DNS एक देश में गलत IP पते को हल करता है

मेरे एक मित्र की क्लैरलाइन पर आधारित एक ई-लर्निंग वेबसाइट है। दो दिन पहले, केवल स्विटज़रलैंड उपयोगकर्ताओं को वेबसाइट के डोमेन तक पहुँचने के दौरान दूसरे आईपी पते पर "बेतरतीब ढंग से" पुनर्निर्देशित करना शुरू कर दिया।

अगर मैं DNS सर्वर को 8.8.8.8 या 9.9.9.9 छात्रों के पीसी पर मजबूर करता हूं, तो डोमेन सही तरीके से हल हो जाता है। लेकिन अगर मैं स्थानीय स्विस डीएनएस सर्वर के साथ रहता हूं, तो यह खराब (ब्लैकलिस्ट किए गए) आईपी पते का समाधान करता है।

अजीब हिस्सा है: यह केवल एक ग्राहक और उसका अपना कंप्यूटर नहीं है। स्विट्ज़रलैंड में स्थित हर छात्र प्रभावित होता है। लेकिन फ्रेंच वाले नहीं।

दूसरा अजीब हिस्सा है: कुछ पेज सही सामग्री के साथ इस झूठे आईपी पते से प्रतिक्रिया करते हैं। जैसे ई-लर्निंग दूसरे सर्वर पर डुप्लिकेट था या कहीं कैश किया गया था।

सर्वर एक पुराना Ubuntu 10.04.4 LTS है, और यह शायद सही ढंग से संरक्षित / कॉन्फ़िगर नहीं है। इस सर्वर पर मेरी पूरी पहुंच है, लेकिन मैंने इसे प्रबंधित नहीं किया, इसलिए मुझे यकीन नहीं है कि क्या देखना है या क्या करना है।

यहाँ मैं क्या देखा / अभी तक की कोशिश की है:

• सभी Apache 2 vhost conf की जाँच की।
• जाँच की गई iptables (खाली) /etc/hostsऔर /etc/resolv.conf(सुरक्षित)
• स्विसकॉम (मुख्य स्विस टेलीकॉम) से पूछा गया कि क्या वे डोमेन या किसी चीज़ को ब्लैकलिस्टेड करते हैं: तो नोप चेक्ड क्लारलाइन कोड बेस: यह सुरक्षित दिखता है, लेकिन यह बहुत बड़ा है। मैं सभी फ़ाइलों की जाँच नहीं कर सकता।

यहाँ एक छात्र विंडोज कंप्यूटर पर nslookup है:

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

और बेशक, 195.186.210.161 सर्वर का सही आईपी पता नहीं है।

मैं सिस्टम एडमिनिस्ट्रेटर नहीं हूं। मैं सिर्फ एक दोस्त की मदद कर रहा हूं, इसलिए मुझे यकीन नहीं है कि आगे क्या देखना है।

जैसा कि मैडहैटर ने लिखा है, यह अंतिम उपयोगकर्ताओं का आईएसपी (स्विसकॉम) फ़िल्टरिंग प्रॉक्सी के माध्यम से आपकी साइट को फिर से रूट करने का है। यह बहुत संभव है कि उनकी इंटरनेट गार्ड सेवा की सदस्यता लेने वाले सभी उपयोगकर्ता वास्तव में आपकी साइट पर न होकर वहां से जुड़े हों।

वे कहते हैं कि फ़िल्टर मैलवेयर, फ़िशिंग और वायरस के खिलाफ है, इसलिए इसे "वर्गीकरण" का मुद्दा नहीं होना चाहिए, लेकिन सुरक्षा में से एक।

इस प्रकार आपका पहला कदम यह जाँचना चाहिए कि साइट संक्रमित नहीं हुई है। PHP साइटें काफी असुरक्षित होती हैं (यदि किसी को दृश्यमान पदानुक्रम में कहीं से एक .php फ़ाइल अपलोड करने का कोई तरीका मिल जाता है, तो इसे दूरस्थ रूप से कुछ भी करने के लिए निष्पादित किया जा सकता है जो वे चाहते हैं। नुकसान करने के कई अन्य तरीके भी हैं (SQL इंजेक्शन, संग्रहीत XSS ...)।

आपका मुख पृष्ठ अवरुद्ध नहीं है, या कम से कम हर समय नहीं है, इसलिए:

• केवल कुछ पृष्ठ ही संक्रमित हैं
• संक्रमण केवल उपयोगकर्ता के अनुरोध पर समय का एक अंश दिखाता है (रडार के तहत उड़ान भरने के लिए एक आम रणनीति)
• या कुछ पन्नों पर कुछ और है जो एक झूठे सकारात्मक को ट्रिगर करता है

आप प्रॉक्सी के आईपी पते पर वेबसाइट के पते को इंगित करके परिणाम स्वयं देख सकते हैं। आप अपनी /etc/hostsफ़ाइल को संपादित करके (विवरण प्लेटफ़ॉर्म के आधार पर भिन्न हो सकते हैं) और एक पंक्ति जोड़ सकते हैं:

195.186.210.161        elearning.affis.ch

फिर आप उन उपयोगकर्ताओं में से एक के रूप में साइट पर जा सकते हैं, और देख सकते हैं कि कौन से पृष्ठ अवरुद्ध हैं या नहीं।

एक बार जब आप बेहतर महसूस करते हैं कि कौन से पृष्ठ अवरुद्ध हैं या नहीं, तो वास्तविक मुद्दे को इंगित करना आसान हो सकता है। फिर इसे ठीक करें, या तो यह अचानक से ठीक से चला जाएगा, या आपको एक झूठी सकारात्मक ("अवरुद्ध" पृष्ठ के तल पर इसके लिए एक लिंक है) रिपोर्ट करना पड़ सकता है।

ध्यान दें कि संक्रमण की जांच करने से पहले एक गलत सकारात्मक रिपोर्ट करने की कोशिश करना संभवतः प्रतिकारक होगा। पहले समस्या को खोजने और ठीक करने के लिए बहुत प्रयास करें।

संपादित करें

ध्यान दें कि आपके द्वारा चलाए जा रहे क्लारलाइन के संस्करण में (1.11.9) में 2014 के बाद से कई एक्सएसएस कमजोरियां हैं :

Claroline 1.11.9 में एकाधिक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यताएं और पूर्व में दूरस्थ प्रमाणित उपयोगकर्ताओं को मनमाने ढंग से वेब स्क्रिप्ट या HTML के माध्यम से इंजेक्ट करने की अनुमति देता है (1) खोज इनबॉक्स कार्रवाई से संदेश / मैसेजबॉक्स। Php, (2) के लिए " पहला नाम "फ़ील्ड टू ऑवर / प्रोफाइल.फपी, या (3) स्पीकर्स फ़ील्ड को rqAdd एक्शन में कैलेंडर / एजेंडा .php

यदि समस्या वास्तव में एक संग्रहीत XSS हमला है, तो अपने डेटाबेस का नवीनतम डंप लें और जांच करें कि क्या इसमें <scriptटैग जैसा कुछ भी नहीं है (केस-असंवेदनशील खोजना न भूलें)।

यदि आप IP पते पर दिए गए ब्राउज़र को इंगित करते हैं, तो http://195.186.210.161/ , आपको स्विसकॉम की "खतरनाक वेबसाइट" इस संदेश को अवरुद्ध करती है। मेरा अनुमान है कि उनका "सुरक्षित इंटरनेट" कंटेंट-ब्लॉकिंग सिस्टम काम करता है, कम से कम भाग में, डीएनएस अनुरोधों के जवाब में झूठ बोलकर, और यह कि आपकी वेबसाइट किसी कारण से उनके लिए गलत हो रही है।

मैं समझता हूं कि आपने उनसे पूछा था कि क्या वे आपको रोक रहे थे, लेकिन मेरे अनुभव में भी मध्यम आकार के आईएसपी के फ्रंट-लाइन टेक सपोर्ट का थोड़ा भी अंदाजा नहीं है कि पीछे क्या हो रहा है। यह पूरी तरह से संभव है कि पूरे नानी प्रणाली को आउटसोर्स किया जाता है (या किसी तीसरे पक्ष के वाणिज्यिक उत्पाद द्वारा किया जाता है) और यह कि स्विसकॉम में किसी को भी पता नहीं है कि कौन से साइट किसी भी समय अवरुद्ध हैं। अपने छात्र से पूछें कि क्या उसके पास "नानी इंटरनेट" की किसी भी तरह की सेटिंग है, तो वह अधिक उत्पादक हो सकती है।

दिन के अंत में, यह एक समस्या नहीं है जिसे आप हल कर सकते हैं, क्योंकि आप आईएसपी के ग्राहक नहीं हैं, और वे आपको कुछ भी नहीं देते हैं। छात्र के माता-पिता के पास उनके आईएसपी समर्थन को कॉल करना, गलत DNS रिज़ॉल्यूशन के बारे में ज़ोर से शिकायत करना, और आईएसपी को बदलने की धमकी देना अगर यह हल नहीं हुआ है, तो केवल वही चीज होने की संभावना है जिसका कोई प्रभाव हो।

संपादित करें : यह धागा बताता है कि स्विसकॉम की साइट अवरोधक इंजन थोड़ा अधिक उत्साही हो सकता है, और यह कि उनसे किसी भी प्रकार का सकारात्मक संकल्प प्राप्त करना हमेशा आसान नहीं होता है। यह भी पता चलता है कि यह ऑप्ट-इन फ़िल्टर नहीं है, लेकिन यह सभी स्विसकॉम ग्राहकों पर लागू होता है कि वे इसे पसंद करते हैं या नहीं, इसलिए इससे बाहर निकलना मुश्किल साबित हो सकता है।