El sitio de phishing utiliza un subdominio que nunca registré

42

Recientemente recibí el siguiente mensaje de Google Webmaster Tools:

Estimado propietario del sitio o webmaster de http://gotgenes.com/ ,

[...]

A continuación se muestran uno o más URL de ejemplo en su sitio que pueden ser parte de un ataque de phishing:

http://repair.gotgenes.com/~elmsa/.your-account.php

[...]

Lo que no entiendo es que nunca tuve un subdominio repair.gotgenes.com, pero visitarlo en el navegador web proporciona un Mi DNS real es FreeDNS , que no incluye un subdominio de reparación. Mi nombre de dominio está registrado con GoDaddy, y los servidores de nombres están configurados correctamente en NS1.AFRAID.ORG, NS2.AFRAID.ORG, NS3.AFRAID.ORG y NS4.AFRAID.ORG.

Tengo las siguientes preguntas:

  1. ¿Dónde está realmente registrado Repair.gotgenes.com?
  2. ¿Cómo se registró?
  3. ¿Qué medidas puedo tomar para eliminarlo de los DNS?
  4. ¿Cómo puedo evitar que esto suceda en el futuro?

Esto es bastante desconcertante; Siento que mi dominio ha sido secuestrado. Cualquier ayuda sería muy apreciada.

domain-name-system phishing gotgenes
fuente
1
¿Su panel de control tiene el poder de controlar su DNS, como lo hacen muchos paneles de control? Si es así, allí es donde estaría buscando el descanso.
Oli
2
Dijo que está usando FreeDNS. No esperaría que todos estén familiarizados con él, pero no es Hosting, no tiene un "Panel de control", y las otras respuestas no solo son correctas sino que tienen detalles relevantes.
Chris S

Respuestas:

78

Suspiro. He tenido algunos clientes que caen en la trampa de esto al usar fear.org como su proveedor de DNS. Debido a que son gratuitos, permiten a cualquiera que quiera crear subdominios fuera de su dominio principal, a menos que usted específicamente no lo permita .

Puede ver aquí: https://freedns.afraid.org/domain/registry/?sort=5&q=gotgenes&submit=SEARCH que alguien ha creado 79 subdominios fuera de su dominio principal.

Nunca. siempre. siempre. siempre. use fear.org para un sitio web que le interese.

Mark Henderson
fuente
66
Guau. Gracias por la Marca de información, muy útil, si da miedo o incluso temeraria por parte de miedo.org. El DNS es suficiente de un vector como es, realmente necesitan cambiar esta política. +1
mcauth
44
Con los proveedores gratuitos, usted tiende a obtener lo que paga. :)
John Gardeniers
2
En este caso, parece que recibió incluso menos de lo que pagó.
Shadur
¿Dan una explicación de por qué tienen un comportamiento predeterminado tan peligroso?
Dan Neely
13
Así es como funciona libertades. Proporcionan a cualquier persona la capacidad de crear un subdominio en miles de otros dominios que son donados por otros. Esto es lo que hacen, puro y simple. Cualquiera que no se dé cuenta de esto claramente no tenía idea de lo que estaban haciendo cuando se registraron para libertades.
user606723
13

Si desea que el dominio sea solo para su uso, debe configurarlo como tal: http://freedns.afraid.org/queue/explanation.php

FreeDNS es, como otros han mencionado, principalmente un servicio para registrar un nombre de host en una de una gran selección de dominios disponibles; al agregar un dominio en FreeDNS, de manera predeterminada, está agregando al conjunto de dominios disponibles para que cualquiera pueda usar.

Malcolm Scott
fuente
7 
com.            172800  IN  NS  e.gtld-servers.net.
com.            172800  IN  NS  l.gtld-servers.net.
com.            172800  IN  NS  c.gtld-servers.net.
com.            172800  IN  NS  a.gtld-servers.net.
com.            172800  IN  NS  i.gtld-servers.net.
com.            172800  IN  NS  m.gtld-servers.net.
com.            172800  IN  NS  b.gtld-servers.net.
com.            172800  IN  NS  f.gtld-servers.net.
com.            172800  IN  NS  j.gtld-servers.net.
com.            172800  IN  NS  d.gtld-servers.net.
com.            172800  IN  NS  g.gtld-servers.net.
com.            172800  IN  NS  h.gtld-servers.net.
com.            172800  IN  NS  k.gtld-servers.net.
;; Received 509 bytes from 192.36.148.17#53(192.36.148.17) in 551 ms

gotgenes.com.       172800  IN  NS  ns1.afraid.org.
gotgenes.com.       172800  IN  NS  ns2.afraid.org.
gotgenes.com.       172800  IN  NS  ns3.afraid.org.
gotgenes.com.       172800  IN  NS  ns4.afraid.org.
;; Received 119 bytes from 2001:503:a83e::2:30#53(2001:503:a83e::2:30) in 395 ms

repair.gotgenes.com.    3600    IN  A   209.217.234.183
gotgenes.com.       3600    IN  NS  ns4.afraid.org.
gotgenes.com.       3600    IN  NS  ns1.afraid.org.
gotgenes.com.       3600    IN  NS  ns3.afraid.org.
gotgenes.com.       3600    IN  NS  ns2.afraid.org.
;; Received 227 bytes from 174.37.196.55#53(174.37.196.55) in 111 ms

Recibo la respuesta de nsX.afraid.org, los mismos servidores de nombres que figuran en su dominio.

Entonces yo diría que tampoco

  • Tu cuenta DNS fue hackeada
  • Creaste un registro que no recuerdas
  • Un empleado con su servidor DNS está corrupto
  • Su servidor DNS fue pirateado y los registros se crean sin que usted pueda verlos.
Frands Hansen
fuente
99
No es tanto como hackeado, sino que abrieron el nombre completo de su compañía y se usaron para usar el miedo.org que permite a cualquiera crear un subdominio fuera de su dominio principal.
Mark Henderson
2
Ni siquiera tuve la imaginación para imaginar que un proveedor de DNS haría eso. Así que también aprendí algo nuevo, que es genial: D
Frands Hansen
2

Por defecto, su dominio está configurado para ser compartido. De esa manera, cualquiera puede agregar un subdominio de su dominio. Puede cambiarlo en el panel de dominios y hacer clic en el valor junto a "Compartido:" y eso debería cambiarlo de Público> Privado. Si no es así, probablemente fue pirateado o algo así.

Usuario desconocido
fuente
0

Alguien hackeó tu servidor de nombres. Verifique con quien sea su servidor de nombres para el dominio. El servidor de nombres se define en su cuenta con el registrador.

Chico IT
fuente
77
"Por diseño"! = "Pirateado".
Andrew
0

Estoy agregando aquí un matiz a las respuestas ya proporcionadas. La mayoría de las personas han señalado un posible problema de DNS. Ese es un punto valido. Otra posibilidad es lo que se llama subdominios comodín (o Catch-all). Puede configurar uno como parte de sus ediciones de Registro DNS avanzado como en la imagen adjunta.

Un ejemplo de detalles sobre los subdominios comodín es: la página de soporte de namecheap dot com sobre el tema .

Tenga en cuenta que, en sí mismo, el subdominio comodín no es malo, pero cuando comienza a pensar en la falsificación de direcciones de correo electrónico y sitios web falsos, puede ser bastante grave.

ingrese la descripción de la imagen aquí

Alain
fuente