Le site de phishing utilise un sous-domaine que je n'ai jamais enregistré

42

J'ai récemment reçu le message suivant de Google Webmaster Tools:

Cher propriétaire du site ou webmaster de http://gotgenes.com/ ,

[...]

Vous trouverez ci-dessous un ou plusieurs exemples d'URL sur votre site susceptibles de faire partie d'une attaque d'hameçonnage:

http://repair.gotgenes.com/~elmsa/.your-account.php

[...]

Ce que je ne comprends pas, c’est que je n’ai jamais eu de réparation de sous-domaine.gotgenes.com , mais sa visite dans le navigateur Web donne un résultat réel. Mon DNS est FreeDNS , ce qui ne répertorie pas un sous-domaine de réparation. Mon nom de domaine est enregistré auprès de GoDaddy et les serveurs de noms sont correctement définis sur NS1.AFRAID.ORG, NS2.AFRAID.ORG, NS3.AFRAID.ORG et NS4.AFRAID.ORG.

J'ai les questions suivantes:

  1. Où le site repair.gotgenes.com est-il réellement enregistré?
  2. Comment a-t-il été enregistré?
  3. Quelle action puis-je entreprendre pour le supprimer des DNS?
  4. Comment puis-je empêcher que cela se produise à l'avenir?

C'est assez déconcertant. J'ai l'impression que mon domaine a été détourné. Toute aide serait très appréciée.

domain-name-system phishing Gotgenes
la source
1
Votre panneau de contrôle a-t-il le pouvoir de contrôler votre DNS, comme beaucoup de panneaux de contrôle? Si c'était le cas, c'est là que je chercherais la pause.
Oli
2
Il a dit qu'il utilisait FreeDNS. Je ne m'attendrais pas à ce que tout le monde le connaisse, mais ce n'est pas l'hébergement, il n'y a pas de "Panneau de configuration", et les autres réponses sont non seulement correctes, mais contiennent des détails pertinents.
Chris S

Réponses:

78

Soupir. Quelques clients sont tombés dans ce piège en utilisant fear.org en tant que fournisseur DNS. Parce qu'ils sont gratuits, ils permettent à ceux qui le souhaitent de créer des sous-domaines à partir de votre domaine principal, à moins que vous ne le refusiez expressément.

Vous pouvez voir ici: https://freedns.afraid.org/domain/registry/?sort=5&q=gotgenes&submit=SEARCH que quelqu'un a créé 79 sous-domaines à partir de votre domaine principal.

Jamais. déjà. déjà. déjà. Utilisez fear.org pour un site Web qui vous tient à cœur.

Mark Henderson
la source
6
Sensationnel. Merci pour l'info Mark, très utile, si effrayant ou même téméraire de la part de fear.org. Le DNS est un vecteur suffisant tel quel, ils ont vraiment besoin de changer cette politique. +1
mcauth
4
Avec les fournisseurs gratuits, vous avez tendance à obtenir ce que vous payez. :)
John Gardeniers
2
Dans ce cas, il semble que vous ayez encore moins que ce que vous avez payé.
Shadur
Expliquent-ils pourquoi ils ont un comportement par défaut si dangereux?
Dan Neely
13
C'est comme ça que fonctionne. Ils permettent à toute personne de créer un sous-domaine sur des milliers d'autres domaines donnés par d'autres. C'est ce qu'ils font, purement et simplement. Quiconque ne s'en rend pas compte n'a clairement aucune idée de ce qu'il faisait quand il s'est inscrit au programme.
user606723
13

Si vous souhaitez que le domaine ne soit destiné qu'à votre utilisation, vous devez le configurer en tant que tel: http://freedns.afraid.org/queue/explanation.php

Comme d'autres l'ont déjà mentionné, FreeDNS est avant tout un service permettant d'enregistrer un nom d'hôte dans l'un des nombreux domaines disponibles. En ajoutant un domaine sur FreeDNS, vous ajoutez, par défaut, à l'ensemble des domaines accessibles à tous.

Malcolm Scott
la source
7 
com.            172800  IN  NS  e.gtld-servers.net.
com.            172800  IN  NS  l.gtld-servers.net.
com.            172800  IN  NS  c.gtld-servers.net.
com.            172800  IN  NS  a.gtld-servers.net.
com.            172800  IN  NS  i.gtld-servers.net.
com.            172800  IN  NS  m.gtld-servers.net.
com.            172800  IN  NS  b.gtld-servers.net.
com.            172800  IN  NS  f.gtld-servers.net.
com.            172800  IN  NS  j.gtld-servers.net.
com.            172800  IN  NS  d.gtld-servers.net.
com.            172800  IN  NS  g.gtld-servers.net.
com.            172800  IN  NS  h.gtld-servers.net.
com.            172800  IN  NS  k.gtld-servers.net.
;; Received 509 bytes from 192.36.148.17#53(192.36.148.17) in 551 ms

gotgenes.com.       172800  IN  NS  ns1.afraid.org.
gotgenes.com.       172800  IN  NS  ns2.afraid.org.
gotgenes.com.       172800  IN  NS  ns3.afraid.org.
gotgenes.com.       172800  IN  NS  ns4.afraid.org.
;; Received 119 bytes from 2001:503:a83e::2:30#53(2001:503:a83e::2:30) in 395 ms

repair.gotgenes.com.    3600    IN  A   209.217.234.183
gotgenes.com.       3600    IN  NS  ns4.afraid.org.
gotgenes.com.       3600    IN  NS  ns1.afraid.org.
gotgenes.com.       3600    IN  NS  ns3.afraid.org.
gotgenes.com.       3600    IN  NS  ns2.afraid.org.
;; Received 227 bytes from 174.37.196.55#53(174.37.196.55) in 111 ms

Je reçois la réponse de nsX.afraid.org - les mêmes serveurs de noms que ceux répertoriés pour votre domaine.

Donc, je dirais que soit

  • Votre compte DNS a été piraté
  • Vous avez créé un enregistrement dont vous ne vous souvenez plus
  • Un employé avec votre hôte DNS est corrompu
  • Votre hôte DNS a été piraté et des enregistrements sont créés sans que vous puissiez les voir.
Frands Hansen
la source
9
Ce n'est pas tant que cela a été piraté, mais plutôt, ils ont ouvert le nom de leur entreprise au abus en utilisant fear.org, qui permet à quiconque de créer un sous-domaine à partir de votre domaine principal.
Mark Henderson
2
Je n'avais même pas l'imagination d'imaginer qu'un fournisseur de DNS ferait cela. J'ai donc appris quelque chose de nouveau aussi, ce qui est génial: D
Frands Hansen le
2

Par défaut, votre domaine est configuré pour être partagé. De cette façon, tout le monde peut ajouter un sous-domaine de votre domaine. Vous pouvez le changer dans le panneau des domaines et cliquer sur la valeur à côté de "Partagé:". Cela devrait changer de Public> Privé. Si ce n'est pas le cas, c'est probablement piraté ou quelque chose du genre.

Utilisateur inconnu
la source
0

Quelqu'un a piraté votre serveur de noms. Vérifiez auprès de votre serveur de noms pour le domaine. Le serveur de noms est défini sur votre compte auprès du registraire.

ce gars
la source
7
"À dessein"! = "Piraté".
Andrew
0

J'ajoute ici une nuance aux réponses déjà fournies. La plupart des gens ont signalé un problème de DNS possible. C'est une remarque véridique. Une autre possibilité est ce qu'on appelle les sous-domaines Wildcard (ou Catch-All). Vous pouvez en configurer un dans le cadre de la modification de votre enregistrement DNS avancé, comme dans l'image ci-jointe.

Voici un exemple de détails sur les sous-domaines génériques: page de support de namecheap dot com sur le sujet .

Veuillez noter qu'en soi, le sous-domaine générique n'est pas mauvais, mais lorsque vous commencez à penser à l'usurpation d'adresses e-mail et de faux sites Web, cela peut être assez grave.

entrez la description de l'image ici

Alain
la source