web-dev-qa-db-fra.com

Détournement DNS - conseils de prévention

Au cours du week-end, il semble que le DNS a été détourné sur deux de mes domaines.

Les sites enregistrés sur 1and1.co.uk sont ma configuration. Les serveurs de noms DNS pointent vers Hostgator aux États-Unis, où les sites sont hébergés. J'ai également eu cloudflare CDN en cours d'exécution sur les sites (via hostgator cpanel).

Ma question est de savoir comment cela s'est passé et comment je pourrais le surveiller afin que je sache si cela se reproduisait ou renforcer la configuration/le service afin de minimiser les risques.

Histoire:

  • J'ai reçu un ping du service de surveillance de site indiquant que les sites étaient en panne.
  • Quand j’ai vérifié que les sites étaient en place, j’ai donc pensé que c’était local pour le service de surveillance
  • J'ai reçu un ping la nuit dernière, les sites étaient en place
  • Lorsque j'ai vérifié, un site redirigeait vers download-manual.com (et en vérifiant cette URL maintenant, la page d'accueil n'est pas la même que celle que j'ai vue, donc ils ont peut-être aussi été piratés/piratés)
  • L'autre URL du site est restée la même, mais l'une de ces pages de recherche de site standard vous renvoie au phishing ou à des sites de recherche payants.

J'ai averti Hostgator qui m'avait dit que Cloudflare ou 1and1 étaient le problème. J'ai enlevé cloudflare et les ai contactés, ainsi qu'avec hostgator, et j'attends une réponse, mais je ne retiens pas mon souffle.

Est-ce commun? Je n'ai jamais entendu parler de cela ni rencontré cela auparavant. C'est assez effrayant que cela puisse arriver si facilement.

Apprécier n'importe quelle entrée.

** Mise à jour: je me suis déjà adressé aux services de support de 1and1, Hostgator et Cloudflare, et chacun affirme que cela n'a rien à voir avec eux et doit être l'un des autres. Larry, frisé, moe.

dnshijacked
1
user578359

Pourquoi pensez-vous que c'est détournement de DNS ? Et si vous croyez qu'il s'agit d'un détournement de DNS, pourquoi soupçonnez-vous votre fournisseur de CDN, votre registraire ou votre hébergeur Web d'être en faute? Si vos demandes DNS sont détournées, alors ce sera la faute de votre FAI (ou de quiconque exploite les serveurs DNS que votre réseau est configuré pour utiliser). Cela semble hautement improbable.

Vous ne fournissez pas assez d'informations pour que nous puissions continuer. Avez-vous vérifié les paramètres DNS réels sur votre domaine? Avez-vous vérifié la réponse DNS que vous recevez des serveurs DNS de votre fournisseur de services Internet? Si ces deux éléments pointent vers votre serveur Web, cela n’a rien à voir avec DNS.

Le scénario le plus probable est que votre site ou votre compte d'hébergement a été compromis et que cela n'a rien à voir avec le piratage DNS, d'autant plus que vous êtes en fait "redirigé" vers une autre URL (au lieu de simplement afficher un contenu différent sur votre site). Analysez la communication HTTP lorsque vous demandez une page sur votre domaine pour savoir comment vous êtes redirigé. Déterminez ce qui se passe avant de pointer du doigt.

2
Lèse majesté

Puisque CloudFlare n'hébergerait pas votre DNS si vous l'activiez via une intégration, rien ne nous en causerait. La seule possibilité à laquelle nous puissions penser est que l'IP a été modifié de quelque manière que ce soit (pas via CloudFlare, encore une fois, car nous n'hébergerions pas vos fichiers de zone DNS ni les paramètres ip du serveur).

0
Damon Billian