DNS löst falsche IP-Adresse in einem Land auf

Einer meiner Freunde hat eine eLearning-Website, die auf Claroline basiert. Vor zwei Tagen begannen nur Schweizer Benutzer, beim Zugriff auf die Website-Domain "zufällig" auf eine andere IP-Adresse umzuleiten.

Wenn ich den DNS-Server auf dem Schüler-PC auf 8.8.8.8 oder 9.9.9.9 zwinge, wird die Domain korrekt aufgelöst. Wenn ich jedoch beim lokalen Schweizer DNS-Server bleibe, wird die IP-Adresse in eine schlechte (auf der schwarzen Liste stehende) Adresse aufgelöst.

Der seltsame Teil ist: Es ist nicht nur dieser eine Kunde und sein eigener Computer. Jeder in der Schweiz wohnhafte Student ist ebenfalls betroffen. Aber keine französischen.

Der zweite seltsame Teil ist: Einige Seiten antworten von dieser falschen IP-Adresse mit dem richtigen Inhalt. Als ob das eLearning auf einem anderen Server dupliziert oder irgendwo zwischengespeichert worden wäre.

Der Server ist ein alter Ubuntu 10.04.4 LTS und wahrscheinlich nicht richtig geschützt / konfiguriert. Ich habe vollen Zugriff auf diesen Server, habe ihn aber nicht verwaltet, daher bin ich mir nicht sicher, wonach ich suchen oder was ich tun soll.

Folgendes habe ich mir bisher angesehen / ausprobiert:

Überprüft alle Apache 2 vhost conf.
Geprüfte Iptables (leer) und /etc/hostsund /etc/resolv.conf(sicher)
Fragen Sie Swisscom, ob sie die Domain oder etwas anderes auf die Blacklist gesetzt haben: Nope Geprüfte Claroline-Codebasis: Sieht sicher aus, ist aber riesig. Ich kann nicht alle Dateien überprüfen.

Hier ist ein nslookup auf einem der Windows-Schülercomputer:

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

Und natürlich ist 195.186.210.161 nicht die richtige IP-Adresse des Servers.

Ich bin kein Systemadministrator. Ich helfe nur einem Freund, also bin ich mir nicht sicher, was ich als nächstes sehen soll.

domain-name-system

— iizno
quelle

Möglicherweise versucht der ISP dieser Schüler, ein intelligentes Caching durchzuführen, und greift so in den DNS ein. Sind sie zum Beispiel alle an derselben Universität? Wenn Sie HTTPS für Ihren Server verwenden, können die Benutzer das DNS weiterhin ändern. Dem Endbenutzer wird jedoch ein Zertifikatfehler angezeigt, wenn das DNS-Ergebnis auf einen anderen Server als Ihren eigenen verweist, da sie nicht im Besitz des privaten Schlüssels wären.

— David

Sind Sie außerdem sicher, dass die IP-Adresse des Servers statisch ist? Wenn sich beispielsweise die TTL des DNS-Eintrags häufig ändert oder kürzlich ändert, wird der DNS möglicherweise in eine alte (einmal gültige) IP aufgelöst. Dies würde jedoch nicht genau erklären, warum gespiegelte Inhalte angezeigt werden. Wenn Sie ein Tool wie mxtoolbox.com/DNSLookup.aspx verwenden , wird möglicherweise die TTL des A- Eintrags oder CNAME- Eintrags angezeigt , der an die Domäne angehängt ist.

— David

@DavidGoate Das ist der lustige Teil, Studenten sind in ganz Frankreich und der Schweiz zu Hause. Der Franzose hat kein Problem.

— Iizno

@DavidGoate Server IP ist fest und wurde nie geändert. dnschecker.org/#A/elearning.affis.ch zeigt keine Fehler an.

— Iizno

Hallo, eine andere Sache, die passieren kann, da ich in der Vergangenheit einen solchen Fehler gesehen habe, kann es sich um einen schlecht gewarteten DNS-Server des ISP handeln. Ich habe eine DNS-Zone gesehen, die auf ISP-Ebene übertragen, aber nie gelöscht wurde, was zu einem merkwürdigen Fehler führte.

— yagmoth555

Antworten:

Wie MadHatter schrieb, ist dies der ISP (Swisscom) der Endbenutzer, der Ihre Site über einen Filter-Proxy umleitet . Es ist sehr wahrscheinlich, dass alle Benutzer, die ihren Internet Guard-Dienst abonnieren, tatsächlich über diesen Proxy-Server geleitet werden, nicht nur über Ihre Website.

Sie sagen, dass der Filter gegen Malware, Phishing und Viren ist, daher sollte es nicht um "Klassifizierung", sondern um Sicherheit gehen.

Ihr erster Schritt sollte daher sein, zu überprüfen, ob die Site nicht infiziert wurde. PHP-Sites sind in der Regel sehr anfällig (wenn jemand einen Weg findet, eine .php-Datei irgendwo in der sichtbaren Hierarchie hochzuladen, kann sie remote ausgeführt werden, um alles zu tun, was er will). Es gibt auch viele andere Möglichkeiten, Schaden zuzufügen (SQL-Injektionen, gespeicherte XSS ...).

Ihre Homepage ist nicht oder nicht immer blockiert.

Nur einige der Seiten sind infiziert
Die Infektion zeigt sich nur zu einem Bruchteil der Zeit auf Benutzeranfragen (eine übliche Strategie, um unter dem Radar zu fliegen)
oder es gibt auf einigen Seiten noch etwas anderes, das ein falsches Positiv auslöst

Sie können das Ergebnis selbst sehen, indem Sie die Adresse der Website auf die IP-Adresse des Proxys verweisen. Sie können dies tun, indem Sie Ihre /etc/hostsDatei bearbeiten (Details variieren je nach Plattform) und eine Zeile hinzufügen:

195.186.210.161        elearning.affis.ch

Sie können dann die Site als einer dieser Benutzer besuchen und sehen, welche Seiten blockiert sind oder nicht.

Sobald Sie ein besseres Gefühl dafür haben, welche Seiten blockiert sind oder nicht, ist es möglicherweise einfacher, das eigentliche Problem zu lokalisieren. Korrigieren Sie es dann und entweder geht es plötzlich sofort durch, oder Sie müssen möglicherweise ein falsches Positiv melden (es gibt einen Link dafür unten auf der "gesperrten" Seite).

Beachten Sie, dass der Versuch, ein falsches Positiv zu melden, bevor auf Infektion geprüft wird, wahrscheinlich kontraproduktiv ist. Versuchen Sie sehr, das Problem zuerst zu finden und zu beheben.

Bearbeiten

Beachten Sie, dass die von Ihnen ausgeführte Version von Claroline (1.11.9) seit 2014 mehrere bekannte XSS-Schwachstellen aufweist :

Mehrere Cross-Site-Scripting (XSS) -Schwachstellen in Claroline 1.11.9 und früheren Versionen ermöglichen es authentifizierten Remotebenutzern, willkürliches Web-Script oder HTML über (1) das Suchfeld in einer Posteingangsaktion in messaging / messagebox.php einzufügen. (2) Vorname "Feld zu auth / profile.php oder (3) das Feld Sprecher in einer rqAdd Aktion zu calendar / agenda.php

Wenn es sich in der Tat um eine gespeicherte XSS-Attacke handelt, überprüfen Sie anhand des neuesten Speicherauszugs Ihrer Datenbank, ob darin etwas wie ein <scriptTag enthalten ist (vergessen Sie nicht, zwischen Groß- und Kleinschreibung zu suchen).

— jcaron
quelle

Wenn Sie einen Browser auf die zurückgegebene IP-Adresse http://195.186.210.161/ richten, wird die Meldung "Gefährliche Website blockiert" von Swisscom angezeigt . Ich vermute, dass ihr System zum Blockieren von Inhalten im "sicheren Internet" zumindest teilweise funktioniert, indem es auf DNS-Anfragen reagiert, und dass Ihre Website aus irgendeinem Grund gegen sie verstößt.

Ich verstehe, dass Sie sie gefragt haben, ob sie Sie blockieren, aber meiner Erfahrung nach hat selbst der technische Front-Line-Support mittelgroßer ISPs nicht die geringste Ahnung, was im Hintergrund vor sich geht. Es ist durchaus möglich, dass das gesamte Nanny-System ausgelagert ist (oder von einem kommerziellen Produkt eines Drittanbieters ausgeführt wird) und dass niemand bei Swisscom eine Ahnung hat, welche Sites zu einem bestimmten Zeitpunkt gesperrt sind. Es ist möglicherweise produktiver, wenn Sie Ihren Schüler fragen, ob er irgendwelche "Nanny-Internet" -Einstellungen hat.

Letztendlich ist dies möglicherweise kein Problem, das Sie lösen können, da Sie nicht der Kunde dieses ISP sind und dieser Ihnen nichts schuldet. Wenn die Eltern des Schülers ihren ISP-Support anrufen, sich über eine falsche DNS-Auflösung beschweren und drohen, den ISP zu ändern, wenn er nicht behoben wird, ist dies wahrscheinlich die einzige Sache, die Auswirkungen hat.

Bearbeiten : Dieser Thread deutet darauf hin, dass die Website-Blockierungs-Engine von Swisscom ein bisschen überbegeistert sein kann und dass es nicht immer einfach ist, eine positive Lösung daraus zu ziehen. Es wird auch darauf hingewiesen, dass dies kein Opt-In-Filter ist, sondern dass es für alle Swisscom-Kunden gilt, ob sie es mögen oder nicht. Daher kann es sich als schwierig erweisen, sich dagegen zu entscheiden.

— MadHatter
quelle

Deshalb denke ich auch, aber warum werden einige Seiten mit dem richtigen Inhalt und andere nur mit Zeitüberschreitung angezeigt. ? Es ist, als würden sie einige Seiten duplizieren.

— Iizno

Wir wissen nicht, was sie verwenden, also können wir nicht wissen, wie es funktioniert. Möglicherweise wird die Entscheidung in der ersten Zeile zur DNS-Auflösungszeit getroffen, aber das System implementiert unter 195.186.201.161 eine Entscheidung in der zweiten Zeile auf der Grundlage der angeforderten URL, die genau dann an den realen Server weitergeleitet wird, wenn festgestellt wird, dass der Inhalt "sicher" ist ". Sobald die Leute anfangen, Internetprotokolle zu biegen, um eine (unerreichbare) Vision eines "sicheren" Internets zu verfolgen, kann fast alles schief gehen.

— MadHatter

Es scheint ein Problem zu sein, das mit einem Anwalt in der richtigen Gerichtsbarkeit gelöst werden könnte ...

— R .. GitHub STOP HELPING ICE

Wenn es tatsächlich als Proxy fungiert und gescannt wird, kann das Erzwingen von HTTPS helfen (oder schaden). Der ISP hätte zumindest nur die Wahl, die gesamte Site oder gar keine zu blockieren, anstatt einige Seiten und andere nicht zu blockieren. Dies kann die Benutzer weniger verwirren.

— Joshua Dwire

Es ist durchaus möglich, dass das gesamte Nanny-System ausgelagert ist (oder von einem kommerziellen Produkt eines Drittanbieters ausgeführt wird) und dass niemand bei Swisscom eine Ahnung hat, welche Sites zu einem bestimmten Zeitpunkt gesperrt sind. Ich habe mit einem großen Telekommunikationsunternehmen zusammengearbeitet, das genau das tut, kann das also bestätigen. Der technische Support des Internetdienstanbieters hat wahrscheinlich keine Ahnung, sollte jedoch in der Lage sein, ein Ticket für denjenigen zu eröffnen, der das Klassifizierungssystem tatsächlich ausführt, wenn ein Problem auftritt.

— Bakuriu