-
1. Data: 2010-07-15 18:57:22
Temat: tp dns pharming?
Od: Tomasz Tomkowiak <u...@t...one.pl>
A wiec bajka o zlej krolewnie wyglada tak:
# host smtvsat.pl dns2.tpsa.pl
smtvsat.pl A 212.91.7.33
# host smtvsat.pl dns2.tpsa.pl
smtvsat.pl A 80.48.166.116
Pierwszy wynik (ip) nie jest moim IN A, drugi jest moim.
I dns.tpsa.pl i dns2.tpsa.pl sobie flapuja ipkami z ktorych jeden to
jakis... wredny joke. Jak rozumiem to jakis pharming, dns poisoning, etc.
Ten 212.91.7.33 = dropped.pl = aftermarket.pl
"moja" domena (a raczej kilka ktore sprawdzalem; tak - jest ich wiecej)
oczywiscie nie wyekspirowaly, natomiast probowałem od razu pozmieniac NS'y
po zauwazeniu problemu jednoczesnie sprawdzajac (NS'y) czy problem nie jest
gdzies na nich - oczywiscie wszedzie jest OK i na NS'ach i u rejestratora,
i... wszedzie tylko nie w dns*.tpsa.pl
Odpowiedz z cert@tp moze przyjdzie kiedys (lub nie przyjdzie w ogole)...
Co jeszcze mozna zrobic, bo wyglada jakby misie z dropped.pl przejmowali
domeny jakims dns-poisonem i je opylali za kase ze niby te domeny wolne ;)
No i najgorsze ze 'pol swiata' moze miec problem z dobiciem sie "do mnie".
--
[ Tomasz 'BloodMan' Tomkowiak ] [] [ <rem_bloodman(at)trzcianka.one.pl> ]
[Nie kłóć się z głupim - niektórzy mogą nie zauważyć między wami różnicy]
-
2. Data: 2010-07-15 19:28:53
Temat: Re: tp dns pharming?
Od: w...@a...pl (Wemif)
Tomasz Tomkowiak <u...@t...one.pl> wrote:
>
> # host smtvsat.pl dns2.tpsa.pl
> smtvsat.pl A 212.91.7.33
> # host smtvsat.pl dns2.tpsa.pl
> smtvsat.pl A 80.48.166.116
Miałem podobny problem z DNS TP i jedną domeną ze dwa miesiące temu,
z tym, że IP na który wskazywało był jakiś niedziałający/nie pamiętam,
w każdym razie nie był to IP atmana. Klient zgłosił do TP i następnego
dnia było ok (nie wiem czy zgłoszenie miało z tym jakiś związek).
a.
-
3. Data: 2010-07-15 21:40:46
Temat: Re: tp dns pharming?
Od: Sławek Lipowski <s...@l...org>
W dniu 15.07.2010 20:57, Tomasz Tomkowiak pisze:
> A wiec bajka o zlej krolewnie wyglada tak:
>
> # host smtvsat.pl dns2.tpsa.pl
> smtvsat.pl A 212.91.7.33
> # host smtvsat.pl dns2.tpsa.pl
> smtvsat.pl A 80.48.166.116
>
> Pierwszy wynik (ip) nie jest moim IN A, drugi jest moim.
> I dns.tpsa.pl i dns2.tpsa.pl sobie flapuja ipkami z ktorych jeden to
> jakis... wredny joke. Jak rozumiem to jakis pharming, dns poisoning, etc.
> Ten 212.91.7.33 = dropped.pl = aftermarket.pl
>
> "moja" domena (a raczej kilka ktore sprawdzalem; tak - jest ich wiecej)
> oczywiscie nie wyekspirowaly, natomiast probowałem od razu pozmieniac NS'y
> po zauwazeniu problemu jednoczesnie sprawdzajac (NS'y) czy problem nie jest
> gdzies na nich - oczywiscie wszedzie jest OK i na NS'ach i u rejestratora,
> i... wszedzie tylko nie w dns*.tpsa.pl
> Odpowiedz z cert@tp moze przyjdzie kiedys (lub nie przyjdzie w ogole)...
>
> Co jeszcze mozna zrobic, bo wyglada jakby misie z dropped.pl przejmowali
> domeny jakims dns-poisonem i je opylali za kase ze niby te domeny wolne ;)
> No i najgorsze ze 'pol swiata' moze miec problem z dobiciem sie "do mnie".
>
>
>
Spróbuj może napisać na d...@t...pl.
--
Sławek Lipowski
http://lipowski.org
-
4. Data: 2010-07-16 08:23:11
Temat: Re: tp dns pharming?
Od: Marek Wodzinski <m...@O...mamy.to>
On Thu, 15 Jul 2010, Tomasz Tomkowiak wrote:
> A wiec bajka o zlej krolewnie wyglada tak:
>
> # host smtvsat.pl dns2.tpsa.pl
> smtvsat.pl A 212.91.7.33
> # host smtvsat.pl dns2.tpsa.pl
> smtvsat.pl A 80.48.166.116
>
> Pierwszy wynik (ip) nie jest moim IN A, drugi jest moim.
> I dns.tpsa.pl i dns2.tpsa.pl sobie flapuja ipkami z ktorych jeden to
> jakis... wredny joke. Jak rozumiem to jakis pharming, dns poisoning, etc.
> Ten 212.91.7.33 = dropped.pl = aftermarket.pl
>
> "moja" domena (a raczej kilka ktore sprawdzalem; tak - jest ich wiecej)
> oczywiscie nie wyekspirowaly, natomiast probowałem od razu pozmieniac NS'y
a czy czasem któryś z Twoich ns-ów to nie był costam.one.pl?
(sprawdź kto jest teraz właścicielem tej domeny...)
Pozdrawiam
Marek
--
"If you want something done...do yourself!"
Jean-Baptiste Emmanuel Zorg
-
5. Data: 2010-07-16 09:54:07
Temat: Re: tp dns pharming?
Od: Jacek Zapała <j...@i...pl>
On Thu, 2010-07-15 at 18:57 +0000, Tomasz Tomkowiak wrote:
> A wiec bajka o zlej krolewnie wyglada tak:
>
> # host smtvsat.pl dns2.tpsa.pl
> smtvsat.pl A 212.91.7.33
> # host smtvsat.pl dns2.tpsa.pl
> smtvsat.pl A 80.48.166.116
>
> Pierwszy wynik (ip) nie jest moim IN A, drugi jest moim.
> I dns.tpsa.pl i dns2.tpsa.pl sobie flapuja ipkami z ktorych jeden to
> jakis... wredny joke. Jak rozumiem to jakis pharming, dns poisoning, etc.
> Ten 212.91.7.33 = dropped.pl = aftermarket.pl
Jak ktoś słusznie zauważył, podejrzany jest jeden rekord NS na części
dns2.tpsa.pl:
$ dig smtvsat.pl @dns2.tpsa.pl ns
; <<>> DiG 9.7.0-P1 <<>> smtvsat.pl @dns2.tpsa.pl ns
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12162
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;smtvsat.pl. IN NS
;; ANSWER SECTION:
smtvsat.pl. 27355 IN NS ns1.xname.org.
smtvsat.pl. 27355 IN NS trzcianka.eu.org.
smtvsat.pl. 27355 IN NS trzcianka.one.pl.
smtvsat.pl. 27355 IN NS fns1.42.pl.
;; Query time: 1 msec
;; SERVER: 194.204.152.34#53(194.204.152.34)
;; WHEN: Fri Jul 16 11:40:33 2010
;; MSG SIZE rcvd: 132
Pewnie wiesz albo możesz się domyślić, skąd się tam wziął (skoro inna
trzcianka występuje w delegacji i nie budzi Twoich zastrzeżeń).
Jego adres to na częsci dns2.tpsa.pl 80.54.68.5 a na części -
212.91.7.33.
$ whois one.pl
DOMAIN: one.pl
registrant's handle: mjp_du_000058d8 (INDIVIDUAL)
nameservers: ns1.je.st.
virgo.kasat.net.
ns1.eisp.pl. [82.96.94.47]
created: 1999.09.02 13:00:00
last modified: 2010.07.13 18:03:27
option created: 2008.02.01 00:05:34
TECHNICAL CONTACT:
company: Michau Enterprises Limited
http://www.AfterMarket.pl/
street: Chytron 26, Office 21
city: 1075 Nicosia
location: CY
handle: mjp_tech
phone: +357.22761649
last modified: 2010.04.27
Problemu by nie było, gdybyś użył dnssec i podpisał smtvsat.pl (i
zarejestrował klucz w dlv.isc.org), a tpsa dokonywała weryfikacji
podpisu.
Ale o ile pierwszą część możesz zrobić w pół godziny, to na drugą pewnie
przyjdzie jeszcze trochę poczekać.
Jacek
-
6. Data: 2010-07-16 11:17:46
Temat: Re: tp dns pharming?
Od: Marek <m...@c...tpnet.pl>
Cześć,
Trzeba sobie po prostu porządek zrobić na serwerach autorytatywnych.
-as
-
7. Data: 2010-07-16 11:30:24
Temat: Re: tp dns pharming?
Od: Olaf Lu <l...@g...com>
On 16 Lip, 04:17, Marek <m...@c...tpnet.pl> wrote:
> Cześć,
>
> Trzeba sobie po prostu porządek zrobić na serwerach autorytatywnych.
>
Przepraszam tez wskazane. ;)
-
8. Data: 2010-07-16 11:57:13
Temat: Re: tp dns pharming?
Od: horhe <s...@k...mejor.pl>
Marek wrote:
> Cześć,
>
> Trzeba sobie po prostu porządek zrobić na serwerach autorytatywnych.
Pytam z ciekawości, co masz na mysli?
whois pokazuje:
nameservers: trzcianka.eu.org.
ns1.xname.org.
fns1.42.pl. [79.98.145.34]
ns.takeda.tk.
$ host smtvsat.pl trzcianka.eu.org.
Using domain server:
Name: trzcianka.eu.org.
Address: 80.54.68.5#53
Aliases:
smtvsat.pl has address 80.48.166.116
smtvsat.pl mail is handled by 20 smtvsat.com.pl.
smtvsat.pl mail is handled by 10 smtvsat.pl.
-
9. Data: 2010-07-16 12:04:27
Temat: Re: tp dns pharming?
Od: horhe <s...@k...mejor.pl>
Marek wrote:
> Cześć,
>
> Trzeba sobie po prostu porządek zrobić na serwerach autorytatywnych.
Pytam z ciekawości, co masz na mysli?
whois pokazuje:
nameservers: trzcianka.eu.org.
ns1.xname.org.
fns1.42.pl. [79.98.145.34]
ns.takeda.tk.
$ host smtvsat.pl trzcianka.eu.org.
Using domain server:
Name: trzcianka.eu.org.
Address: 80.54.68.5#53
Aliases:
smtvsat.pl has address 80.48.166.116
smtvsat.pl mail is handled by 20 smtvsat.com.pl.
smtvsat.pl mail is handled by 10 smtvsat.pl.
$ host smtvsat.pl ns1.xname.org.
Using domain server:
Name: ns1.xname.org.
Address: 87.98.164.164#53
Aliases:
smtvsat.pl has address 80.48.166.116
smtvsat.pl mail is handled by 20 smtvsat.com.pl.
$ host smtvsat.pl fns1.42.pl.
Using domain server:
Name: fns1.42.pl.
Address: 79.98.145.34#53
Aliases:
smtvsat.pl has address 80.48.166.116
smtvsat.pl mail is handled by 10 smtvsat.pl.
smtvsat.pl mail is handled by 20 smtvsat.com.pl.
$ host smtvsat.pl ns.takeda.tk.
Using domain server:
Name: ns.takeda.tk.
Address: 74.0.89.210#53
Aliases:
smtvsat.pl has address 80.48.166.116
smtvsat.pl mail is handled by 20 smtvsat.com.pl.
smtvsat.pl mail is handled by 10 smtvsat.pl.
Czyli wszędzie otrzymuję taki sam adres.
Za to dostaję dwie różne odpowiedzi od dns2.tpsa.pl:
$ dig smtvsat.pl @194.204.152.34 ns
; <<>> DiG 9.4.3-P5 <<>> smtvsat.pl @194.204.152.34 ns
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27961
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;smtvsat.pl. IN NS
;; ANSWER SECTION:
smtvsat.pl. 21233 IN NS fns1.42.pl.
smtvsat.pl. 21233 IN NS trzcianka.one.pl.
smtvsat.pl. 21233 IN NS trzcianka.eu.org.
smtvsat.pl. 21233 IN NS ns1.xname.org.
albo tak:
$ dig smtvsat.pl @194.204.152.34 ns
; <<>> DiG 9.4.3-P5 <<>> smtvsat.pl @194.204.152.34 ns
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12321
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 3
;; QUESTION SECTION:
;smtvsat.pl. IN NS
;; ANSWER SECTION:
smtvsat.pl. 41206 IN NS trzcianka.eu.org.
smtvsat.pl. 41206 IN NS ns1.xname.org.
smtvsat.pl. 41206 IN NS fns1.42.pl.
;; ADDITIONAL SECTION:
ns1.xname.org. 247 IN A 87.98.164.164
fns1.42.pl. 49756 IN A 79.98.145.34
trzcianka.eu.org. 72853 IN A 80.54.68.5
Oraz offtopicznie:
$ dig smtvsat.pl @dns2.tpsa.pl ns
; <<>> DiG 9.4.3-P5 <<>> smtvsat.pl @dns2.tpsa.pl ns
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 42772
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;smtvsat.pl. IN NS
;; Query time: 78 msec
;; SERVER: 2a01:1700:3:ffff::9822#53(2a01:1700:3:ffff::9822)
;; WHEN: Fri Jul 16 13:23:16 2010
;; MSG SIZE rcvd: 28
Pozdrawiam
-
10. Data: 2010-07-16 12:48:57
Temat: Re: tp dns pharming?
Od: Marek <m...@c...tpnet.pl>
>
> Pytam z ciekawości, co masz na mysli?
Trzeba by zacząć od góry:
serwery autoratywne dla eu.org:
eu.org. 86400 IN NS ns0.pasteur.fr.
eu.org. 86400 IN NS ns1.pasteur.fr.
eu.org. 86400 IN NS dns3.gandi.net.
eu.org. 86400 IN NS auth1.dns.elm.net.
eu.org. 86400 IN NS ns-v6.eu.org.
eu.org. 86400 IN NS ns-slave.free.org.
Z czego jeden z nich dns3.gandi.net. nie widzi w ogóle domeny
trzcianka.eu.org. I jakoś dziwnie nie odpowiada autorytatywnie dla
eu.org
Serwer AUTH1.DNS.ELM.NET. odpowiada jako :
trzcianka.eu.org. 259200 IN NS NS.TAKEDA.TK.
trzcianka.eu.org. 259200 IN NS SMTVSAT.PL.
trzcianka.eu.org. 259200 IN NS TRZCIANKA.ONE.PL.
trzcianka.eu.org. 259200 IN NS FNS1.SGH.WAW.PL.
z czego FNS1.SGH.WAW.PL. nie odpowiada,
hm... teraz widzę, że chyba wszystko powróciło do normy.
Prawdopodobnie po drodze wcześniej była zmiana delegacji domeny
jednego z serwerów które utrzymywały tę domenę i stąd całe
zamieszanie.
Trzeba by każdą delegacje przeanalizować dokładnie.
-as
do góry
Osiedle Nowy Targówek w Warszawie - VI etap w sprzedaży
