网络钓鱼站点使用了我从未注册过的子域

42

我最近从Google网站管理员工具收到以下消息:

尊敬的http://gotgenes.com/网站所有者或网站管理员,

[...]

以下是您网站上的一个或多个示例网址,可能是网络钓鱼攻击的一部分:

http://repair.gotgenes.com/~elmsa/.your-account.php

[...]

我不了解的是,我从未拥有过一个子域repair.gotgenes.com,但是在Web浏览器中访问它会得到一个实际的My DNS,即FreeDNS,其中没有列出修复子域。我的域名已在GoDaddy中注册,并且名称服务器已正确设置为NS1.AFRAID.ORG,NS2.AFRAID.ORG,NS3.AFRAID.ORG和NS4.AFRAID.ORG。

我有以下问题:

  1. repair.gotgenes.com实际在哪里注册?
  2. 它是如何注册的?
  3. 我可以采取什么措施将其从DNS中删除?
  4. 如何防止这种情况将来发生?

这非常令人不安;我觉得自己的域名已被劫持。任何帮助将非常感激。

domain-name-system  phishing 
获得基因
source
1
您的控制面板是否像许多控制面板一样具有控制DNS的能力?如果确实如此,这就是我要寻找的突破。
奥利
2
他说他正在使用FreeDNS。我不希望每个人都熟悉它,但是它不是托管的,没有“控制面板”的,其他答案不仅是正确的,而且具有相关的细节。
克里斯S

Answers:

78

叹。通过使用fear.org作为其DNS提供程序,我有一些客户端陷入陷阱。因为它们是免费的,所以除非您特别禁止,否则它们允许任何想要在主域之外创建子域的人使用。

您可以在这里看到:https : //freedns.afraid.org/domain/registry/?sort=5&q=gotgenes&submit=SEARCH有人在您的主域之外创建了79个子域。

决不。曾经。曾经。曾经。在您关心的网站上使用fear.org。

马克·亨德森
source
6
哇。感谢您提供的信息Mark,它对于fear.org感到恐惧甚至鲁ck非常有用。DNS就足够了,实际上,他们确实需要更改此策略。+1
mcauth 2012年
4
有了免费的提供商,您确实会得到所支付的费用。:)
John Gardeniers 2012年
2
在这种情况下,听起来您得到的甚至比所支付的还
Shadur 2012年
他们是否给出了为什么会有如此危险的默认行为的解释?
Dan Neely 2012年
13
这就是freedns的工作方式。它们使任何人都可以在其他人捐赠的数千个其他域上创建子域。这就是他们所做的事情,纯粹而简单。显然没有意识到这一点的任何人都不知道在注册freedns时他们在做什么。
user606723 2012年
7 
com.            172800  IN  NS  e.gtld-servers.net.
com.            172800  IN  NS  l.gtld-servers.net.
com.            172800  IN  NS  c.gtld-servers.net.
com.            172800  IN  NS  a.gtld-servers.net.
com.            172800  IN  NS  i.gtld-servers.net.
com.            172800  IN  NS  m.gtld-servers.net.
com.            172800  IN  NS  b.gtld-servers.net.
com.            172800  IN  NS  f.gtld-servers.net.
com.            172800  IN  NS  j.gtld-servers.net.
com.            172800  IN  NS  d.gtld-servers.net.
com.            172800  IN  NS  g.gtld-servers.net.
com.            172800  IN  NS  h.gtld-servers.net.
com.            172800  IN  NS  k.gtld-servers.net.
;; Received 509 bytes from 192.36.148.17#53(192.36.148.17) in 551 ms

gotgenes.com.       172800  IN  NS  ns1.afraid.org.
gotgenes.com.       172800  IN  NS  ns2.afraid.org.
gotgenes.com.       172800  IN  NS  ns3.afraid.org.
gotgenes.com.       172800  IN  NS  ns4.afraid.org.
;; Received 119 bytes from 2001:503:a83e::2:30#53(2001:503:a83e::2:30) in 395 ms

repair.gotgenes.com.    3600    IN  A   209.217.234.183
gotgenes.com.       3600    IN  NS  ns4.afraid.org.
gotgenes.com.       3600    IN  NS  ns1.afraid.org.
gotgenes.com.       3600    IN  NS  ns3.afraid.org.
gotgenes.com.       3600    IN  NS  ns2.afraid.org.
;; Received 227 bytes from 174.37.196.55#53(174.37.196.55) in 111 ms

我收到nsX.afraid.org的响应-为您的域列出的相同名称服务器。

所以我要么说

  • 您的DNS帐户被黑客入侵
  • 您创建了不记得的记录
  • DNS主机的员工已损坏
  • 您的DNS主机遭到黑客攻击,并且创建记录时看不到它们。
汉森
source
9
它不只是被黑,而是通过使用fear.org来开放其整个公司名称,以供滥用之用,它允许任何人在您的主域之外创建一个子域。
马克·亨德森
2
我什至没有想象力可以想象DNS提供商会这样做。所以我也学到了一些新的东西,这太棒了:D
Frands Hansen
2

默认情况下,您的域设置为共享。这样,任何人都可以添加您域的子域。您可以在“域”面板中更改它,然后单击“共享:”旁边的值,然后应从“公共”>“私有”进行更改。如果没有,则可能被黑了。

用户未知
source
0

有人入侵了您的域名服务器。请与谁是您的域名服务器一起检查。名称服务器是在您的注册商帐户中定义的。

那家伙
source
7
“按设计”!=“被黑”。
安德鲁(Andrew)
0

我在这里给已经提供的答案添加了细微差别。大多数人都指出了可能的DNS问题。这是有道理的。另一种可能性是所谓的通配符(或全部捕获)子域。您可以将其设置为高级DNS记录编辑的一部分,如附图所示。

关于通配符子域的详细信息的一个示例是:namecheap dot com的主题支持页面

请注意,通配符子域本身并不坏,但是当您开始考虑对电子邮件地址和虚假网站进行欺骗时,它可能非常严重。

在此处输入图片说明

阿兰
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.