Frage Die Phishing-Site verwendet Subdomains, die ich nie registriert habe


Ich habe kürzlich die folgende Nachricht von den Google Webmaster-Tools erhalten:

Sehr geehrter Site-Inhaber oder Webmaster von http://gotgenes.com/,

[...]

Im Folgenden finden Sie eine oder mehrere Beispiel-URLs auf Ihrer Website, die Teil eines sein können   Phishingangriff:

http://repair.gotgenes.com/~elmsa/.ihr-konto.php

[...]

Was ich nicht verstehe, ist, dass ich noch nie eine Subdomain repair.gotgenes.com hatte, aber wenn ich es im Webbrowser besuche, gibt es ein aktuelles My DNS KostenlosDNS, die eine Reparaturunterdomäne nicht auflistet. Mein Domainname ist bei GoDaddy registriert und die Nameserver sind korrekt auf NS1.AFRAID.ORG, NS2.AFRAID.ORG, NS3.AFRAID.ORG und NS4.AFRAID.ORG eingestellt.

Ich habe folgende Fragen:

  1. Wo ist repair.gotgenes.com tatsächlich registriert?
  2. Wie wurde es registriert?
  3. Welche Maßnahme kann ich ergreifen, um es aus DNS zu entfernen?
  4. Wie kann ich verhindern, dass dies in Zukunft passiert?

Das ist ziemlich beunruhigend; Ich habe das Gefühl, dass meine Domain entführt wurde. Jede Hilfe würde sehr geschätzt werden.


39
2017-09-13 21:26


Ursprung


Verfügt Ihr Control Panel über die Möglichkeit, Ihren DNS zu steuern, wie es bei vielen Control Panels der Fall ist? Wenn ja, würde ich nach dem Einbruch suchen. - Oli
Er sagte, dass er FreeDNS benutzt. Ich würde nicht erwarten, dass jeder damit vertraut ist, aber es ist kein Hosting, hat kein "Control Panel" und die anderen Antworten sind nicht nur korrekt, sondern haben relevante Details. - Chris S


Antworten:


Seufzer. Ich habe einige Kunden dazu gebracht, Trap zu nehmen, indem ich angry.org als ihren DNS-Provider benutze. Weil sie frei sind, sie erlauben jedem, der will um Subdomains von Ihrer primären Domain zu erstellen, es sei denn, Sie erlauben dies ausdrücklich.

Sie können hier sehen: https://freedns.afraid.org/domain/registry/?sort=5&q=gotgenes&submit=SEARCH dass jemand 79 Subdomains von Ihrer primären Domain erstellt hat.

Noch nie. je. je. je. Verwenden Sie angst.org für eine Website, die Ihnen wichtig ist.


76
2017-09-14 00:25



Beeindruckend. Danke für die Info Mark, sehr nützlich, wenn unheimlich oder sogar rücksichtslos seitens ängstlich.org. DNS ist genug eines Vektors wie es ist, sie müssen diese Richtlinie wirklich ändern. +1 - mcauth
Bei kostenlosen Anbietern tendieren Sie dazu, das zu bekommen, wofür Sie bezahlen. :) - John Gardeniers
In diesem Fall hört es sich an, als ob du gerade geworden bist Weniger als das, wofür du bezahlt hast. - Shadur
Gibt es eine Erklärung dafür, warum sie so ein gefährliches Standardverhalten haben? - Dan Neely
So funktioniert frevnsns. Sie bieten jeder Person die Möglichkeit, eine Subdomain auf Tausenden anderer Domains zu erstellen, die von anderen gespendet werden. Dies ist, was sie tun, rein und einfach. Wer das nicht klar erkennt, hat keine Ahnung, was sie machen, wenn sie sich für die Freibeträge anmelden. - user606723


Wenn Sie möchten, dass die Domäne nur für Sie bestimmt ist, müssen Sie sie wie folgt konfigurieren: http://freedns.afraid.org/queue/explanation.php

FreeDNS ist, wie andere bereits erwähnt haben, in erster Linie ein Dienst zur Registrierung eines Hostnamens in einer großen Auswahl verfügbarer Domains; Wenn Sie eine Domain auf FreeDNS hinzufügen, fügen Sie standardmäßig eine Gruppe von Domains hinzu, die jeder nutzen kann.


13
2017-09-14 16:31





com.            172800  IN  NS  e.gtld-servers.net.
com.            172800  IN  NS  l.gtld-servers.net.
com.            172800  IN  NS  c.gtld-servers.net.
com.            172800  IN  NS  a.gtld-servers.net.
com.            172800  IN  NS  i.gtld-servers.net.
com.            172800  IN  NS  m.gtld-servers.net.
com.            172800  IN  NS  b.gtld-servers.net.
com.            172800  IN  NS  f.gtld-servers.net.
com.            172800  IN  NS  j.gtld-servers.net.
com.            172800  IN  NS  d.gtld-servers.net.
com.            172800  IN  NS  g.gtld-servers.net.
com.            172800  IN  NS  h.gtld-servers.net.
com.            172800  IN  NS  k.gtld-servers.net.
;; Received 509 bytes from 192.36.148.17#53(192.36.148.17) in 551 ms

gotgenes.com.       172800  IN  NS  ns1.afraid.org.
gotgenes.com.       172800  IN  NS  ns2.afraid.org.
gotgenes.com.       172800  IN  NS  ns3.afraid.org.
gotgenes.com.       172800  IN  NS  ns4.afraid.org.
;; Received 119 bytes from 2001:503:a83e::2:30#53(2001:503:a83e::2:30) in 395 ms

repair.gotgenes.com.    3600    IN  A   209.217.234.183
gotgenes.com.       3600    IN  NS  ns4.afraid.org.
gotgenes.com.       3600    IN  NS  ns1.afraid.org.
gotgenes.com.       3600    IN  NS  ns3.afraid.org.
gotgenes.com.       3600    IN  NS  ns2.afraid.org.
;; Received 227 bytes from 174.37.196.55#53(174.37.196.55) in 111 ms

Ich bekomme die Antwort von nsX.afraid.org - die gleichen Nameserver, die für Ihre Domain aufgelistet sind.

Also würde ich das auch sagen

  • Dein DNS-Account wurde gehackt
  • Du hast eine Aufzeichnung erstellt, an die du dich nicht erinnerst
  • Ein Mitarbeiter mit Ihrem DNS-Host ist beschädigt
  • Ihr DNS-Host wurde gehackt und Datensätze werden erstellt, ohne dass Sie sie sehen können.

7
2017-09-13 21:31



Es ist nicht so viel wie gehackt worden, sondern der ganze Firmenname, der für den Missbrauch geöffnet wurde, indem man angst.org benutzt, das es jedem erlaubt, eine Subdomain von seiner primären Domain zu erstellen. - Mark Henderson♦
Ich hatte nicht einmal die Vorstellung, dass ein DNS-Provider das tun würde. Also habe ich auch etwas Neues gelernt, was toll ist: D - Frands Hansen


Standardmäßig ist Ihre Domain für die Freigabe festgelegt. Auf diese Weise kann jeder eine Subdomain Ihrer Domain hinzufügen. Sie können dies im Bereich "Domains" ändern und auf den Wert neben "Freigegeben:" klicken. Daraufhin sollte dieser Wert von "Öffentlich"> "Privat" geändert werden. Wenn es nicht ist, wurde es wahrscheinlich gehackt oder so.


2
2018-01-05 00:39





Jemand hat deinen Nameserver gehackt. Überprüfen Sie, wer Ihr Nameserver für die Domain ist. Der Nameserver ist in Ihrem Konto beim Registrar definiert.


0
2017-09-13 21:31



"By Design"! = "Gehackt". - Andrew


Ich füge hier eine Nuance zu den bereits gegebenen Antworten hinzu. Die meisten Leute haben auf ein mögliches DNS-Problem hingewiesen. Das ist ein gültiger Punkt. Eine weitere Möglichkeit ist die sogenannte Wildcard (oder Catch-all) Subdomains. Sie können dies als Teil Ihrer erweiterten DNS-Aufnahme bearbeiten, wie im angehängten Bild gezeigt.

Ein Beispiel für Details zu Platzhalter-Subdomänen ist: nitecheap dot com's Support-Seite zum Thema.

Bitte beachten Sie, dass die Wildcard-Subdomain an sich nicht schlecht ist, aber wenn Sie anfangen, Spoofing von E-Mail-Adressen und gefälschten Websites zu denken, kann das ziemlich ernst sein.

enter image description here


0
2018-05-09 17:06