Die Phishing-Site verwendet eine Subdomain, die ich nie registriert habe

42

Ich habe kürzlich die folgende Nachricht von den Google Webmaster-Tools erhalten:

Sehr geehrter Websitebesitzer oder Webmaster von http://gotgenes.com/ ,

[...]

Nachfolgend finden Sie eine oder mehrere Beispiel-URLs auf Ihrer Website, die möglicherweise Teil eines Phishing-Angriffs sind:

http://repair.gotgenes.com/~elmsa/.your-account.php

[...]

Was ich nicht verstehe, ist, dass ich nie eine Subdomain repair.gotgenes.com hatte, aber wenn ich sie im Webbrowser besuche , wird eine aktuelle My DNS ist FreeDNS , die keine Reparatur-Subdomain auflistet . Mein Domainname ist bei GoDaddy registriert und die Nameserver sind korrekt auf NS1.AFRAID.ORG, NS2.AFRAID.ORG, NS3.AFRAID.ORG und NS4.AFRAID.ORG eingestellt.

Ich habe folgende Fragen:

  1. Wo ist repair.gotgenes.com tatsächlich registriert?
  2. Wie wurde es registriert?
  3. Wie kann ich vorgehen, um es aus den DNS zu entfernen?
  4. Wie kann ich dies in Zukunft verhindern?

Das ist ziemlich beunruhigend; Ich habe das Gefühl, dass meine Domain entführt wurde. Jede Hilfe wäre sehr dankbar.

domain-name-system phishing gotgenes
quelle
1
Hat Ihr Control Panel die Macht, Ihr DNS zu steuern, wie es viele Control Panels tun? In diesem Fall würde ich nach dem Einbruch Ausschau halten.
Oli,
2
Er sagte, er benutze FreeDNS. Ich würde nicht erwarten, dass jeder damit vertraut ist, aber es ist kein Hosting, es gibt kein "Control Panel" und die anderen Antworten sind nicht nur korrekt, sondern enthalten relevante Details.
Chris S

Antworten:

78

Seufzer. Ich hatte ein paar Kunden, die afraid.org als DNS-Provider verwendeten. Weil sie frei sind, erlauben sie jedem, der Subdomains außerhalb Ihrer primären Domain erstellen möchte , es sei denn, Sie verbieten dies ausdrücklich.

Sie können hier sehen: https://freedns.afraid.org/domain/registry/?sort=5&q=gotgenes&submit=SEARCH, dass jemand 79 Subdomains außerhalb Ihrer primären Domain erstellt hat.

Noch nie. je. je. je. Verwenden Sie afraid.org für eine Website, die Ihnen am Herzen liegt.

Mark Henderson
quelle
6
Beeindruckend. Danke für die Info Mark, sehr nützlich, wenn auch beängstigend oder rücksichtslos von Seiten von afraid.org. DNS ist sozusagen ein Vektor, dass sie diese Richtlinie wirklich ändern müssen. +1
mcauth
4
Bei kostenlosen Anbietern erhalten Sie in der Regel das, wofür Sie bezahlen. :)
John Gardeniers
2
In diesem Fall klingt es, als hätten Sie noch weniger bekommen, als Sie bezahlt haben.
Shadur
Erklären sie, warum sie ein so gefährliches Standardverhalten haben?
Dan Neely
13
So funktioniert freedns. Sie bieten jeder Person die Möglichkeit, eine Unterdomäne für Tausende anderer Domänen zu erstellen, die von anderen gespendet wurden. Das ist was sie tun, schlicht und einfach. Wer das nicht merkt, hat keine Ahnung, was er tut, als er sich für freedns anmeldet.
user606723
13

Wenn Sie möchten, dass die Domain nur für Sie verwendet wird, müssen Sie sie als solche konfigurieren: http://freedns.afraid.org/queue/explanation.php

FreeDNS ist, wie bereits erwähnt, in erster Linie ein Dienst zur Registrierung eines Hostnamens in einer der zahlreichen verfügbaren Domänen. Wenn Sie eine Domain in FreeDNS hinzufügen, erweitern Sie standardmäßig die verfügbaren Domains.

Malcolm Scott
quelle
7 
com.            172800  IN  NS  e.gtld-servers.net.
com.            172800  IN  NS  l.gtld-servers.net.
com.            172800  IN  NS  c.gtld-servers.net.
com.            172800  IN  NS  a.gtld-servers.net.
com.            172800  IN  NS  i.gtld-servers.net.
com.            172800  IN  NS  m.gtld-servers.net.
com.            172800  IN  NS  b.gtld-servers.net.
com.            172800  IN  NS  f.gtld-servers.net.
com.            172800  IN  NS  j.gtld-servers.net.
com.            172800  IN  NS  d.gtld-servers.net.
com.            172800  IN  NS  g.gtld-servers.net.
com.            172800  IN  NS  h.gtld-servers.net.
com.            172800  IN  NS  k.gtld-servers.net.
;; Received 509 bytes from 192.36.148.17#53(192.36.148.17) in 551 ms

gotgenes.com.       172800  IN  NS  ns1.afraid.org.
gotgenes.com.       172800  IN  NS  ns2.afraid.org.
gotgenes.com.       172800  IN  NS  ns3.afraid.org.
gotgenes.com.       172800  IN  NS  ns4.afraid.org.
;; Received 119 bytes from 2001:503:a83e::2:30#53(2001:503:a83e::2:30) in 395 ms

repair.gotgenes.com.    3600    IN  A   209.217.234.183
gotgenes.com.       3600    IN  NS  ns4.afraid.org.
gotgenes.com.       3600    IN  NS  ns1.afraid.org.
gotgenes.com.       3600    IN  NS  ns3.afraid.org.
gotgenes.com.       3600    IN  NS  ns2.afraid.org.
;; Received 227 bytes from 174.37.196.55#53(174.37.196.55) in 111 ms

Ich erhalte die Antwort von nsX.afraid.org - den gleichen Nameservern, die für Ihre Domain aufgelistet sind.

Also würde ich das auch sagen

  • Ihr DNS-Konto wurde gehackt
  • Sie haben einen Datensatz erstellt, an den Sie sich nicht erinnern können
  • Ein Mitarbeiter mit Ihrem DNS-Host ist beschädigt
  • Ihr DNS-Host wurde gehackt und Datensätze werden erstellt, ohne dass Sie sie sehen können.
Frands Hansen
quelle
9
Es wurde nicht so sehr gehackt, sondern der gesamte Firmenname wurde durch die Verwendung von afraid.org für Missbrauch geöffnet, wodurch jeder die Möglichkeit hat, eine Subdomain außerhalb Ihrer primären Domain zu erstellen.
Mark Henderson
2
Ich hatte nicht einmal die Vorstellung, dass ein DNS-Anbieter das tun würde. So habe ich gelernt , etwas Neues zu, das ist toll: D
Frands Hansen
2

Standardmäßig wird Ihre Domain freigegeben. Auf diese Weise kann jeder eine Subdomain Ihrer Domain hinzufügen. Sie können es im Bereich "Domänen" ändern und auf den Wert neben "Freigegeben:" klicken. Dies sollte sich unter "Öffentlich"> "Privat" ändern. Wenn nicht, wurde es wahrscheinlich gehackt oder so.

Benutzer unbekannt
quelle
0

Jemand hat Ihren Nameserver gehackt. Erkundigen Sie sich bei demjenigen, der Ihr Nameserver für die Domain ist. Der Nameserver ist in Ihrem Konto beim Registrar definiert.

es Kerl
quelle
7
"By Design"! = "Gehackt".
Andrew
0

Ich füge hier eine Nuance zu den bereits gegebenen Antworten hinzu. Die meisten Leute haben auf ein mögliches DNS-Problem hingewiesen. Das ist ein gültiger Punkt. Eine weitere Möglichkeit sind sogenannte Wildcard-Subdomains (oder Catch-All-Subdomains). Sie können eine im Rahmen Ihrer erweiterten DNS-Datensatzbearbeitung wie im angehängten Bild einrichten.

Ein Beispiel für Details zu Wildcard-Subdomains ist die Support-Seite von namecheap dot com zu diesem Thema .

Bitte beachten Sie, dass die Wildcard-Subdomain an und für sich nicht schlecht ist, aber wenn Sie anfangen, über das Fälschen von E-Mail-Adressen und gefälschten Websites nachzudenken, kann dies ziemlich schwerwiegend sein.

Bildbeschreibung hier eingeben

Alain
quelle