誰かが私の知らないうちにサブドメインを作成しました。どうやって?
今日CIRAから興味深いメールを受け取りました:
CE14-12545 [Malware hosted on ygglhalayvtwy.khabarov[.]ca]
URL: http://ygglhalayvtwy.khabarov[.]ca/xnor/orladjaup.jpg
IP: 204[.]44[.]87[.]184
MD5: EFDCED1D3D8145EED471362B04E144871EBA2122
Malware: Trojan.Win32/Bicololo.A
ドメインは私のものですが、サブドメインやワイルドカードを設定したことはないので、これはかなり奇妙なことです。そして、私は明らかにマルウェアを提供していません。
掘り出し物:
; <<>> Dig 9.8.3-P1 <<>> ygglhalayvtwy.khabarov.ca
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29242
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ygglhalayvtwy.khabarov.ca. IN A
;; ANSWER SECTION:
ygglhalayvtwy.khabarov.ca. 2498 IN A 204.44.87.184
;; Query time: 2 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Mon Dec 29 23:10:19 2014
;; MSG SIZE rcvd: 59
だからそれは私が知らないいくつかのIPに解決されます。
DNSを管理しているafraid.orgを確認しました。そのようなAレコードはありません。
私がドメイン名を持っているNamecheapにも疑わしいものは何もありません。
ここで正確に何が起こっているのですか?
私の直接の疑いは、他の誰かがあなたのドメインを管理しているということでした。現在、2つの可能性があります。
- ゾーンをホストしている場所でアカウントがハッキングされました。
- あなたはいくつかを使用しています
ジャンキー予算のDNSホストを使用すると、ゾーンを無料でホストでき、その見返りとして、ドメインからサブドメインを作成する権限を与えることができます。 (補足:私は不注意で、結論に達してそれを改ざんしようとする前にあなたの投稿の半分しか読んでいなかったので、あなたがafraid.orgがあなたのDNSホストであると明示的に述べていることにさえ気づきませんでした。ただし、2秒後に表示されるように、自分で確認してください。)
クイックDNSMan!掘り出し物に!
Dig +short ns khabarov.ca
ns2.afraid.org.
ns4.afraid.org.
ns3.afraid.org.
ns1.afraid.org.
まあ、まあ、まあ。ここには何がありますが、古き良きafraid.orgです。本質的に悪いとは思わないので、彼らのサービスについて悪いことは何も言いません。ただし、それらを使用するときは、何を与えているかを知っておく必要があります。 afraid.orgのような無料のサービスにゾーンをホストさせると、他の人があなたのドメインからサブドメインを作成できるようになります。
誰かがあなたのドメインをおそらくランダムに使用し、人々にいくらかの不快感を与えるサブドメインを作成しました。そのサブドメインはさまざまなチャネルを通じて報告され、今では死の悪臭を放っています。共有は魔法です!
