Προς το περιεχόμενο

Θέμα με vps και άγνωστα domain που κάνουν redirect σε μένα

WoodSell3r

Από τον WoodSell3r
στο Powerlines, Access Points και Δίκτυα

 Share

Προτεινόμενες αναρτήσεις

WoodSell3r Mentor

WoodSell3r

Δημοσ.
Δημοσ.

Καλησπέρα,

 

Έχω στήσει εδώ και λίγες μέρες ένα vps, debian 7 x64, για τις ανάγκες μιας πλατφόρμας. Πέρασα και τις κατάλληλες νεες εγγραφές dns στον registrar για να κάνει redirect στη νέα ip (μέχρι πρόσφατα είχα το domain σε free host) και όλα οκ. Σε κάποια φάση χθες, τσέκαρα τα access/error logs του apache. Είδα κάποια περίεργα πράγματα και ψάχτηκα παραπάνω. Για την ακρίβεια, είχα εγγραφές στο error log με τα url που αναζητήθηκαν και δεν βρέθηκαν. Το θέμα είναι πως τα url που αναζητήθηκαν είναι άλλης σελίδας, με tld Δανίας. Για παράδειγμα, abc.dk/index.php/admin/ και διάφορα άλλα ως λανθασμένες αναζητήσεις στο δικό μου domain.

Πονηρεύτηκα λίγο, μπαίνω από τον browser στην abc.dk και βλέπω να κάνει redirect σε εμένα!! Κλείνω τον apache, πέφτει και η δικιά μου σελίδα και η abc.dk. Με ένα whois που έκανα, είδα ότι το δανέζικο domain έχει στοιχεία εταιρείας στη Δανία και αποτελεί θυγατρική άλλης εταιρείας.

Τι έχει γίνει ; Ποιός έπεσε θύμα ; Η αλήθεια είναι ότι τις πρώτες μέρες, το vps ήταν λίγο ξέφραγο αμπέλι, παρατήρησα και τα πρωτα logs όπου κάποιος απο Λατινική Αμερική έκανε δοκιμες σε url τύπου: /phpMyAdmin/scripts/setup.php , /pma/scripts/setup.php και παραπλήσια.

Τι κάνω σε αυτή την περίπτωση ;

Σκέφτηκα ένα ακραίο ενδεχόμενο, όταν δημιούργησα το vps και μου δόθηκε η ip, να ηταν η ip της δανέζικης εταιρείας που ενδεχομένως να έκανε destroy το δικό της vps.

Βέβαια, για να είμαι ειλικρινής, δε πείθομαι από αυτό το σενάριο. Προς το παρον, έχω σβήσει το vps και περιεργάζομαι την κατάσταση. Τι μπορεί να είναι ; Έχω πέσει θύμα εγώ ; Οι δανοί ; Ή και οι δυό μας ; Τι μπορώ να ελέγξω για να βγάλω κάποιο ασφαλές πόρισμα ;

Ευχαριστώ.

hawkpilot Mentor

hawkpilot

Δημοσ.
Δημοσ.

Καλησπέρα, από τη στιγμή που το abc.dk κάνει redirect στο δικό σου domain είναι φυσιολογικό να βλέπεις αυτές τις εγγραφές στο access log. Το αν έχεις εσύ πρόβλημα ασφαλείας είναι άλλο κεφάλαιο που πρέπει να διερευνήσεις. Η ip που σου δόθηκε, λογικά, θα πρέπει να είναι αχρησιμοποίητη για 3-6-12 μήνες ανάλογα με την πολιτική του κάθε παρόχου. Πολύ δύσκολο (αλλά όχι αδύνατο) να έχεις πέσει στην ίδια.

 

Αρχικά, αυτό που θα έκανα είναι να βρω τρόπο να μπλοκάρω όλες τις αιτήσεις που φτάνουν από το domain abc.dk. Δεν είμαι apache expert αλλά νομίζω ότι μπορείς να φτιάξεις κανόνα στο configuration που να "κόβει" ότι έρχεται από abc.dk μεριά ή, αν θες να τους τρελάνεις, κάντο redirect εσύ σε κενή σελίδα ή σε ip που δεν υπάρχει ώστε να τους καθυστερεί.

 

 

 

Καλησπέρα,

Έχω στήσει εδώ και λίγες μέρες ένα vps, debian 7 x64, για τις ανάγκες μιας πλατφόρμας. Πέρασα και τις κατάλληλες νεες εγγραφές dns στον registrar για να κάνει redirect στη νέα ip (μέχρι πρόσφατα είχα το domain σε free host) και όλα οκ. Σε κάποια φάση χθες, τσέκαρα τα access/error logs του apache. Είδα κάποια περίεργα πράγματα και ψάχτηκα παραπάνω. Για την ακρίβεια, είχα εγγραφές στο error log με τα url που αναζητήθηκαν και δεν βρέθηκαν. Το θέμα είναι πως τα url που αναζητήθηκαν είναι άλλης σελίδας, με tld Δανίας. Για παράδειγμα, abc.dk/index.php/admin/ και διάφορα άλλα ως λανθασμένες αναζητήσεις στο δικό μου domain.
Πονηρεύτηκα λίγο, μπαίνω από τον browser στην abc.dk και βλέπω να κάνει redirect σε εμένα!! Κλείνω τον apache, πέφτει και η δικιά μου σελίδα και η abc.dk. Με ένα whois που έκανα, είδα ότι το δανέζικο domain έχει στοιχεία εταιρείας στη Δανία και αποτελεί θυγατρική άλλης εταιρείας.
Τι έχει γίνει ; Ποιός έπεσε θύμα ; Η αλήθεια είναι ότι τις πρώτες μέρες, το vps ήταν λίγο ξέφραγο αμπέλι, παρατήρησα και τα πρωτα logs όπου κάποιος απο Λατινική Αμερική έκανε δοκιμες σε url τύπου: /phpMyAdmin/scripts/setup.php , /pma/scripts/setup.php και παραπλήσια.
Τι κάνω σε αυτή την περίπτωση ;
Σκέφτηκα ένα ακραίο ενδεχόμενο, όταν δημιούργησα το vps και μου δόθηκε η ip, να ηταν η ip της δανέζικης εταιρείας που ενδεχομένως να έκανε destroy το δικό της vps.
Βέβαια, για να είμαι ειλικρινής, δε πείθομαι από αυτό το σενάριο. Προς το παρον, έχω σβήσει το vps και περιεργάζομαι την κατάσταση. Τι μπορεί να είναι ; Έχω πέσει θύμα εγώ ; Οι δανοί ; Ή και οι δυό μας ; Τι μπορώ να ελέγξω για να βγάλω κάποιο ασφαλές πόρισμα ;
Ευχαριστώ.

 

WoodSell3r Mentor

WoodSell3r

Δημοσ.
  • Μέλος
Δημοσ.

Καλημέρα,

Για αρχή θα καταστρέψω το vps χωρίς να πάρω αντίγραφο εικόνας. Ετσι στη νεα δημιουργια το πιο πιθανο ειναι να λαβω διαφορετική διευθυνση. Με αυτο τον τροπο θα δω αν το redirect απο Δανια γίνεται στην παλια διευθυνση ή στο domain.. ΑΝ γινεται στη παλια διεθυνση εχει καλως. ΑΝ γινεται στο domain τοτε θα πρεπει να δω για κανονες μπλοκαρισματος.
Αρκετα ανορθοδοξος τροπος αλλα δε μπορω να ασχοληθω αυτη τη στιγμη λογω χρονου με κανονες μπλοκαρισματος αν μπορω με νεα διευθυνση να ξεμπερδεψω με το θεμα. Θα επανελθω για να ενημερωσω. Στο ενδιαμεσο οποιαδηποτε προταση/αποψη γινεται δεκτη :)

platongr Mentor

platongr

Δημοσ.
Δημοσ.

Δες το .dk domain τι dns έχει δηλωμένους. Βρες σε ποιον ανήκουν αυτοί οι dns και επικοινώνησε μαζί τους.

Προφανώς όταν χτυπάς το .dk δεν σου ανοίγει κάποιο site αλλά απαντάει το ip σου.

Το πιο πιθανό είναι το .dk domain να είχε αλλού dns hosting και αλλού την σελίδα του. Την σελίδα την είχε στο ίδιο dc με εσένα και προφανώς είχε το ip που πήρες εσύ. Άρα έχουν μείνει οι εγγραφές στον external dns, το ip είναι το ίδιο, η .dk εταιρεία δεν ασχολήθηκε οπότε καταλήγει πάλι σε εσένα.

WoodSell3r Mentor

WoodSell3r

Δημοσ.
  • Μέλος
Δημοσ.

Δες το .dk domain τι dns έχει δηλωμένους. Βρες σε ποιον ανήκουν αυτοί οι dns και επικοινώνησε μαζί τους.

Προφανώς όταν χτυπάς το .dk δεν σου ανοίγει κάποιο site αλλά απαντάει το ip σου.

Το πιο πιθανό είναι το .dk domain να είχε αλλού dns hosting και αλλού την σελίδα του. Την σελίδα την είχε στο ίδιο dc με εσένα και προφανώς είχε το ip που πήρες εσύ. Άρα έχουν μείνει οι εγγραφές στον external dns, το ip είναι το ίδιο, η .dk εταιρεία δεν ασχολήθηκε οπότε καταλήγει πάλι σε εσένα.

 

Καλησπερα,

 

ευχαριστώ για την απάντηση. Ειναι αλήθεια πως το σενάριο σου είναι άκρως πειστικό και ταυτόχρονα από τα πλεον παράδοξα που εχω συναντησει μεχρι στιγμης.

Βεβαιά αποδεικνύει και πόσο γκαντέμης είμαι, ακόμα και στο νετ  :-D , που να ήξερα και εγώ ο κακομοιρος πριν διάλεξω Αμστερνταμ για dc... Όπως και να έχει, κατέστρεψα την εικόνα μιας και ειχα ενδοιασμους και για την ασφαλεια του vps και θα ξεκινήσω σύντομα ξανά την διαδικασία για δημιουργία νέου vps και ελπίζω σε νέα ip. 

Τελος κατι ακομα που ξεχασα να αναφερω ειναι οτι περα απο τα error logs απο την Δανεζικη σελιδα, ειχα και κατι αλλα περιεργα οπως απο ly.com και ενος mail server !! απο Ταιβάν. Αυτο ηταν και το κερασακι στη τουρτα για να καταστρεψω μια και καλη την εικονα.

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
 Share
Προς την λίστα θεμάτων
  • Δημιουργία νέου...