подмена dns, домена, как так может быть?

Discussion in 'Безопасность и Анонимность' started by val34535, 23 Dec 2015.

  1. val34535

    val34535 New Member

    Joined:
    17 Jul 2013
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Пришел мне очередной спам, с утра, сначала я поржал, но присмотревшись афигел, короче.
    Есть ссылка с редиректом, в этой ссылке есть
    info.aukro.ua ведет на 5.134.212.20 - левый сайт
    убираю info.
    aukro.ua все нормально - 5.134.210.51 оригинальный ip
    на самом dns aukro.ua поддомена info нет.
    Набирал все в адресной строке в ручную на разных компах с разных провайдеров.
    5.134.212.20 и 5.134.210.51 как я понял всетаки сидят на разных dns ах.

    !!
    ping info.aukro.ua выдает 5.134.212.20
    а
    ping aukro.ua выдает 5.134.210.51 или еще один второй ip не помню какой
    !!
    5.134.212.20 и info.aukro.ua ничего общего с aukro.ua не имеютю.

    вот что выдает

    iplist.net/5.134.212.20/
    info.sendit.pl last checked: Tue, 27 Oct 2015 01:24:17 GMT
    a 5.134.212.20
    mx mail.info.sendit.pl
    ns dns.ultranet.net.pl
    ns dns2.ultranet.net.pl
    ns www.ultranet.net.pl
    soa dns.ultranet.net.pl
    soam admin.ultranet.net.pl
    info.allegrogroup.ua last checked: Thu, 22 Oct 2015 21:14:22 GMT
    a 5.134.212.20
    mx info.allegrogroup.ua

    как эти фишеры такое сделали?
     
    #1 val34535, 23 Dec 2015
    Last edited: 23 Dec 2015
  2. blackbox

    blackbox Elder - Старейшина

    Joined:
    31 Dec 2011
    Messages:
    362
    Likes Received:
    62
    Reputations:
    11
    Может малварь какая хостс подредактировала , а может и на роутере днс подменили?
     
  3. val34535

    val34535 New Member

    Joined:
    17 Jul 2013
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    какая малварь?, я на четырех разных компах пробовал, даже старый ноут достал.
    роутере - я ж говорю разных провайдеров пробовал, даже словил чужие wifi чтоб убедится.
    Вы наберите в google yandex
    ip info.aukro.ua
    и
    ip aukro.ua
    и dns записи глянте iplist.net/5.134.212.20/
    Выходит что

    info.aukro.ua НЕ ЯВЛЯЕТСЯ ПОДДОМЕНОМ aukro.ua ,а является абсолютно другим сайтом !!! как это может быть яч не понимаю!

    вот сама ссылка http://redir.info.aukro.ua/r/?id=h6567f4cd,d5c2c3b,d5cbe5c со спама
    еслиб это был малварь то google yandex показывали б нормальые данные.
    Саму ссылку я только на одном компе щелкнул.
     
  4. blackbox

    blackbox Elder - Старейшина

    Joined:
    31 Dec 2011
    Messages:
    362
    Likes Received:
    62
    Reputations:
    11
    Есои проблема не в том что адрес изменился, а в том что он просто другой, то проблемы нету, по-идее разные поддомены могут находится на разных адресах, если такое в днс-сервере прописано. Можете проверить, просто загуглив на эту тему.
     
  5. val34535

    val34535 New Member

    Joined:
    17 Jul 2013
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Насколько я понимаю система днс работает таким образом:
    Сначала ищется на днс серверах домен первого уровня, а потом поддомен второго уровня ищется уже на днс сервере который принадлежит домену первого уровня. То есть система иерархическая.

    И в принципе не позволяет сделать следующее:

    Если у домена и на хостинге сайта superbank.gov нет например записи в dns типа vorovat.superbank.gov и записи *.superbank.gov
    и если этой записи вообще нигде нет в интернете.
    То получается если я каким то чудом зарегистрирую vorovat.superbank.gov или смогу както на каком-то dns сервере эту запись прописать может не в явном виде может запись в псевдонимах,низнаю, то я смогу vorovat.superbank.gov кинуть на себя. Но на самом деле если vorovat.superbank.gov нету, то мне dns superbank.gov ответит что ее нет и на этом все.
    Зарегистрировать vorovat.superbank.gov я могу только у пользователя superbank.gov только он регистрирует поддомены на superbank.gov.
    У info.aukro.ua вообще другой dns сервер нежили у aukro.ua.
    Я вообще разбираюс dns записях, просто счас все детали вспомнить не могу, но поверте я не могу зарегестрировать просто так vorovat.superbank.gov или
    akciya.bankofamerica.ua на себя.
    Присмотритесь внимательней к этому info.aukro.ua пока он жив, там главной страницы нет, надо все смотреть детально на whois и iplist.net и т.д.
     
  6. val34535

    val34535 New Member

    Joined:
    17 Jul 2013
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Может кто подскажет программу или способ (желательно с win) как посмотреть весь путь запроса конечного ip адреса доменного имени.
    Тоесть я набираю ping info.aukro.ua и вижу ip, а нужно мне видеть к какому dns обратился мой комп(я конечно знаю куда он обратился), как ответил ему dns, какие записи в нем вообще по поводу моего имени домена есть, куда потом дальше меня послали, что следующий dns ответил, и т.д.
     
  7. blackbox

    blackbox Elder - Старейшина

    Joined:
    31 Dec 2011
    Messages:
    362
    Likes Received:
    62
    Reputations:
    11
    Давайте по пунктам. Ситуация, насколько я понимаю, такая:
    1) superbank.gov владеет всеми поддоменами, поэтому подменить его не получится.
    2) Для поддомена можно указать свой dns сервер, отличный от того, что обслуживает домен вот ссылка с примером (http://dns-master.ru/simple/subdomain.html)

    Есть утилита никсовая - dig, ее можно и под вин скачать. Там можно информацию по домену и днс-серверу получить.
     
    #7 blackbox, 23 Dec 2015
    Last edited: 23 Dec 2015
  8. val34535

    val34535 New Member

    Joined:
    17 Jul 2013
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    1) так я это и говорю.
    2) это я все знаю, только первый dns- dns провйдера или публичный dns, или что там, увидев в запросе aukro.ua текст .ua пошлет на ua dns а тот увидев на втором месте aukro пошлет на aukro dns и aukro dns будет разбиратся что там.
    Я никак не заставлю ни какой из них идти на меня.
    Если я регистрирую домен myname.com, то я могу слат его куда хочу,
    если я регистрирую домен myname.aukro.ua то меня все пошлют на aukro.ua регистратора.
    Даже если я найду левого регистратора, то если он силно левый то как он во всей системе dns серверов влепит такие записи, или хотбы на всех провайдерах или от куда они там берут данные.

    ВЫ ПОНИМАЕТЕ ЧТО ТУТ ПРОИСХОДИТ:
    ЕСТЬ ФИШЕРСКИЙ САЙТ : info.aukro.ua КОТОРЫЙ К aukro.ua НЕ ИМЕЕТ НИ КАКОГО ОТНОШЕНИЯ.
    То есть на самом aukro.ua никакого вредоносного кода редиректа нет.

    Если вы считаете что это все просто и легко, хорошо расскажите мне в двух словах
    как мне зарегистрировать(или любым способом сделать) так чтобы
    чел. набирал в адресной строке akciya.privatbank.ua f а попадал комне,
    это без менипуляций с его компом(host файл, вирус, изменения в роутере, серевая настройка dns)
    и что для уверености он на whois вбил akciya.privatbank.ua и ему показало мой ip, а не privatbank.ua,
    может мне обратится к сисадмину приватбанка?
     
  9. blackbox

    blackbox Elder - Старейшина

    Joined:
    31 Dec 2011
    Messages:
    362
    Likes Received:
    62
    Reputations:
    11
    Если "сисадмин" приватбанка в настройках днс сервера пропишет ваш адрес для поддомена akciya.privatbank.ua тогда пользователь попадет к вам.
     
    seeattack likes this.
  10. seeattack

    seeattack Member

    Joined:
    5 Dec 2009
    Messages:
    17
    Likes Received:
    11
    Reputations:
    0
    обычное дело)
    словили акк и сделали поддомен с нужным ипаком.
     
  11. val34535

    val34535 New Member

    Joined:
    17 Jul 2013
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Если "сисадмин" приватбанка ..... пропишет ваш адрес....
    ну так мы можем дойти до того чтоб он сам принес мне деньги на блюдечке с золотой каемочкой, да еще и под влиянием моего "могучего" разума обниличил их для меня.
    Ближе к делу.
    Если АКК взломать на хостинге, то там как не меняй записи в dns настройках там все равно будет все в рамках назначенного ip и аккаунта происходить, легче редирект где нибудь впихнут, но это будет просто взлом сайта.
    А если по части домена, так если домен отдельно куплен, так как его АКК словить если чел один раз купил, зашел все настроил и забыл, это на хостинг может админ хоть каждый день заходить. в домен перепрописывать ип настройки нужно если только хостинг меняется, это если только недочеты у регистратора доменов, но тогда это будет крупный слив множества АКК.
    Только вариант если хостинг и домен у одной конторы на одном аккаунте, но я не знаю у серьезных сайтов, хостинг и домен через одну контору у них обычно?

    Whois про info.aukro.ua пишет левый ип, хотелось бы по детальней понять от куда точно он взял эти данные, и от куда он берет про aukro.ua, насколько эти источники отличаются, и разобратся, что в этих dns записях конкретно прописано.
     
  12. seeattack

    seeattack Member

    Joined:
    5 Dec 2009
    Messages:
    17
    Likes Received:
    11
    Reputations:
    0
    акк может быть и сайта хостинга, и административной панели хостинга.
    вариантов очень много может быть, суть в другом с aukro.ua
    allegro.pl - это система интернет-магазинов как я понял.
    натянул DNS и магазин стоит, или заливаешь их скрипты.

    otcommerce.com - система интернет-магазинов, посредник TaoBao
    данные всех пользователей и заказов их посредников хранятся именно у них.
    у всех остальных посредников синхронизация с otcommerce базой данных.
     
  13. seeattack

    seeattack Member

    Joined:
    5 Dec 2009
    Messages:
    17
    Likes Received:
    11
    Reputations:
    0