it-swarm.com.de

DNS löst falsche IP-Adressen in einem Land auf

Einer meiner Freunde hat eine eLearning-Website, die auf Claroline basiert. Vor zwei Tagen haben nur Schweizer Benutzer beim Zugriff auf die Website-Domain "zufällig" auf eine andere IP-Adresse umgeleitet.

Wenn ich den DNS-Server auf dem PC der Schüler auf 8.8.8.8 oder 9.9.9.9 zwinge, wird die Domäne korrekt aufgelöst. Wenn ich jedoch beim lokalen Schweizer DNS-Server bleibe, wird eine falsche IP-Adresse (auf der schwarzen Liste) angezeigt.

Der seltsame Teil ist: Es ist nicht nur dieser eine Kunde und sein eigener Computer. Jeder in der Schweiz ansässige Student ist ebenfalls betroffen. Aber keine französischen.

Der zweite seltsame Teil ist: Einige Seiten antworten von dieser falschen IP-Adresse mit dem richtigen Inhalt. Als ob das eLearning auf einem anderen Server dupliziert worden wäre OR irgendwo zwischengespeichert.

Der Server ist ein altes Ubuntu 10.04.4 LTS und wahrscheinlich nicht richtig geschützt/konfiguriert. Ich habe vollen Zugriff auf diesen Server, aber ich habe ihn nicht verwaltet, daher bin ich mir nicht sicher, wonach ich suchen oder was ich tun soll.

Folgendes habe ich bisher angeschaut/ausprobiert:

  • Überprüft alle Apache 2 vhost conf.
  • Überprüfte iptables (leer) und /etc/hosts und /etc/resolv.conf (sicher)
  • Fragte Swisscom (Schweizer Haupttelekommunikation), ob sie die Domain auf die schwarze Liste gesetzt haben oder so: Nö Geprüfte Claroline-Codebasis: Sie sieht sicher aus, ist aber riesig. Ich kann nicht alle Dateien überprüfen.

Hier ist ein nslookup auf einem der Windows-Schülercomputer:

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

Und natürlich ist 195.186.210.161 nicht die richtige IP-Adresse des Servers.

Ich bin kein Systemadministrator. Ich helfe nur einem Freund, bin mir also nicht sicher, was ich als nächstes sehen soll.

14
iizno

Wie MadHatter schrieb, ist dies der ISP des Endbenutzers (Swisscom), der Ihre Site über einen Filter-Proxy umleitet. Es ist sehr wahrscheinlich, dass alle Benutzer, die ihren Internet Guard-Dienst abonnieren, dort tatsächlich vertreten sind, nicht nur Ihre Website.

Sie sagen dass der Filter gegen Malware, Phishing und Viren ist, also sollte es nicht um "Klassifizierung" gehen, sondern um Sicherheit.

Ihr erster Schritt sollte daher sein, zu überprüfen, ob die Site nicht infiziert wurde. PHP Sites sind in der Regel sehr anfällig (wenn jemand eine Möglichkeit findet, eine .php-Datei irgendwo in der sichtbaren Hierarchie hochzuladen, kann sie remote ausgeführt werden, um alles zu tun, was er will) viele andere Möglichkeiten, Schaden zuzufügen (SQL-Injektionen, gespeichertes XSS ...).

Ihre Homepage ist nicht oder zumindest nicht immer blockiert.

  • nur einige der Seiten sind infiziert
  • die Infektion tritt nur auf einem Bruchteil der Zeit auf Benutzeranfragen auf (eine übliche Strategie, um unter dem Radar zu fliegen).
  • oder es gibt etwas anderes auf einigen Seiten, das ein falsches Positiv auslöst

Sie können das Ergebnis selbst sehen, indem Sie die Adresse der Website auf die IP-Adresse des Proxys verweisen. Sie können dies tun, indem Sie Ihre /etc/hosts - Datei bearbeiten (Details variieren je nach Plattform) und eine Zeile hinzufügen:

195.186.210.161        elearning.affis.ch

Sie können dann die Site als einer dieser Benutzer besuchen und sehen, welche Seiten blockiert sind oder nicht.

Sobald Sie ein besseres Gefühl dafür haben, welche Seiten blockiert sind oder nicht, ist es möglicherweise einfacher, das eigentliche Problem zu lokalisieren. Dann beheben Sie es, und entweder wird es plötzlich sofort durchlaufen, oder Sie müssen möglicherweise ein falsches Positiv melden (es gibt einen Link dafür am Ende der "blockierten" Seite).

Beachten Sie, dass der Versuch, vor der Überprüfung auf eine Infektion ein falsches Positiv zu melden, wahrscheinlich kontraproduktiv wäre. Versuchen Sie zunächst, das Problem zu finden und zu beheben.

Bearbeiten

Beachten Sie, dass die von Ihnen ausgeführte Version von Claroline (1.11.9) mehrere XSS-Schwachstellen aufweist, die seit 2014 bekannt sind:

Mehrere XSS-Sicherheitslücken (Cross-Site Scripting) in Claroline 1.11.9 und früheren Versionen ermöglichen es authentifizierten Remotebenutzern, beliebiges Web-Skript oder HTML über (1) das Suchfeld in einer Posteingangsaktion in messaging/messagebox.php, (2) das " Vorname "Feld zu auth/profile.php oder (3) das Feld Sprecher in einer rqAdd-Aktion zu calendar/Agenda.php

Wenn es sich tatsächlich um einen gespeicherten XSS-Angriff handelt, nehmen Sie den neuesten Speicherauszug Ihrer Datenbank und prüfen Sie, ob er so etwas wie ein <script - Tag enthält (vergessen Sie nicht, die Groß- und Kleinschreibung nicht zu berücksichtigen).

11
jcaron

Wenn Sie einen Browser auf die zurückgegebene IP-Adresse http://195.186.210.161/ richten, wird die Meldung "Gefährliche Website blockiert" von Swisscom angezeigt. Ich vermute, dass ihr "sicheres Internet" -Inhaltsblockierungssystem zumindest teilweise funktioniert, indem es auf DNS-Anfragen reagiert, und dass Ihre Website aus irgendeinem Grund gegen sie verstößt.

Ich verstehe, dass Sie sie gefragt haben, ob sie Sie blockieren, aber meiner Erfahrung nach haben selbst der technische Support von mittelgroßen ISPs an der Front nicht die geringste Ahnung, was im Hintergrund vor sich geht. Es ist durchaus möglich, dass das gesamte Nanny-System ausgelagert wird (oder von einem kommerziellen Produkt eines Drittanbieters ausgeführt wird) und dass niemand bei Swisscom eine Vorstellung davon hat, welche Websites zu einem bestimmten Zeitpunkt blockiert sind. Es kann produktiver sein, Ihren Schüler zu fragen, ob er irgendwelche "Nanny Internet" -Einstellungen hat.

Letztendlich ist dies möglicherweise kein Problem, das Sie lösen können, da Sie nicht der Kunde des ISP sind und er Ihnen nichts schuldet. Wenn die Eltern des Schülers ihren ISP-Support anrufen, sich lautstark über eine falsche DNS-Auflösung beschweren und drohen, den ISP zu ändern, wenn dies nicht behoben wird, ist dies wahrscheinlich das einzige, was Auswirkungen hat.

Bearbeiten : dieser Thread legt nahe, dass die Website-Blockierungs-Engine von Swisscom etwas überbegeistert sein kann und dass dies nicht immer einfach ist Holen Sie sich jede Art von positiver Lösung von ihnen. Es wird auch darauf hingewiesen, dass dies kein Opt-In-Filter ist, sondern dass er für alle Swisscom-Kunden gilt, ob sie ihn mögen oder nicht. Daher kann es sich als schwierig erweisen, ihn abzulehnen.

18
MadHatter