Fórumok
Sziasztok!
Van szerencsém egy kicsit adminkodni, pár domain felett (de szép mondat).
Azt vettem észre, hogy a rendszer, alapból létrehoz egy *.domain.com címet. Na mondom, faja, nem kell egyenként aldomaint hozzáadni, ugyan mocorgott a harci bogár tarkótájt, hogy "a wildcard nem jó, ÉRtEED!?"
Erre ma vettem észre, hogy ilyen instagram.com.domain.com, meg xyz.ch.domain.com címek birizgálják az A rekordú szervert.
Ez vajon miért jó nekik és a fontosabb, hogyan tudom lekérdezni, hogy a CNAME melyik DNS szerveren van regisztrálva?!
Hozzászólások
Valamelyik gépeden meg lehet adva a search domain, pl valami.com, így ha nem tudja feloldani az instagram.com domaint akkor megpróbálja az instagram.com.valami.com -ot feloldani.
Linux esetén ezt korábban az /etc/resolv.conf-ban tudtad beállítani, nem tudom hogy systemd mennyiben változtatott ezen. Például:
search valami.com
nameserver 1.1.1.1
nameserver 1.1
vps4you.hu kupon VPS szolgáltatásra: HUP2023
Nem, itt nem erről van szó, hanem tényleg volt egy *.domain.com bejegyzés, a DNS-ben.
De mi értelme, azon túl, hogy a lusta adminnak nem kell aldomainnal bajlódni, továbbá miért jó ezt kihasználni?
"speciel a blockchain igenis hogy jó megoldás, ezért nagy erőkkel keressük hozzá a problémát"
"A picsat, az internet a porno es a macskas kepek tarolorandszere! : HJ"
Nem mondta, hogy nincs wildcard record, valamit félreértesz. Azt próbálta megmagyarázni, hogy honnan eredhetnek ezek a DNS lekérdezések.
A wildcard egy lehetőség a DNS-ben, sok use-case van, amire jó lehet, ennyiből nem fogjuk tudni kitalálni neked, hogy a te konkrét esetedben miért csinálták.
Sok useres, főleg hosting környezetben hasznos. Ügyfél bármilyen aldomaint felvehet a tárhelyre egy webpanelen keresztül, az gond nélkül be fog jönni a tárhelyen.
Vagy cégnél a fejlesztőknek *.teszt.cegem.hu domain alatt bármikor létrehozhatnak teszt oldalakat, nem kell nyaggatni a rendszergazdát.
Tegyuk fel,hogy van egy fejleszto ceg. Ok weboldalakat keszitenek,es minden weboldal minden ujonnan letrejott branchen automatikusan lefut egy pipeline,amibol demo oldal keszul,es az rogvest deployolodik is a branchnev.weboldalnev.dev.cegnev.com oldalra,igy kattintgathato,tesztelheto.
Ha nem akarjuk a pipeline-ban a DNS-t is egyesevel mindig pocogtetni (plusz melo,biztonsagi problema stb. okan), akkor bizony egy ilyen wildcard domain eleg jol jon. Nem csak lustasag lehet az oka,ha valaki ilyet hasznal.
2. pelda: van egy tarhelyszolgaltato,akinel ingyen be lehet regelni,majd utana ftp-n a user feltoltheti a weboldalat a valasztottsubdomain.tarhelyszolgaltato.hu cimre. Ha a szolgaltato nem akar egyesevel A rekordokkal vagy CNAME-ekkel bajlodni,bevag a tobbi koze egy wildcardot,es le is zarta a kerdest.
plug and play default beallitas :)
Ha nem kell, akkor kiveszed. Olyan, mint a WPS, regen nem volt, aztan megcsinaltak, hogy nehogy mar madzaggal ossze kelljen kotni a routert egy geppel hogy be tudd allitani.
Milyen CNAME? Amúgy elvileg a domain.com NS recordja mondja meg, hogy melyik DNS szerver szolgálja ki az adott DNS zónát, azon kell lennie minden recordnak a domain.com-ra.
Az NS rekord, nekem az A rekord NS szerverét adja meg, de itt arról van szó, hagy valaki cname-et állított az én domain.com A rekordomra, de nem az én NS szerveremről...
"speciel a blockchain igenis hogy jó megoldás, ezért nagy erőkkel keressük hozzá a problémát"
"A picsat, az internet a porno es a macskas kepek tarolorandszere! : HJ"
És ezt miből gondolod?
Bocsi, igazad van, nincs beállítva CNAME, hanem a wildcard engedi az xyz.ch.domain.com hivatkozást is.
De miért jó valakiknek, hogy ilyen hivatkozással próbálkoznak?
"speciel a blockchain igenis hogy jó megoldás, ezért nagy erőkkel keressük hozzá a problémát"
"A picsat, az internet a porno es a macskas kepek tarolorandszere! : HJ"
Arra gondolsz, hogy így próbálja valaki proxy-ként használni?
Igen, valami ilyesmi.
"speciel a blockchain igenis hogy jó megoldás, ezért nagy erőkkel keressük hozzá a problémát"
"A picsat, az internet a porno es a macskas kepek tarolorandszere! : HJ"
Sokkal valószínűbb, hogy valahol rosszul van valami configurálva, pl. a már többször említett search domain. Amúgy meg bárki bárhova beírja, hogy x.y.domain.com, az nálad fel fog oldódni a wildcard alapján, ez magában még nem hiba.
Amúgy nem értem, hogy mire értesz itt proxyzás alatt, hogy lehetne ezt sebezhetőségként kihasználni.
Olvasd el az első hozzászólásomat, ott van leírva miért kapsz ilyen DNS kéréseket.
vps4you.hu kupon VPS szolgáltatásra: HUP2023
Biztos nincs valahol beállíva search domainnek? Nézted, hogy honnan jönnek ezek a kérések?
Az a baj, hogy csak akkor fogja látni, hogy honnan jönnek a kérések, ha az adott kliens konkrétan ezt a DNS szerverz használja resolvernek. Különben egy másik DNS szervertől fog jönni a kérés.
Persze. De teljesen reális esélye van, hogy ez egy "házon belül" rosszul beállított kliens esetében így van (vagy legalábbis egy másik saját kontroll alatti dns van). Ha nem, az is info, és a másik dns szerver címe is tud árulkodó lenni.
Annak, hogy van wildcard beallitva, semmi koze nincs ahhoz, hogy milyen lekerdezesek jonnek a DNS szerver fele.
Az instagram.com.domain.com, meg xyz.ch.domain.com keresek a kliensektol jonnek, oda meg valoszinuleg DHCP-n kerulnek le a beallitasok, pl a tobbszor emlegetett search domain. (Ami ugye arra jo, hogy ne kelljen minden URL mode odapotyogni a .domain.com-ot)
https://en.wikipedia.org/wiki/Search_domain
A wildcard beallitas meg csak annyit tesz, hogy ha nincs specifikusabb cim megadva, akkor fallbackel erre a cimre (mint a webserver default virtualhost).
Ha kiirtod a wildcard bejegyzest, attol nem tunnek el a fenti domain search alapu lekerdezesek. de ha nekunk nem hiszel, probald ki nyugodtan.
Avagy hiaba csereled le a nevedet a postaladan, attol a hirdetesi ujsagokat ugyanugy be fogjak dobni.
Azért lehet ezt még fokozni. A DNS kérések valóban a kliensektől jönnek, de azért némileg függetlenek a DHCP által kiosztott paraméterektől. Én legalábbis már nem egyszer adtam ki ilyen parancsokat:
nslookup example.com 8.8.8.8 / host example.net 1.1.1.1 / dig example.org @9.9.9.9
Szóval akár az is lehet, hogy konkrétan összehangolt támadást folytatnak a kérdésfelvető rendszere ellen, és az egész csak arról szól, hogy amíg ezeket az értelmetlen DNS-kéréseket próbálja kibogozni, addig nem ér rá azzal foglalkozni, hogy éppen (sikerrel) törik az SSH-szerverét.
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?