DNSはある国の間違ったIPアドレスを解決します

私の友人の1人がClarolineに基づいたeラーニングWebサイトを持っています。2日前、スイスのユーザーのみが、ウェブサイトドメインにアクセスするときに別のIPアドレスで「ランダムに」リダイレクトを取得し始めました。

学生のPCでDNSサーバーを8.8.8.8または9.9.9.9に強制すると、ドメインは正しく解決されます。しかし、ローカルのスイスDNSサーバーにとどまると、不正な（ブラックリストに登録された）IPアドレスに解決されます。

奇妙な部分は、この1人の顧客と彼自身のコンピューターだけではありません。スイスに拠点を置くすべての学生も影響を受けます。しかし、フランスのものではありません。

2番目の奇妙な部分は、一部のページがこの誤ったIPアドレスから正しいコンテンツで応答することです。eラーニングが別のサーバーで複製されたか、どこかにキャッシュされたように。

サーバーは古いUbuntu 10.04.4 LTSであり、おそらく正しく保護/構成されていません。このサーバーにはフルアクセスできますが、管理していなかったので、何を探すべきか、何をすべきかさえわかりません。

ここに私が今まで見た/試したものがあります：

• すべてのApache 2 vhost confを確認しました。
• チェック済みiptables（空）および/etc/hostsand /etc/resolv.conf（安全）
• ドメインまたは何かをブラックリストに載せるかどうかをスイスコム（メインスイステレコム）に尋ねた：いいえ、クラロリンコードベースをチェックしました：安全に見えますが、それは巨大です。すべてのファイルをチェックできません。

学生のWindowsコンピューターの1つでのnslookupは次のとおりです。

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

そしてもちろん、195.186.210.161はサーバーの正しいIPアドレスではありません。

私はシステム管理者ではありません。私はただ友人を助けているだけなので、次に何を見るべきかわからない。

以下のようMADHATTERが書いた、これは（スイスコム）フィルタリングプロキシ経由でサイトを再ルーティングするエンドユーザーのISPです。インターネットガードサービスに加入しているすべてのユーザーは、サイトだけでなく、実際にそこを介してプロキシされている可能性が非常に高いです。

彼らは、フィルターはマルウェア、フィッシング、およびウイルスに対するものであるため、「分類」の問題ではなく、セキュリティの問題であると述べています。

したがって、最初のステップは、サイトが感染していないことを確認することです。PHPサイトは非常に脆弱である傾向があります（誰かが目に見える階層のどこかに.phpファイルをアップロードする方法を見つけた場合、リモートで実行して必要なことを行うことができます）。害を及ぼす方法は他にもたくさんあります（SQLインジェクション、保存されたXSS ...）。

ホームページがブロックされていないか、少なくとも常にそうではないため、次のいずれかです。

• 一部のページのみが感染しています
• 感染は、ユーザーのリクエストのほんの一部にしか現れません（レーダーの下を飛ぶ一般的な戦略）
• または、いくつかのページに誤検知を引き起こす何か他のものがあります

WebサイトのアドレスをプロキシのIPアドレスにポイントすることで、自分で結果を確認できます。/etc/hostsファイルを編集して（詳細はプラットフォームによって異なります）、行を追加することでそれを行うことができます：

195.186.210.161        elearning.affis.ch

その後、それらのユーザーの1人としてサイトにアクセスし、どのページがブロックされているかどうかを確認できます。

どのページがブロックされているか、またはブロックされていないかをよく理解したら、実際の問題を簡単に特定できる可能性があります。それを修正すると、突然それがすぐに通過するか、誤検知を報告する必要があるかもしれません（「ブロックされた」ページの下部にリンクがあります）。

感染をチェックする前に誤検知を報告しようとすると、おそらく逆効果になることに注意してください。最初に問題を見つけて修正するために一生懸命努力してください。

編集

実行するClarolineのバージョン（1.11.9）には、2014年以降に知られている複数のXSS脆弱性があることに注意してください。

Claroline 1.11.9以前の複数のクロスサイトスクリプティング（XSS）の脆弱性により、リモート認証されたユーザーは、（1）inboxアクションの検索フィールドをmessaging / messagebox.phpに、（2）「 auth / profile.phpへの名」フィールド、または（3）calendar / agenda.phpへのrqAddアクションのSpeakersフィールド

問題が実際に保存されたXSS攻撃である場合、データベースの最新のダンプを取得し、<scriptタグのようなものが含まれているかどうかを確認します（大文字と小文字を区別せずに検索することを忘れないでください）。

返されたIPアドレスhttp://195.186.210.161/でブラウザーをポイントすると、Swisscomの「危険なWebサイトがブロックされました」というメッセージが表示されます。私の推測では、彼らの「安全なインターネット」コンテンツブロックシステムは、少なくとも部分的には、DNSリクエストに応じて嘘をつくことによって機能し、何らかの理由であなたのウェブサイトがそれらに反していると考えられます。

あなたは彼らがあなたをブロックしているかどうか尋ねたと理解していますが、私の経験では、中規模のISPの最前線の技術サポートでさえ、何が起こっているのかを少しでも把握していません。乳母システム全体が外部委託されている（またはサードパーティの商用製品によって行われている）可能性があり、Swisscomの誰もがどのサイトがいつでもブロックされているのかまったくわからない可能性があります。生徒に「nanny internet」設定の種類があるかどうか尋ねると、生産性が向上する可能性があります。

結局のところ、これはあなたが解決できる問題ではないかもしれません。なぜならあなたはそのISPの顧客ではなく、彼らはあなたに何も負っていないからです。生徒の親にISPサポートに電話して、間違ったDNS解決について大声で不平を言って、それが解決されない場合はISPを変更すると脅迫することは、効果がある唯一のことです。

編集：このスレッドは、Swisscomのサイトブロックエンジンが少し熱狂的であり、それらから何らかの肯定的な解決策を得ることは必ずしも容易ではないことを示唆しています。また、これはオプトインフィルターではありませんが、スイスコムのすべてのお客様が気に入ったかどうかに関係なく適用されることを示唆しているため、オプトアウトは難しい場合があります。