【求助】出現不存在於DNS代管中的子網域

usdzar

usdzar
個人積分：201分
文章編號：55647168

201分

樓主

2015-05-04 18:02

-----PM:09:04更新----
目前改成PChome代管後似乎沒有問題了,感謝各位的幫忙，謝謝！
不過實際原因仍未知，目前猜測是DNS代管（afraid.org）被偷加入A紀錄，但也只是猜測，若有高手知道原因也歡迎告知，謝謝！

各位先進大家好，
　　小弟有使用Google Apps，近日收到Google來信通知，信中提及：
「站上的某些網頁看起來像一個可能的網路釣魚攻擊......

以下可能是一個釣魚攻擊的網址：
http://email-login.center.ＯＯＸＸ.tw/gmail_login/login.asp

」

自己實際以瀏覽器操作，發現還真的可以被轉到特定網頁(偽裝成Google登入頁面)

進一步使用nslookup也可以查到對應的IP（60.250.124.37）

但是我檢查了DNS代管的設定，發現其中並沒有設定 "email-login.center.ＯＯＸＸ.tw"

而我自己本身電腦中的hosts檔案也只有 "127.0.0.1 localhost"

目前可能換個DNS代管試試看（不過另一個同樣在此代管的網域卻沒有此問題）

不知還有甚麼需要注意的地方？謝謝！

以Google Apps工具箱提供的Dig查到資料如下:
id 10557
opcode QUERY
rcode NOERROR
flags QR RD RA
;QUESTION
email-login.center.ＯＯＸＸ.tw. IN ANY
;ANSWER
email-login.center.ＯＯＸＸ.tw. 3197 IN A 60.250.124.37（我從來沒設定過這行

）
;AUTHORITY
;ADDITIONAL

網域註冊商的DNS設定如下:(目前已暫時改為PChome代管,此處僅供參考)
DNS Server Name IPv4/IPv6
ns1.afraid.org 50.23.197.95
ns2.afraid.org 208.43.71.243
ns3.afraid.org 69.197.18.162
ns4.afraid.org 70.39.97.253
ns1.afraid.org 2607:f0d0:1102:00d5:0000:0000:0000:0002

DNS代管的設定:
ＯＯＸＸ.tw　A　216.239.32.21
ＯＯＸＸ.tw　A　216.239.34.21
ＯＯＸＸ.tw　A　216.239.36.21
ＯＯＸＸ.tw　A　216.239.38.21
ＯＯＸＸ.tw　MX　20:alt1.aspmx.l.google.com
ＯＯＸＸ.tw　MX　20:alt2.aspmx.l.google.com
ＯＯＸＸ.tw　MX　10:aspmx.l.google.com
ＯＯＸＸ.tw　MX　30:aspmx2.googlemail.com
ＯＯＸＸ.tw　MX　30:aspmx3.googlemail.com
ＯＯＸＸ.tw　MX　30:aspmx4.googlemail.com
ＯＯＸＸ.tw　MX　30:aspmx5.googlemail.com
ＯＯＸＸ.tw　TXT "v=spf1 include:_spf.google.com ~all"
mail.ＯＯＸＸ.tw CNAME ghs.google.com
www.ＯＯＸＸ.tw CNAME ghs.google.com

釣魚網站的IP似乎是使用Hinet的IP:
Name: 60-250-124-37.HINET-IP.hinet.net
Address: 60.250.124.37

2015-05-04 18:02 發佈

文章關鍵字子網域 DNS代管

hcmhcm

hcmhcm
個人積分：446分
文章編號：55647568

446分

2樓

2015-05-04 18:38

usdzar wrote:
各位先進大家好，　　...(恕刪)

應該沒有問題，但你確定哪個子網域是你DNS底下?
還有60.250.124.37這IP，是HINET..

IP位址 60.250.124.37
Domain Name網域 60-250-124-37.HINET-IP.hinet.net
查詢結果(依IP) 中華電信(用戶)

其實可以針對這IP跟HINET申訴，請HINET管理此IP 60.250.124.37<--是釣魚網站，
也可以順便到網路警察那邊通知..

方便私底下給我你管理的網域?我也想看看這情況是如何..

我看你寫你網站是有兩個DNS代管?
用nslookup進入後
指定主機是代管的DNS IP
例如：server 168.95.1.1

Server 168.95.1.1
set qtype=any 或 set qtype=a
xxx.tw
看看..

請在代管DNS，跟HINET的DNS用同樣條件去查詢..
最好快查清楚，因為如果查明不是你的問題，就是DNS代管廠商有問題..會被GOOGLE提告，還要跑法院

勤留趕

勤留趕
個人積分：0分
文章編號：55648005

0分

3樓

2015-05-04 19:21

把該網頁砍掉即可
為什麼一定要放轉到
google的頁面呢

usdzar

usdzar
個人積分：201分
文章編號：55648052

201分

樓主

2015-05-04 19:26

hcmhcm wrote:
我看你寫你網站是有兩個DNS代管?...(恕刪)

我有兩個網域（一個是.tw;另一個是.com）
這兩個網域使用同一個DNS代管服務（afraid.org）
目前有問題的是.tw

管理的網域隨後PM給您，感謝您的幫助，謝謝！

勤留趕 wrote:
把該網頁砍掉即可為什...(恕刪)

問題在於DNS的對應有問題
並不是那個網頁在我的主機內（那個網頁在IP為60.250.124.37的主機內），所以我沒辦法砍掉您說的網頁

至於DNS對應的問題，因為我在DNS代管中也沒有設定"email-login.center.ＯＯＸＸ.tw. IN A 60.250.124.37"
這個設定是怎麼跑出來的我也很好奇

hcmhcm

hcmhcm
個人積分：446分
文章編號：55648474

446分

5樓

2015-05-04 20:07

usdzar wrote:
問題在於DNS的對應...(恕刪)

跟你沒關係
對方故意網域後面兩個字串取的跟你一樣..
他註冊了center.xxxx.tw
但是你註冊是xxxx.tw

應該類似hinet dns代管
還有center.xxxx.tw
只有a的紀錄

好像是一位業餘人士，用家裡的設備架設..

> set qtype=ns
> center.xxxx.tw
伺服器: UnKnown
Address: 192.168.100.1 <----ip不是網際網路(這解釋是錯的，我剛好用家裡DNS去查詢)

你可以請你網域代管的取查詢為何center.xxxx.tw可以申請成功..
我可以猜想是這樣..
對方也是跟你取xxxx.tw，但是採用hinet的DNS代管可以設定五個..
但對方只設定成一個a紀錄就是
center.xxxx.tw

usdzar

usdzar
個人積分：201分
文章編號：55648600

201分

樓主

2015-05-04 20:18

hcmhcm wrote:
跟你沒關係
對方故意網域後面兩個字串取的跟你一樣..
他註冊了center.xxxx.tw
但是你註冊是xxxx.tw

還有center.xxxx.tw
只有a的紀錄

咦！可是這樣應該不能註冊才對吧

我剛到TWNIC確認了一下，會出現"網域名稱不合規定"的訊息

hcmhcm

hcmhcm
個人積分：446分
文章編號：55648644

446分

7樓

2015-05-04 20:21

usdzar wrote:
咦！可是這樣應該不能...(恕刪)

沒錯，這是我唯一可以解釋，就是兩個人都擁有xxxx.tw
你可能是另一家dns，對方是hinet的dns代管..
對方也是跟你取xxxx.tw，但是採用hinet的DNS代管可以設定五個..
但對方只設定成一個a紀錄就是
center.xxxx.tw

hcmhcm

hcmhcm
個人積分：446分
文章編號：55648977

446分

8樓

2015-05-04 20:45

usdzar wrote:
咦！可是這樣應該不能...(恕刪)

我有重新查過，應該貴公司網域剛好有兩各擁有者..一個是你管理，一個是另一個人有，但對方只申請一個a記錄（非法網站蓋台?)，請你跟PCHOME申請查詢...

> set qtype=ns
> email-login.center.xxxx.tw
伺服器: [168.95.1.1]
Address: 168.95.1.1

*** [168.95.1.1] 找不到 email-login.center.xxxx.tw: Non-existent domain
> center.xxxx.tw
伺服器: [168.95.1.1]
Address: 168.95.1.1

*** [168.95.1.1] 找不到 center.xxxx.tw: Non-existent domain
> xxxx.tw
伺服器: [168.95.1.1]
Address: 168.95.1.1

未經授權的回答:
xxxx.tw nameserver = pdns1.pchome.com.tw
xxxx.tw nameserver = pdns2.pchome.com.tw
> set qtype=a
> email-login.center.xxxx.tw
伺服器: [168.95.1.1]
Address: 168.95.1.1

未經授權的回答:
名稱: email-login.center.xxxx.tw
Address: 60.250.124.37

但是..我又重開NSLOOKUP查詢貴公司網域xxx.tw

伺服器: dns.hinet.net
Address: 168.95.1.1

未經授權的回答:
xxxx.tw
primary name server = ns1.afraid.org <---這個好像不是PCHOME的DNS
responsible mail addr = dnsadmin.afraid.org
serial = 1505020004
refresh = 86400 (1 day)
retry = 7200 (2 hours)
expire = 2419200 (28 days)
default TTL = 3600 (1 hour)

usdzar

usdzar
個人積分：201分
文章編號：55648995

201分

樓主

2015-05-04 20:45

hcmhcm wrote:
對方是hinet的dns代管...(恕刪)

我這個ＯＯＸＸ.tw起初也是使用Hinet的DNS代管，但是網域轉出到其他服務商後，此處就得到查無此網域名稱的訊息了，剛試了一下仍然是此訊息，所以想請教您是如何確定對方是使用Hinet的DNS代管？謝謝！

hcmhcm wrote:
我有重新查過，應該貴公司網域剛好有兩各擁有者..一個是你管理，一個是另一個人有，但對方只申請一個a記錄（非法網站蓋台?)，請你跟PCHOME申請查詢...

不好意思，剛剛我把DNS代管改成PChome代管了，造成您的不便請多包涵

-----PM:09:04更新----
目前改成PChome代管後似乎沒有問題了,感謝您的幫忙

> ifpe.tw
Server: dns.hinet.net
Address: 168.95.1.1

Non-authoritative answer:
Name: ＯＯＸＸ.tw
Addresses: 216.239.38.21, 216.239.34.21, 216.239.32.21, 216.239.36.21

> email-login.center.ＯＯＸＸ.tw
Server: dns.hinet.net
Address: 168.95.1.1

*** dns.hinet.net can't find email-login.center.ＯＯＸＸ.tw: Non-existent domain
>

hcmhcm

hcmhcm
個人積分：446分
文章編號：55649357

446分

10樓

2015-05-04 21:10

usdzar wrote:
不好意思，剛剛我把D...(恕刪)

目前只查到a紀錄..對方連ns跟網域都沒指定目標..
再加上你網域查詢根本查不到這個網址..
我才會想起對方該不會是利用託管方式建立a紀錄，也就是email-login.center.xxxx.tw

但是以網域建立方式..center.xxxx.tw需要.xxxx.tw
但是還有一種可能...

對方用別的網域架設後，在他網域下多加各a記錄來宣告
login.center.xxxx.tw