DNS giải quyết sai địa chỉ IP ở một quốc gia

Một người bạn của tôi có một trang web eLearning dựa trên Claroline. Hai ngày trước, chỉ có người dùng Thụy Sĩ bắt đầu chuyển hướng "ngẫu nhiên" trên một địa chỉ IP khác khi truy cập tên miền trang web.

Nếu tôi buộc máy chủ DNS thành 8.8.8.8 hoặc 9.9.9.9 trên PC của học sinh, tên miền sẽ được giải quyết chính xác. Nhưng nếu tôi ở lại với Máy chủ DNS Thụy Sĩ cục bộ, nó sẽ chuyển sang địa chỉ IP xấu (nằm trong danh sách đen).

Phần kỳ lạ là: Không chỉ có một khách hàng và máy tính của riêng anh ta. Mọi sinh viên ở Thụy Sĩ cũng bị ảnh hưởng. Nhưng không phải là người Pháp.

Phần lạ thứ hai là: Một số trang phản hồi từ địa chỉ IP sai này với nội dung chính xác. Giống như eLearning đã được sao chép trên một máy chủ khác HOẶC lưu trữ ở đâu đó.

Máy chủ là Ubuntu 10.04.4 LTS cũ và có thể không được bảo vệ / định cấu hình chính xác. Tôi có quyền truy cập đầy đủ trên máy chủ này, nhưng tôi đã không quản lý nó, vì vậy tôi không chắc phải tìm gì hoặc thậm chí phải làm gì.

Đây là những gì tôi đã xem / đã thử cho đến nay:

• Đã kiểm tra tất cả Apache 2 vhost conf.
• Đã kiểm tra iptables (trống) /etc/hostsvà /etc/resolv.conf(an toàn)
• Đã hỏi Swisscom (viễn thông chính của Thụy Sĩ) nếu họ đưa vào danh sách đen tên miền hay thứ gì đó: Không phải cơ sở mã Claroline đã kiểm tra: nó trông an toàn, nhưng nó rất lớn. Tôi không thể kiểm tra tất cả các tập tin.

Đây là một nslookup trên một trong những máy tính Windows của sinh viên:

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

Và tất nhiên, 195.186.210.161 không phải là địa chỉ IP chính xác của máy chủ.

Tôi không phải là quản trị viên hệ thống. Tôi chỉ đang giúp một người bạn, vì vậy tôi không chắc sẽ nhìn gì tiếp theo.

Như MadHatter đã viết, đây là ISP của người dùng cuối (Swisscom) định tuyến lại trang web của bạn thông qua proxy lọc. Có lẽ tất cả người dùng đăng ký dịch vụ Internet Guard của họ thực sự được ủy quyền thông qua đó, không chỉ trang web của bạn.

Họ nói rằng bộ lọc chống lại phần mềm độc hại, lừa đảo và vi-rút, vì vậy đây không phải là vấn đề "phân loại", mà là một trong những vấn đề bảo mật.

Do đó, bước đầu tiên của bạn là kiểm tra xem trang web chưa bị nhiễm bệnh. Các trang web PHP có xu hướng khá dễ bị tổn thương (nếu ai đó tìm cách tải lên tệp .php ở đâu đó trong hệ thống phân cấp có thể nhìn thấy, thì nó có thể được thực thi từ xa để làm bất cứ điều gì họ muốn). Ngoài ra còn có nhiều cách khác để gây hại (tiêm SQL, lưu trữ XSS ...).

Trang chủ của bạn không bị chặn hoặc ít nhất là không phải lúc nào cũng vậy:

• chỉ một số trang bị nhiễm
• Nhiễm trùng chỉ hiển thị một phần nhỏ thời gian theo yêu cầu của người dùng (một chiến lược chung để bay dưới radar)
• hoặc có một cái gì đó khác trên một số trang kích hoạt dương tính giả

Bạn có thể tự mình xem kết quả bằng cách trỏ địa chỉ của trang web tới địa chỉ IP của proxy. Bạn có thể làm điều đó bằng cách chỉnh sửa /etc/hoststệp của mình (chi tiết thay đổi dựa trên nền tảng) và thêm một dòng:

195.186.210.161        elearning.affis.ch

Sau đó, bạn có thể truy cập trang web với tư cách là một trong những người dùng đó và xem trang nào bị chặn hay không.

Khi bạn cảm thấy tốt hơn về những trang nào bị chặn hay không, có thể dễ dàng xác định chính xác vấn đề thực tế hơn. Sau đó sửa nó và nó sẽ đột nhiên xuất hiện ngay lập tức hoặc bạn có thể phải báo cáo dương tính giả (có một liên kết cho điều đó ở cuối trang "bị chặn").

Lưu ý rằng cố gắng báo cáo dương tính giả trước khi kiểm tra nhiễm trùng có thể sẽ phản tác dụng. Cố gắng rất nhiều để tìm và khắc phục vấn đề đầu tiên.

Biên tập

Lưu ý rằng phiên bản Claroline bạn chạy (1.11.9) có nhiều lỗ hổng XSS được biết đến từ năm 2014:

Nhiều lỗ hổng kịch bản chéo trang (XSS) trong Claroline 1.11.9 trở về trước cho phép người dùng xác thực từ xa tiêm đoạn mã web hoặc HTML tùy ý thông qua (1) trường Tìm kiếm trong hành động hộp thư đến nhắn tin / messagebox.php, (2) Tên "trường thành auth / profile.php hoặc (3) trường Loa trong hành động rqAdd thành calendar / agenda.php

Nếu sự cố thực sự là một cuộc tấn công XSS được lưu trữ, hãy lấy kết xuất cơ sở dữ liệu mới nhất của bạn và kiểm tra xem nó có chứa bất cứ thứ gì như <scriptthẻ không (đừng quên tìm kiếm không phân biệt chữ hoa chữ thường).

Nếu bạn trỏ trình duyệt vào địa chỉ IP được trả về, http://195.186.210.161/ , bạn sẽ nhận được thông báo "trang web nguy hiểm bị chặn" của Swisscom. Tôi đoán là hệ thống chặn nội dung "internet an toàn" của họ hoạt động, ít nhất là một phần, bằng cách nói dối để đáp ứng các yêu cầu DNS và vì lý do nào đó, trang web của bạn bị lỗi vì chúng.

Tôi hiểu rằng bạn đã hỏi họ rằng họ có chặn bạn không, nhưng theo kinh nghiệm của tôi, ngay cả hỗ trợ kỹ thuật tuyến đầu của các ISP cỡ trung bình cũng không có ý tưởng nhỏ nhất về những gì đang diễn ra. Hoàn toàn có thể là toàn bộ hệ thống bảo mẫu được thuê ngoài (hoặc được thực hiện bởi một sản phẩm thương mại của bên thứ ba) và không ai ở Swisscom có ​​ý tưởng nào về các trang web bị chặn tại bất kỳ thời điểm nào. Hỏi sinh viên của bạn nếu anh ta có bất kỳ loại cài đặt "bảo mẫu internet" nào có thể hiệu quả hơn.

Vào cuối ngày, đây có thể không phải là vấn đề bạn có thể giải quyết, vì bạn không phải là khách hàng của ISP và họ không nợ bạn điều gì. Yêu cầu phụ huynh của học sinh gọi cho bộ phận hỗ trợ ISP của họ, phàn nàn lớn về độ phân giải DNS sai và đe dọa thay đổi ISP nếu nó không được giải quyết, có thể là điều duy nhất có ảnh hưởng.

Chỉnh sửa : chủ đề này cho thấy công cụ chặn trang web của Swisscom có ​​thể hơi quá nhiệt tình và không phải lúc nào cũng dễ dàng nhận được bất kỳ loại giải pháp tích cực nào từ họ. Nó cũng gợi ý rằng đây không phải là bộ lọc chọn tham gia, nhưng nó áp dụng cho tất cả các khách hàng Swisscom dù họ có thích hay không, vì vậy việc từ chối nó có thể gây khó khăn.