我的一位朋友有一个基于Claroline的电子学习网站.两天前,只有瑞士用户在访问网站域时才开始在另一个IP地址上“随机”重定向.

如果我在学生的PC上强制DNS服务器为8.8.8.8或9.9.9.9,则域名将被正确解析.但如果我留在本地瑞士DNS服务器,它会解析为一个坏的(黑名单)IP地址.

奇怪的是：这不仅仅是这一个客户和他自己的计算机.每个在瑞士的学生也会受到影响.但不是法国人.

第二个奇怪的部分是：某些页面使用正确的内容响应此虚假IP地址.就像电子教学在另一台服务器上重复或在某处缓存一样.

服务器是旧的Ubuntu 10.04.4 LTS,可能没有正确保护/配置.我对这台服务器有完全的访问权限,但是我没有管理它,所以我不确定要查找什么,甚至不知道该做什么.

这是我到目前为止所看到/尝试的内容：

>检查了所有Apache 2 vhost conf.
>检查iptables(空)和/ etc / hosts和/etc/resolv.conf(安全)
>询问Swisscom(瑞士主要电信公司)是否将域名列入黑名单：nope
检查了claroline代码库：它看起来很安全,但它很大.我无法检查所有文件.

这是一个学生Windows计算机上的nslookup：

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKNown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKNown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

当然,195.186.210.161不是服务器的正确IP地址.

我不是系统管理员.我只是在帮朋友,所以我不确定接下来要看什么.

正如 MadHatter所写,这是最终用户的ISP(Swisscom)通过过滤代理重新路由您的网站.很可能订阅其Internet Guard服务的所有用户实际上都通过那里代理,而不仅仅是您的网站.

They say认为过滤器是针对恶意软件,网络钓鱼和病毒的,因此它不应该是“分类”的问题,而应该是安全性问题.

因此,您的第一步应该是检查该网站是否未被感染. PHP站点往往非常容易受到攻击(如果有人找到在可见层次结构中某处上传.PHP文件的方法,则可以远程执行它以执行他们想要的任何操作).还有许多其他方法可以造成伤害(sql注入,存储XSS ……).

您的主页未被阻止,或者至少不是所有时间,因此：

>只有部分网页被感染
>感染仅显示用户请求的一小部分时间(在雷达下飞行的常见策略)
>或某些页面上还有其他内容会触发误报

您可以通过将网站的地址指向代理的IP地址来自行查看结果.您可以通过编辑/ etc / hosts文件(详细信息因平台而异)并添加一行来完成此操作：

195.186.210.161        elearning.affis.ch

然后,您可以作为其中一个用户访问该网站,并查看哪些页面被阻止.

一旦您更好地了解哪些页面被阻止,可能更容易确定实际问题.然后修复它,它会突然立即通过,或者你可能需要报告误报(在“阻止”页面的底部有一个链接).

请注意,在检查感染之前尝试报告误报可能会适得其反.首先尝试很难找到并解决问题.

编辑

请注意,自2014年以来,您运行的Claroline版本(1.11.9)已知道multiple XSS vulnerabilities：

Multiple cross-site scripting (XSS) vulnerabilities in Claroline 1.11.9 and earlier allow remote authenticated users to inject arbitrary web script or HTML via (1) the Search field in an inBox action to messaging/messageBox.PHP,(2) the “First name” field to auth/profile.PHP,or (3) the Speakers field in an rqAdd action to calendar/agenda.PHP

如果问题确实是存储的XSS攻击,请获取数据库的最新转储并检查它是否包含类似< script标记的内容(不要忘记不区分大小写搜索).

我正在使用安装了amazon linux的EC2实例(使用来自DHCP的amazon DNS服务器设置)以及RDS数据库. EC2实例落后于ELB并获得高流量.我使用的应用程序是用 PHP编写的.

问题是当PHP尝试连接到RDS数据库时,有时会返回以下错误：

PHP Warning:  MysqLi_connect(): (HY000/2005): UnkNown MysqL server host ...

它不会发生很多,但有时它会变得更糟;我收到了这条消息的数以千计的错误事件.

诊断问题有什么建议吗？我正在考虑将所有DNS流量转储到文件并进行检查,但服务器的流量非常高,因此很难从该文件中进行跟踪.

Ip:
197171459 total packets received
1 with invalid addresses
0 forwarded
0 incoming packets discarded
197171458 incoming packets delivered
175015443 requests sent out
Icmp:
12528 ICMP messages received
0 input ICMP message Failed.
ICMP input histogram:
    destination unreachable: 188
    echo requests: 12340
12559 ICMP messages sent
0 ICMP messages Failed
ICMP output histogram:
    destination unreachable: 219
    echo replies: 12340
IcmpMsg:
    InType3: 188
    InType8: 12340
    OutType0: 12340
    OutType3: 219
Tcp:
5231380 active connections openings
3978862 passive connection openings
881 Failed connection attempts
6420 connection resets received
17 connections established
191630575 segments received
200105352 segments send out
2797151 segments retransmited
0 bad segments received.
6910 resets sent
Udp:
5577451 packets received
219 packets to unkNown port received.
0 packet receive errors
5577700 packets sent
Udplite:
TcpExt:
172 invalid SYN cookies received
808 resets received for embryonic SYN_RECV sockets
7176788 TCP sockets finished time wait in fast timer
507 packets rejects in established connections because of timestamp
448055 delayed acks sent
2927 delayed acks further delayed because of locked socket
Quick ack mode was activated 2433 times
94865861 packets directly queued to recvmsg prequeue.
16611185 packets directly received from backlog
54150864749 packets directly received from prequeue
2158966 packets header predicted
79141174 packets header predicted and directly queued to user
40780030 ackNowledgments not containing data received
56946553 predicted ackNowledgments
84 times recovered from packet loss due to SACK data
Detected reordering 4 times using FACK
Detected reordering 11 times using SACK
Detected reordering 69 times using time stamp
70 congestion windows fully recovered
1241 congestion windows partially recovered using Hoe heuristic
TCPDSACKUndo: 13
2491 congestion windows recovered after partial ack
0 TCP data loss events
220 timeouts after SACK recovery
104 fast retransmits
99 forward retransmits
7 retransmits in slow start
2792531 other TCP timeouts
22 times receiver scheduled too late for direct processing
2423 DSACKs sent for old packets
2785871 DSACKs received
5162 connections reset due to unexpected data
921 connections reset due to early user close
135 connections aborted due to timeout
TCPDSACKIgnoredOld: 533
TCPDSACKIgnorednoUndo: 393
TcpsackShifted: 477
TcpsackMerged: 536
TcpsackShiftFallback: 2709
TCPBacklogDrop: 46
TCPDeferAcceptDrop: 3906058
IpExt:
InOctets: 69400712361
OutOctets: 94841399143

有一个已知的AWS错误会导致DNS解析偶尔失败：

https://forums.aws.amazon.com/thread.jspa?messageID=330465#330465

您可能希望使用持久连接进行测试,因为这会降低执行DNS解析的频率.

本地DNS缓存(例如pdns-recursor或dnscache)将降低频率,但RDS主机名记录具有非常短(60秒)的TTL,因此这意味着问题发生的频率低得多,但仍然每天发生几次.

是否有人知道Azure是否具有与AWS相同的功能,以将外部DNS主机名解析为实例网络外部实例的公共IP地址,以及实例网络内实例的私有IP地址？

AWS resolution explained

使用Azure的虚拟网络功能,是的,您可以.看看 the documentation.

Name resolution between virtual machines located in the same cloud service

Windows Azure name resolution (internal)

…

Name resolution between computers on the internet and your public endpoints

Windows Azure name resolution (external)

这是overview of Virtual Network.

我试图更好地理解DNS,但我仍然没有完全获得A和NS记录.

据我所知,A记录告诉哪个IP地址属于(子)域,到目前为止我仍然清楚.但据我所知,NS记录告诉哪个名称服务器点属于(子)域,并且该名称服务器应该告诉哪个IP地址属于(子)域.但是,这已在同一DNS文件中的A记录中指定.那么有人可以向我解释NS记录和名称服务器究竟做了什么,因为我可能理解错误.

编辑：据我所知,NS记录告诉您要找到具有某个域的A记录的DNS服务器,A记录会告诉您哪个IP地址属于某个域.但是将A和NS记录放在同一个DNS文件中的用途是什么？如果某个域已有A记录,那么为什么需要指向另一个DNS服务器,这可能会给你相同的信息呢？

虚构的foo.com区域文件中的一些示例

....... SOA record & lots more stuff .......
 foo.com.      IN        NS        ns1.bar.com.

 foo.com.      IN        A         192.168.100.1
 ....... More A/CNAME/AAAA/etc. records .......

记录=“名为foo.com的主机位于地址192.168.100.1”NS Record =“如果您想了解foo.com区域中的主机,请询问名称服务器ns1.bar.com”

我看到了这个CNAME记录的例子,但我不知道会返回什么IP而找不到答案.

我正在寻找pc2.an.example.com的IP和an.example.com的邮件服务器

区域文件example.com：

example.com. IN SOA...

example.com. 1800 IN NS ns1.example.com

an.example.com. 1800 IN NS ns1.an.example.com

ns1.example.com. 1800 IN A 12.34.56.78

ns1.an.example.com. 1800 IN A 123.45.67.1

区域文件an.example.com：

an.example.com. IN SOA...

an.example.com. IN NS ns1.an.example.com

ns1.an.example.com. 1800 IN A 123.45.67.1

an.example.com. MX 10 pc2.an.example.com

pc1.an.example.com. 1800 IN A 123.45.67.2

pc2.an.example.com 1800 IN A 23.45.67.89 

pc2 CNAME pc1.an.example.com.

那么pc2和邮件服务器将返回哪些IP？我的第一个想法是CNAME会被忽略,因为pc2有一个带有完整IP的“A”记录,但是我注意到pc2.an.example.com末尾没有点,也许这有效,因为地址相对吗？

谢谢你的帮助！

你会得到：

an.example.com. IN MX 10 pc2.an.example.com

pc2.an.example.com. IN CNAME pc1.an.example.com.
pc1.an.example.com. IN A 123.45.67.2

>不存在具有CNAME的A或AAAA等其他资源记录.他们会被忽视.>没有点的pc2.an.example.com等于pc2.an.example.com.an.example.com. IN A 23.45.67.89目前是.