Situs phishing menggunakan subdomain yang tidak pernah saya daftarkan

42

Baru-baru ini saya menerima pesan berikut dari Google Webmaster Tools:

Pemilik situs atau webmaster yang terhormat dari http://gotgenes.com/ ,

[...]

Di bawah ini adalah satu atau lebih contoh URL di situs Anda yang mungkin menjadi bagian dari serangan phishing:

http://repair.gotgenes.com/~elmsa/.your-account.php

[...]

Yang tidak saya mengerti adalah bahwa saya tidak pernah memiliki subdomain repair.gotgenes.com, tetapi mengunjunginya di browser web memberikan DNS saya sebenarnya FreeDNS , yang tidak mencantumkan subdomain perbaikan. Nama domain saya terdaftar dengan GoDaddy, dan server nama diatur dengan benar ke NS1.AFRAID.ORG, NS2.AFRAID.ORG, NS3.AFRAID.ORG, dan NS4.AFRAID.ORG.

Saya punya pertanyaan berikut:

  1. Di mana repair.gotgenes.com sebenarnya terdaftar?
  2. Bagaimana cara mendaftar?
  3. Tindakan apa yang dapat saya lakukan untuk menghapusnya dari DNS?
  4. Bagaimana saya bisa mencegah hal ini terjadi di masa depan?

Ini cukup membingungkan; Saya merasa domain saya telah dibajak. Bantuan apa pun akan sangat dihargai.

domain-name-system phishing Gotgenes
sumber
1
Apakah panel kontrol Anda memiliki kekuatan untuk mengontrol DNS Anda, seperti banyak panel kontrol lakukan? Jika iya, di situlah saya akan mencari istirahat.
Oli
2
Dia bilang dia menggunakan FreeDNS. Saya tidak berharap semua orang mengenalnya, tetapi ini bukan Hosting, tidak memiliki "Panel Kontrol", dan jawaban lainnya tidak hanya benar tetapi memiliki detail yang relevan.
Chris S

Jawaban:

78

Mendesah. Saya punya beberapa klien yang terjebak dalam hal ini dengan menggunakan fear.org sebagai penyedia DNS mereka. Karena gratis, mereka mengizinkan siapa saja yang ingin membuat subdomain dari domain utama Anda, kecuali Anda secara khusus melarangnya.

Anda dapat melihat di sini: https://freedns.afraid.org/domain/registry/?sort=5&q=gotgenes&submit=SEARCH bahwa seseorang telah membuat 79 subdomain dari domain utama Anda.

Tak pernah. pernah. pernah. pernah. gunakan fear.org untuk situs web yang Anda pedulikan.

Mark Henderson
sumber
6
Wow. Terima kasih atas info Mark, sangat berguna, jika menakutkan atau bahkan gegabah di bagian takut.org. DNS sudah cukup sebagai vektor, mereka benar-benar perlu mengubah kebijakan ini. +1
mcauth
4
Dengan penyedia gratis Anda cenderung mendapatkan apa yang Anda bayar. :)
John Gardeniers
2
Dalam hal ini, sepertinya Anda mendapat kurang dari apa yang Anda bayar.
Shadur
Apakah mereka memberikan penjelasan mengapa mereka memiliki perilaku default yang berbahaya?
Dan Neely
13
Beginilah cara kerja kebebasan. Mereka memberi siapa pun kemampuan untuk membuat subdomain di ribuan domain lain yang disumbangkan oleh orang lain. Inilah yang mereka lakukan, murni dan sederhana. Siapa pun yang tidak menyadari hal ini jelas tidak tahu apa yang mereka lakukan ketika mereka mendaftar untuk kebebasan.
user606723
13

Jika Anda ingin domain hanya untuk Anda gunakan, Anda perlu mengkonfigurasinya seperti: http://freedns.afraid.org/queue/explanation.php

FreeDNS, seperti yang telah disebutkan orang lain, utamanya adalah layanan untuk mendaftarkan nama host di salah satu dari banyak pilihan domain yang tersedia; dengan menambahkan domain pada FreeDNS Anda, secara default, menambahkan ke set domain yang tersedia bagi siapa saja untuk digunakan.

Malcolm Scott
sumber
7 
com.            172800  IN  NS  e.gtld-servers.net.
com.            172800  IN  NS  l.gtld-servers.net.
com.            172800  IN  NS  c.gtld-servers.net.
com.            172800  IN  NS  a.gtld-servers.net.
com.            172800  IN  NS  i.gtld-servers.net.
com.            172800  IN  NS  m.gtld-servers.net.
com.            172800  IN  NS  b.gtld-servers.net.
com.            172800  IN  NS  f.gtld-servers.net.
com.            172800  IN  NS  j.gtld-servers.net.
com.            172800  IN  NS  d.gtld-servers.net.
com.            172800  IN  NS  g.gtld-servers.net.
com.            172800  IN  NS  h.gtld-servers.net.
com.            172800  IN  NS  k.gtld-servers.net.
;; Received 509 bytes from 192.36.148.17#53(192.36.148.17) in 551 ms

gotgenes.com.       172800  IN  NS  ns1.afraid.org.
gotgenes.com.       172800  IN  NS  ns2.afraid.org.
gotgenes.com.       172800  IN  NS  ns3.afraid.org.
gotgenes.com.       172800  IN  NS  ns4.afraid.org.
;; Received 119 bytes from 2001:503:a83e::2:30#53(2001:503:a83e::2:30) in 395 ms

repair.gotgenes.com.    3600    IN  A   209.217.234.183
gotgenes.com.       3600    IN  NS  ns4.afraid.org.
gotgenes.com.       3600    IN  NS  ns1.afraid.org.
gotgenes.com.       3600    IN  NS  ns3.afraid.org.
gotgenes.com.       3600    IN  NS  ns2.afraid.org.
;; Received 227 bytes from 174.37.196.55#53(174.37.196.55) in 111 ms

Saya mendapatkan respons dari nsX.afraid.org - server nama yang sama dengan yang terdaftar untuk domain Anda.

Jadi saya akan mengatakan itu juga

  • Akun DNS Anda diretas
  • Anda membuat catatan yang tidak Anda ingat
  • Seorang karyawan dengan host DNS Anda rusak
  • Host DNS Anda diretas dan catatan dibuat tanpa Anda dapat melihatnya.
Frands Hansen
sumber
9
Ini tidak sebanyak yang diretas, melainkan, membuka seluruh nama perusahaan mereka terbuka untuk penyalahgunaan dengan menggunakan takut.org yang memungkinkan siapa pun untuk membuat subdomain dari domain utama Anda.
Mark Henderson
2
Saya bahkan tidak memiliki imajinasi untuk membayangkan bahwa penyedia DNS akan melakukan itu. Jadi saya belajar sesuatu yang baru juga, yang hebat: D
Frands Hansen
2

Secara default domain Anda disetel untuk dibagikan. Dengan begitu siapa pun dapat menambahkan subdomain dari domain Anda. Anda dapat mengubahnya di panel domain dan mengklik nilai di sebelah "Dibagikan:" dan itu akan mengubahnya dari Publik> Pribadi. Jika tidak, mungkin bisa diretas atau semacamnya.

Pengguna tidak diketahui
sumber
0

Seseorang meretas server nama Anda. Periksa dengan siapa pun server nama Anda untuk domain tersebut. Server nama didefinisikan pada akun Anda dengan registrar.

itu pria
sumber
7
"Sesuai desain"! = "Diretas".
Andrew
0

Saya menambahkan nuansa di sini untuk jawaban yang sudah disediakan. Sebagian besar orang menunjuk ke kemungkinan masalah DNS. Itu adalah poin yang valid. Hanya kemungkinan lain adalah apa yang disebut subdomain Wildcard (atau Catch-all). Anda dapat mengaturnya sebagai bagian dari pengeditan Catatan DNS Tingkat Lanjut seperti pada gambar terlampir.

Contoh detail tentang subdomain wildcard adalah: halaman dukungan namecheap dot com pada topik .

Harap perhatikan bahwa dalam dan dari dirinya sendiri, subdomain wildcard tidak buruk, tetapi ketika Anda mulai berpikir spoofing alamat email dan situs web palsu, itu bisa sangat serius.

masukkan deskripsi gambar di sini

Alain
sumber