3

Я только что заметил некоторые очень странные и относящиеся к делу результаты, когда я попытался сделать nslookup для одного из моих доменных имен с одного из моих виртуальных серверов, размещенных на хосте.

Домен [mydomain] .info разрешается как [mydomain] .info.com.au и перечисляет 4 IP-адреса, которые я не использую.

Это происходит только на одном сервере, и только для этого домена и поддоменов (из проведенного мной тестирования).

Вещи, которые я пробовал ...

1) «ipconfig /flushdns». Нет эффекта.

2) Проверен файл hosts. Ничего подозрительного.

3) Я проверил реестр на наличие записей, связанных с вирусом DNSChanger, но я не вижу ничего подозрительного.

4) Изменен DNS-сервер для подключенного интерфейса. nslookup показывает новый DNS-сервер, но результаты совпадают.

5) Сканировал dnslookup.exe на наличие вирусов, но ничего не появляется. Кроме того, если я запускаю запрос, используя этот исполняемый файл с другого компьютера, результаты верны.

Я не знаю, означает ли это, что мой сервер фактически скомпрометирован, или, возможно, мой хостинг-провайдер делает что-то хитрое с исходящими поисками DNS.

Сервер Windows Server 2012

Помимо этого вопроса DNS сервер работает отлично. Я не наблюдал никакого другого странного поведения.

Если у кого-то есть какие-либо предложения, они будут очень благодарны. Это живой, производственный сервер, на котором размещено несколько клиентских веб-сайтов, так что это меня немного напрягает.

Вот вывод, как и просили. Мои извинения, я бы предпочел не показывать фактическое доменное имя, так как оно идентифицируется лично. Однако я проверил, что записи домена верны.


PS C:\scripts> nslookup [mydomain].info
Server:  google-public-dns-a.google.com
Address:  8.8.8.8

Non-authoritative answer:
Name:    [mydomain].info.com.au
Addresses:  52.3.124.67
          52.201.189.141
          54.85.85.70
          52.5.111.221

PS C:\scripts>

После еще одного расследования выясняется, что это не просто мой домен. Это происходит с любым доменом .info. Я включил результаты nslookup с включенной отладкой ...

> somedomain123123.info
Server:  google-public-dns-a.google.com
Address:  8.8.8.8

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 74, rcode = NXDOMAIN
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional = 0

    QUESTIONS:
        somedomain123123.info.hosting24.com.au, type = A, class = IN
    AUTHORITY RECORDS:
    ->  hosting24.com.au
        ttl = 1799 (29 mins 59 secs)
        primary name server = ns1.web24.net.au
        responsible mail addr = dns.web24.net.au
        serial  = 2016060205
        refresh = 7200 (2 hours)
        retry   = 3600 (1 hour)
        expire  = 604800 (7 days)
        default TTL = 3600 (1 hour)

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 75, rcode = NXDOMAIN
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional = 0

    QUESTIONS:
        somedomain123123.info.hosting24.com.au, type = AAAA, class = IN
    AUTHORITY RECORDS:
    ->  hosting24.com.au
        ttl = 1799 (29 mins 59 secs)
        primary name server = ns1.web24.net.au
        responsible mail addr = dns.web24.net.au
        serial  = 2016060205
        refresh = 7200 (2 hours)
        retry   = 3600 (1 hour)
        expire  = 604800 (7 days)
        default TTL = 3600 (1 hour)

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 76, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 4,  authority records = 0,  additional = 0

    QUESTIONS:
        somedomain123123.info.com.au, type = A, class = IN
    ANSWERS:
    ->  somedomain123123.info.com.au
        internet address = 52.5.111.221
        ttl = 59 (59 secs)
    ->  somedomain123123.info.com.au
        internet address = 52.201.189.141
        ttl = 59 (59 secs)
    ->  somedomain123123.info.com.au
        internet address = 52.3.124.67
        ttl = 59 (59 secs)
    ->  somedomain123123.info.com.au
        internet address = 54.85.85.70
        ttl = 59 (59 secs)

------------
Non-authoritative answer:
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 77, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional = 0

    QUESTIONS:
        somedomain123123.info.com.au, type = AAAA, class = IN
    AUTHORITY RECORDS:
    ->  info.com.au
        ttl = 899 (14 mins 59 secs)
        primary name server = ns1.info.com.ru
        responsible mail addr = hostmaster.info.com
        serial  = 2016052612
        refresh = 7200 (2 hours)
        retry   = 900 (15 mins)
        expire  = 1209600 (14 days)
        default TTL = 86400 (1 day)

------------
Name:    somedomain123123.info.com.au
Addresses:  52.5.111.221
          52.201.189.141
          52.3.124.67
          54.85.85.70

Моим хостинг-провайдером является web24.com.au, откуда, предположительно, и происходит hosting24.com.au.

2 ответа2

6

Использование:

nslookup
> set debug
> [mydomain].info

Чтобы увидеть детали вашего DNS-запроса.

Возможно, вы настроили основной DNS-суффикс на вашем сервере для com.au И проблема, вероятно, в том, что [mydomain].info.com.au существует, так что это результат, который вы получаете.

0

Если, как вы говорите, все идет правильно, значит, все в порядке. Опять же, без доменного имени для проверки сами, мы не можем проверить вашу информацию для вас. Есть много способов, которыми это может быть затронуто, и мы не можем по-настоящему в этом разобраться.

Вам нужно обсудить это с вашим хостинг-провайдером, если вы считаете, что они делают что-то хитрое.

Опять же, если клиентские сайты работают так, как задумано, может возникнуть какая-то странная, одноразовая странная проблема конфигурации, которую чрезвычайно сложно диагностировать и которая на самом деле ни на что не влияет.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .