DNS resolve endereço IP incorreto em um país

14

Um amigo meu tem um site de eLearning baseado no Claroline. Dois dias atrás, apenas usuários da Suíça começaram a redirecionar "aleatoriamente" em outro endereço IP ao acessar o domínio do site.

Se forçar o servidor DNS para 8.8.8.8 ou 9.9.9.9 no PC dos alunos, o domínio será resolvido corretamente. Mas se eu permanecer no servidor DNS suíço local, ele resolverá um endereço IP ruim (na lista negra).

A parte estranha é: não é apenas esse cliente e seu próprio computador. Todos os alunos da Suíça também são afetados. Mas não franceses.

A segunda parte estranha é: algumas páginas respondem a partir desse endereço IP falso com o conteúdo correto. Como o eLearning foi duplicado em outro servidor OU armazenado em cache em algum lugar.

O servidor é um Ubuntu 10.04.4 LTS antigo e provavelmente não está corretamente protegido / configurado. Eu tenho acesso total a este servidor, mas não o gerenciei, portanto, não tenho certeza do que procurar ou mesmo o que fazer.

Aqui está o que eu olhei / tentei até agora:

  • Verificado todo o Apache 2 vhost conf.
  • Iptables verificados (vazia) e /etc/hostse /etc/resolv.conf(SAFE)
  • Perguntou à Swisscom (principal empresa suíça de telecomunicações) se eles incluíram na lista negra o domínio ou algo assim: Não. Base de código claroline verificada: parece seguro, mas é enorme. Não consigo verificar todos os arquivos.

Aqui está uma consulta em um dos computadores Windows dos alunos:

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

E, claro, 195.186.210.161 não é o endereço IP correto do servidor.

Eu não sou um administrador do sistema. Estou apenas ajudando um amigo, então não tenho certeza do que procurar em seguida.

domain-name-system 
iizno
fonte
1
Talvez seja possível que o ISP desses alunos esteja tentando executar algum cache inteligente e, portanto, esteja interferindo no DNS. Eles estão todos na mesma universidade, por exemplo? Se você utilizar HTTPS para o servidor, ele ainda poderá modificar o DNS, mas o usuário final verá um erro de certificado se o resultado do DNS estiver apontando para um servidor que não seja o seu, pois não possuiria a chave privada.
David
1
Além disso, você tem certeza de que o endereço IP do servidor é estático? Por exemplo, se houver alterações frequentes ou alterações recentes no TTL do registro DNS, é possível que o DNS esteja sendo resolvido para um antigo (IP uma vez válido) - embora isso não explique perfeitamente por que eles veem conteúdo espelhado. Se você usar uma ferramenta como mxtoolbox.com/DNSLookup.aspx, poderá ver o TTL do registro A ou CNAME anexado ao domínio.
David
1
@DavidGoate Essa é a parte divertida, os estudantes estão em casa, em toda a França e Suíça. O francês não tem nenhum problema.
Iizno
1
O IP do servidor @DavidGoate é fixo e nunca é alterado. O dnschecker.org/#A/elearning.affis.ch não mostra nenhum erro.
Iizno 11/1018
1
Oi, outra coisa que pode acontecer, como já vi algum erro como esse no passado, pode ser um servidor DNS mal mantido pelo ISP. Eu vi a zona DNS que foi transferida, mas nunca apagada no nível do ISP, levando a erros estranhos.
yagmoth555

Respostas:

11

Como o MadHatter escreveu, este é o ISP dos usuários finais (Swisscom) redirecionando seu site através de um proxy de filtragem. É bem provável que todos os usuários que assinam seu serviço Internet Guard sejam enviados por proxy, não apenas para o seu site.

Eles dizem que o filtro é contra malware, phishing e vírus; portanto, não deve ser um problema de "classificação", mas de segurança.

Seu primeiro passo deve ser verificar se o site não foi infectado. Os sites PHP tendem a ser bastante vulneráveis ​​(se alguém encontrar uma maneira de fazer upload de um arquivo .php em algum lugar da hierarquia visível, ele poderá ser executado remotamente para fazer o que quiser). Também existem muitas outras maneiras de causar danos (injeções de SQL, XSS armazenado ...).

Sua página inicial não está bloqueada, ou pelo menos não o tempo todo, então:

  • apenas algumas páginas estão infectadas
  • a infecção aparece apenas uma fração do tempo nas solicitações do usuário (uma estratégia comum para voar sob o radar)
  • ou há algo mais em algumas páginas que aciona um falso positivo

Você pode ver o resultado, apontando o endereço do site para o endereço IP do proxy. Você pode fazer isso editando seu /etc/hostsarquivo (os detalhes variam de acordo com a plataforma) e adicionando uma linha:

195.186.210.161        elearning.affis.ch

Você pode visitar o site como um desses usuários e ver quais páginas estão bloqueadas ou não.

Depois de ter uma idéia melhor de quais páginas estão bloqueadas ou não, pode ser mais fácil identificar o problema real. Em seguida, corrija-o e, de repente, ele será exibido imediatamente, ou talvez seja necessário relatar um falso positivo (há um link para isso na parte inferior da página "bloqueada").

Observe que tentar relatar um falso positivo antes de verificar a infecção provavelmente seria contraproducente. Tente muito encontrar e corrigir o problema primeiro.

Editar

Observe que a versão do Claroline que você executa (1.11.9) tem várias vulnerabilidades XSS conhecidas desde 2014:

Várias vulnerabilidades de script entre sites (XSS) no Claroline 1.11.9 e versões anteriores permitem que usuários autenticados remotamente injetem scripts da Web ou HTML arbitrários via (1) o campo Pesquisar em uma ação da caixa de entrada para messaging / messagebox.php, (2) o " Primeiro nome "para auth / profile.php ou (3) o campo Speakers em uma ação rqAdd ao calendar / agenda.php

Se o problema for realmente um ataque XSS armazenado, faça o dump mais recente do seu banco de dados e verifique se ele contém algo como uma <scripttag (não se esqueça de pesquisar sem distinção entre maiúsculas e minúsculas).

jcaron
fonte
18

Se você apontar um navegador para o endereço IP retornado, http://195.186.210.161/ , você receberá a mensagem "site perigoso bloqueado" da Swisscom. Meu palpite é que o sistema de bloqueio de conteúdo da "internet segura" funciona, pelo menos em parte, respondendo a solicitações de DNS e que o site está se desentendendo com eles, por algum motivo.

Entendo que você perguntou se eles estavam bloqueando você, mas, na minha experiência, mesmo o suporte técnico de linha de frente dos ISPs de tamanho médio não tem a menor idéia do que está acontecendo lá atrás. É bem possível que todo o sistema de babás seja terceirizado (ou feito por um produto comercial de terceiros) e que ninguém na Swisscom tenha idéia de quais sites estão bloqueados a qualquer momento. Perguntar ao aluno se ele tem algum tipo de configuração de "internet para babá" pode ser mais produtivo.

No final do dia, isso pode não ser um problema que você possa resolver, já que você não é o cliente do ISP e eles não lhe devem nada. Ter os pais do aluno ligando para o suporte do provedor de serviços de Internet, reclamando em voz alta sobre a resolução incorreta do DNS e ameaçando alterar o provedor de serviços de Internet, se não for resolvido, é provavelmente a única coisa que tem algum efeito.

Edit : este tópico sugere que o mecanismo de bloqueio de sites da Swisscom pode ser um pouco entusiasmado demais, e que nem sempre é fácil obter qualquer tipo de resolução positiva deles. Também sugere que este não é um filtro de aceitação, mas que se aplica a todos os clientes da Swisscom, gostem ou não, portanto, optar por não participar pode ser difícil.

Chapeleiro Louco
fonte
1
É por isso que penso também, mas por que algumas páginas exibem o conteúdo correto e outras acabaram o tempo limite. ? É como se eles duplicassem algumas páginas.
Iizno 11/1118
7
Como não sabemos o que eles estão usando, não podemos saber como funciona. Talvez a decisão de primeira linha seja tomada no momento da resolução do DNS, mas o sistema em 195.186.201.161 implemente uma decisão de segunda linha com base em qual URL é solicitada, fazendo proxy através do servidor real se e somente se ele decidir que o conteúdo é "seguro" " Quando as pessoas começam a tentar modificar protocolos da Internet em busca de uma visão (inatingível) de uma Internet "segura", quase tudo pode dar errado.
MadHatter
2
Parece um problema que poderia ser resolvido com um advogado na jurisdição certa ...
R .. GitHub PARE DE AJUDAR O GELO
4
Se ele estiver sendo submetido a um proxy e a uma varredura, forçar o HTTPS pode ajudar (ou prejudicar). O ISP teria pelo menos apenas a opção de bloquear o site inteiro ou nenhum, em vez de bloquear algumas páginas e outras não. Isso pode tornar as coisas menos confusas para os usuários.
21718 Joshua Dwire
3
É bem possível que todo o sistema de babás seja terceirizado (ou feito por um produto comercial de terceiros) e que ninguém na Swisscom tenha idéia de quais sites estão bloqueados a qualquer momento. Eu trabalhei com uma grande empresa de telecomunicações que faz exatamente isso, para confirmar. O suporte técnico do ISP provavelmente não tem como saber, no entanto, eles devem poder abrir um ticket para quem estiver realmente executando o sistema de classificação, se houver algum problema.
Bakuriu 11/10/19
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.