Я только что заметил некоторые очень странные и относящиеся к делу результаты, когда я попытался сделать nslookup для одного из моих доменных имен с одного из моих виртуальных серверов, размещенных на хосте.
Домен [mydomain] .info разрешается как [mydomain] .info.com.au и перечисляет 4 IP-адреса, которые я не использую.
Это происходит только на одном сервере, и только для этого домена и поддоменов (из проведенного мной тестирования).
Вещи, которые я пробовал ...
1) «ipconfig /flushdns». Нет эффекта.
2) Проверен файл hosts. Ничего подозрительного.
3) Я проверил реестр на наличие записей, связанных с вирусом DNSChanger, но я не вижу ничего подозрительного.
4) Изменен DNS-сервер для подключенного интерфейса. nslookup показывает новый DNS-сервер, но результаты совпадают.
5) Сканировал dnslookup.exe на наличие вирусов, но ничего не появляется. Кроме того, если я запускаю запрос, используя этот исполняемый файл с другого компьютера, результаты верны.
Я не знаю, означает ли это, что мой сервер фактически скомпрометирован, или, возможно, мой хостинг-провайдер делает что-то хитрое с исходящими поисками DNS.
Сервер Windows Server 2012
Помимо этого вопроса DNS сервер работает отлично. Я не наблюдал никакого другого странного поведения.
Если у кого-то есть какие-либо предложения, они будут очень благодарны. Это живой, производственный сервер, на котором размещено несколько клиентских веб-сайтов, так что это меня немного напрягает.
Вот вывод, как и просили. Мои извинения, я бы предпочел не показывать фактическое доменное имя, так как оно идентифицируется лично. Однако я проверил, что записи домена верны.
PS C:\scripts> nslookup [mydomain].info
Server: google-public-dns-a.google.com
Address: 8.8.8.8
Non-authoritative answer:
Name: [mydomain].info.com.au
Addresses: 52.3.124.67
52.201.189.141
54.85.85.70
52.5.111.221
PS C:\scripts>
После еще одного расследования выясняется, что это не просто мой домен. Это происходит с любым доменом .info. Я включил результаты nslookup с включенной отладкой ...
> somedomain123123.info
Server: google-public-dns-a.google.com
Address: 8.8.8.8
------------
Got answer:
HEADER:
opcode = QUERY, id = 74, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
somedomain123123.info.hosting24.com.au, type = A, class = IN
AUTHORITY RECORDS:
-> hosting24.com.au
ttl = 1799 (29 mins 59 secs)
primary name server = ns1.web24.net.au
responsible mail addr = dns.web24.net.au
serial = 2016060205
refresh = 7200 (2 hours)
retry = 3600 (1 hour)
expire = 604800 (7 days)
default TTL = 3600 (1 hour)
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 75, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
somedomain123123.info.hosting24.com.au, type = AAAA, class = IN
AUTHORITY RECORDS:
-> hosting24.com.au
ttl = 1799 (29 mins 59 secs)
primary name server = ns1.web24.net.au
responsible mail addr = dns.web24.net.au
serial = 2016060205
refresh = 7200 (2 hours)
retry = 3600 (1 hour)
expire = 604800 (7 days)
default TTL = 3600 (1 hour)
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 76, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 4, authority records = 0, additional = 0
QUESTIONS:
somedomain123123.info.com.au, type = A, class = IN
ANSWERS:
-> somedomain123123.info.com.au
internet address = 52.5.111.221
ttl = 59 (59 secs)
-> somedomain123123.info.com.au
internet address = 52.201.189.141
ttl = 59 (59 secs)
-> somedomain123123.info.com.au
internet address = 52.3.124.67
ttl = 59 (59 secs)
-> somedomain123123.info.com.au
internet address = 54.85.85.70
ttl = 59 (59 secs)
------------
Non-authoritative answer:
------------
Got answer:
HEADER:
opcode = QUERY, id = 77, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
somedomain123123.info.com.au, type = AAAA, class = IN
AUTHORITY RECORDS:
-> info.com.au
ttl = 899 (14 mins 59 secs)
primary name server = ns1.info.com.ru
responsible mail addr = hostmaster.info.com
serial = 2016052612
refresh = 7200 (2 hours)
retry = 900 (15 mins)
expire = 1209600 (14 days)
default TTL = 86400 (1 day)
------------
Name: somedomain123123.info.com.au
Addresses: 52.5.111.221
52.201.189.141
52.3.124.67
54.85.85.70
Моим хостинг-провайдером является web24.com.au, откуда, предположительно, и происходит hosting24.com.au.