端机器连接到该端口。然后我在 nc 会话打开时更改了客户端的 IP 并发送了一些数据，更改 IP 后服务器没有收到任何数据。

1. 我知道它们是不同的层，但是 TCP 是否使用 IP 来区分会话？
2. 我的示例是不是因为应用程序如何处理它而不起作用，还是因为 TCP/IP/以太网层发生了某些事情而不起作用？
3. 这是否取决于操作系统实现？（我目前对 Linux 最感兴趣）

我在我们的托管处有两台运行 CentOS 6.0 的 Web 服务器。一个运行我们的主要营销网站（生产服务器），另一个是生产服务器的临时服务器，因此几乎是完全相同的副本。它们都在防火墙后面，并拥有私有 IP 地址。防火墙通过站点到站点 VPN 隧道连接到我们的总部。两台服务器都设置了名称服务器，以使用我们总部的内部 DNS 服务器。

在生产服务器上，我面临着完全相同的问题，甚至是 phx1-ss-2-lb.cnet.com 的相同主机名。问题是，每当我 ping 一个不存在的域名时，我都会得到 cnet.com 主机名作为回报。即使在我自己的域上，如果我执行 somestupidsubdomain.mydomain.com，它也会返回 cnet 地址。在那个帖子中，他们说这是 NXDOMAIN 劫持，他们应该使用不同的名称服务器。在我的情况下，该生产服务器与公司中的其他人使用相同的名称服务器，但这对其他人来说不是问题。即使是作为生产服务器镜像的临时服务器也没有问题。

我检查了 /etc/hosts 文件，没有任何异常。我查找了如何通过 nscd 或 bind 刷新本地 DNS 缓存，但两者都没有安装。我使用了 nslookup 并查询了我分配的两个 DNS 服务器，它们返回未找到域的错误，正如预期的那样。

我接下来应该看哪里？

编辑

我在端口 53 上使用了 tcpdump，然后 ping 了一些乱码域，这是我得到的输出

14:55:39.884442 IP 192.168.4.11.59726 > 192.168.0.22.domain: 27749+ A? asdfjjjf.com。(30) 14:55:39.905778 IP 192.168.0.22.domain > 192.168.4.11.59726: 27749 NXDomain 0/1/0 (103) 14:55:39.905930 IP27.816.16.16.19.26 + 一个？asdfjjjf.com.com。(34) 14:55:39.926982 IP 192.168.0.22.domain > 192.168.4.11.46752: 18476 2/0/0 CNAME phx1-ss-2-lb.cnet.com., A 624.212.2

14:55:39.962067 …

几周以来，我托管的网站在请求它们时被网络托管停放页面劫持。

有时它会显示我的实际网站，但在请求它几分钟后，当我重新访问我的网站时，它会显示一个停车页面（来自parkingcrew.net）。

我和我的主人检查了我的域名服务器和 DNS 设置，并确保它们都设置正确。我还检查了我的 .htaccess 文件，就我的网站而言，我检查了我的 php 页面，但我似乎找不到它们有什么问题。我还检查了不同的网络（位置）以确保这不是我的家庭网络的问题。

也许有人可以帮我检查一下，看看是什么问题，或者以前有过这个问题。

其中两个网站是：http : //serifd.nl和http://turnbroekjemetnaam.nl。他们（应该）运行的 IP 地址是 91.220.37.56。

我正在通过全域 DNS 检查器检查网站。DNS 解析在某些国家/地区不正确。这个问题的原因是什么？

在我的其他网站上没问题，只有这个

• 网站：downvids.net
• 系统：Centos 7
• 控制面板：directadmin
  
  
  Wordwide DNS 检查器结果 104.239.213.7 和 198.105.254.11 不是我的 IP 地址！这是什么？