web-dev-qa-db-fra.com

DNS résout la mauvaise adresse IP dans un pays

Un de mes amis a un site eLearning basé sur Claroline. Il y a deux jours, seuls les utilisateurs suisses ont commencé à obtenir une redirection "au hasard" sur une autre adresse IP lors de l'accès au domaine du site Web.

Si je force le serveur DNS à 8.8.8.8 ou 9.9.9.9 sur le PC des étudiants, le domaine est résolu correctement. Mais si je reste avec le serveur DNS suisse local, il se résout en une mauvaise adresse IP (sur liste noire).

La partie étrange est: ce n'est pas seulement ce client et son propre ordinateur. Chaque étudiant basé en Suisse est également concerné. Mais pas les français.

La deuxième partie étrange est: Une page répond de cette fausse adresse IP avec le contenu correct. Comme l'eLearning a été dupliqué sur un autre serveur OR mis en cache quelque part.

Le serveur est un ancien Ubuntu 10.04.4 LTS, et il n'est probablement pas correctement protégé/configuré. J'ai un accès complet sur ce serveur, mais je ne l'ai pas géré, donc je ne sais pas quoi chercher ni même quoi faire.

Voici ce que j'ai regardé/essayé jusqu'à présent:

  • Vérifié tous Apache 2 vhost conf.
  • Iptables vérifiés (vides) et /etc/hosts et /etc/resolv.conf (sûr)
  • A demandé à Swisscom (principal opérateur de télécommunications suisse) s'ils avaient mis le domaine sur liste noire ou quelque chose comme ça: Non. Base de code claroline vérifiée: ça a l'air sûr, mais c'est énorme. Je ne peux pas vérifier tous les fichiers.

Voici un nslookup sur l'un des ordinateurs Windows des étudiants:

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

Et bien sûr, 195.186.210.161 n'est pas l'adresse IP correcte du serveur.

Je ne suis pas administrateur système. J'aide juste un ami, donc je ne sais pas quoi regarder ensuite.

14
iizno

Comme MadHatter l'a écrit, il s'agit du FAI des utilisateurs finaux (Swisscom) réacheminant votre site via un proxy de filtrage. Il est fort probable que tous les utilisateurs qui s'abonnent à leur service Internet Guard soient effectivement mandatés par ce biais, et pas seulement votre site.

Ils disent que le filtre est contre les logiciels malveillants, le phishing et les virus, donc ce ne devrait pas être un problème de "classification", mais un problème de sécurité.

Votre première étape devrait donc être de vérifier que le site n'a pas été infecté. PHP les sites ont tendance à être assez vulnérables (si quelqu'un trouve un moyen de télécharger un fichier .php quelque part dans la hiérarchie visible, il peut ensuite être exécuté à distance pour faire tout ce qu'il veut). Il existe également de nombreuses autres façons de nuire (injections SQL, XSS stockées ...).

Votre page d'accueil n'est pas bloquée, ou du moins pas tout le temps, alors soit:

  • seules certaines pages sont infectées
  • l'infection ne s'affiche qu'une fraction du temps sur les demandes des utilisateurs (une stratégie courante pour voler sous le radar)
  • ou il y a autre chose sur certaines pages qui déclenche un faux positif

Vous pouvez voir le résultat vous-même en pointant l'adresse du site Web vers l'adresse IP du proxy. Vous pouvez le faire en modifiant votre /etc/hosts fichier (les détails varient selon la plate-forme) et ajout d'une ligne:

195.186.210.161        elearning.affis.ch

Vous pouvez ensuite visiter le site en tant que l'un de ces utilisateurs et voir quelles pages sont bloquées ou non.

Une fois que vous aurez une meilleure idée des pages bloquées ou non, il sera peut-être plus facile d'identifier le problème réel. Ensuite, corrigez-le, et soit il passera soudainement tout de suite, soit vous devrez peut-être signaler un faux positif (il y a un lien pour cela au bas de la page "bloqué").

Notez qu'essayer de signaler un faux positif avant de rechercher une infection serait probablement contre-productif. Essayez très fort de trouver et de résoudre le problème en premier.

Éditer

Notez que la version de Claroline que vous exécutez (1.11.9) a plusieurs vulnérabilités XSS connues depuis 2014:

Plusieurs vulnérabilités de script intersite (XSS) dans Claroline 1.11.9 et versions antérieures permettent aux utilisateurs authentifiés à distance d'injecter un script Web arbitraire ou du HTML via (1) le champ Rechercher dans une action de boîte de réception vers messaging/messagebox.php, (2) le " Champ "First name" à auth/profile.php, ou (3) le champ Speakers dans une action rqAdd à calendar/agenda.php

Si le problème est en effet une attaque XSS stockée, prenez le dernier vidage de votre base de données et vérifiez s'il contient quelque chose comme un <script tag (n'oubliez pas de rechercher en respectant la casse).

11
jcaron

Si vous pointez un navigateur sur l'adresse IP renvoyée, http://195.186.210.161/ , vous obtenez le message "Site Web dangereux bloqué" de Swisscom. Je suppose que leur système de blocage de contenu "Internet sûr" fonctionne, au moins en partie, en mentant en réponse aux demandes DNS, et que votre site Web en est victime, pour une raison quelconque.

Je comprends que vous leur avez demandé s'ils vous bloquaient, mais d'après mon expérience, même le support technique de première ligne des FAI n'a pas la moindre idée de ce qui se passe à l'arrière. Il est fort possible que l'ensemble du système de nounou soit externalisé (ou effectué par un produit commercial tiers) et que personne chez Swisscom ait une idée des sites qui sont bloqués à un moment donné. Demander à votre élève s'il possède des paramètres de "nounou Internet" peut être plus productif.

En fin de compte, ce n'est peut-être pas un problème que vous pouvez résoudre, car vous n'êtes pas le client de ce FAI et il ne vous doit rien. Le fait que les parents de l'élève appellent le support de leur FAI, se plaignent fortement d'une mauvaise résolution DNS et menacent de changer de FAI s'il n'est pas résolu est probablement la seule chose qui ait un effet.

Edit : ce fil suggère que le moteur de blocage de sites de Swisscom peut être un peu trop enthousiaste, et qu'il n'est pas toujours facile de obtenir toute sorte de résolution positive de leur part. Il suggère également qu'il ne s'agit pas d'un filtre opt-in, mais qu'il s'applique à tous les clients de Swisscom, qu'ils le veuillent ou non, il peut donc s'avérer difficile de le désactiver.

18
MadHatter