[php] Niet bestaande domains redirecten naar https://com.com

dinsdag 23 juli 2019 13:36

Acties:

0 Henk 'm!

Topicstarter

Ik heb een Centos server met Plesk bij Transip.
Hier is het phpinfo() bestand: https://www.write-numbers.com/test.php

Wanneer ik met php een niet bestaand domein opvraag:

code:

1	$file_headers = @get_headers('http://non-existing-domainnnnnnnnnnnnnnnnnnnnnnnnnnnn.com');

Krijg een "HTTP/1.1 302 Moved Temporarily" status code, met een redirect naar https://com.com.
Dit klopt niet, ik zou een error moeten krijgen dat het domein niet bestaat.
En een vreemde redirect, com.com is een commerciele website(?!).

code:

HTTP/1.1 302 Moved Temporarily
Server: nginx/1.4.6 (Ubuntu)
Date: Tue, 23 Jul 2019 11:39:47 GMT
Content-Type: text/html
Connection: close
X-Powered-By: PHP/5.5.9-1ubuntu4.4
Set-Cookie: PHPSESSID=kr5qsl4jej9rhtlfqtnqf1lch5; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Location: https://com.com
X-XYZ-LBX: LND
X-XYZ-SRV: web2
Set-Cookie: SRVNAME=web2; path=/
HTTP/1.1 200 OK
Date: Tue, 23 Jul 2019 11:20:13 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
Server: nginx
Cache-Control: no-cache

Ik heb in PHP ook geprobeerd een niet bestaand domein op te vragen met:
- checkdnsrr
- CURL
- gethostbyname
En met al deze functies hetzelfde probleem. PHP geeft met het antwoord dat het domein online is, wat niet klopt.

Iemand enig idee wat er aan de hand zou kunnen zijn?

dinsdag 23 juli 2019 19:28

Room42

pim schreef op dinsdag 23 juli 2019 @ 19:24:
[...]

Correct, ik herken ipv4 ipaddressen, maar heb geen ervaring met ipv6.. Dat lijkt dit te zijn?
(Ik heb al 8 jaar lang meerdere vps'sen bij transip. Tot nu toe had ik niet heel veel commandline kennis nodig om mijn websites te runnen, omdat ik websites toe kan voegen via directadmin/plesk)

Alright.

[...]

Bedankt voor de reactie!

Inderdaad scherp gezien van @Mappy.

Zou dit malware zijn?

Nee, een configuratiefout. Je zult even in de DNS-configuratie moeten duiken (dat moet vast via de GUI te vinden zijn!) en het 'search domain' instellen op iets arbitrairs als 'local' of zo. Of gewoon leeg laten als dat geaccepteerd wordt.

[ Voor 3% gewijzigd door Room42 op 23-07-2019 19:30 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

dinsdag 23 juli 2019 13:48

Acties:

+1 Henk 'm!

EnnaN

Toys in the attic

Welke dns gebruik je? Kan het daar niet aan liggen?

sig

dinsdag 23 juli 2019 13:51

Acties:

0 Henk 'm!

Paul

Ik vermoed inderdaad dat je gebruikte DNS-server geen NXDOMAIN stuurt maar je het IP van een webserver geeft die overal die 302 op antwoordt.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

dinsdag 23 juli 2019 18:36

Acties:

0 Henk 'm!

pim

Topicstarter

Als ik een niet bestaande website 'ping' vanaf de commandline, gaat het ook naar .com.com.

Afbeeldingslocatie: https://tweakers.net/ext/f/wfKqblUnMdz18hVsNuXEL2dA/full.jpg

Afbeeldingslocatie: https://tweakers.net/ext/f/wfKqblUnMdz18hVsNuXEL2dA/full.jpg

Enig idee hoe ik kan zien welke dns de server gebruikt?

dinsdag 23 juli 2019 18:50

Acties:

0 Henk 'm!

Room42

pim schreef op dinsdag 23 juli 2019 @ 18:36:
Enig idee hoe ik kan zien welke dns de server gebruikt?

Ja, maar je bent niet de enige die zo'n vraag stelt!

offtopic:
En ik doe zo flauw omdat het echt een mega-basisvraag is en je dus duidelijk wat hulp bij het Googlen nodig hebt. Daar leer je meer van dan als je gewoon het antwoord voorgekauwd krijgt.

En GoT is geen afhaalchinees, dat weet jij ook wel.

[ Voor 57% gewijzigd door Room42 op 23-07-2019 18:52 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

dinsdag 23 juli 2019 18:58

Acties:

0 Henk 'm!

pim

Topicstarter

Ok, ik heb het gevonden, al zegt het me weinig..

code:

-sh-4.2$ cat /etc/resolv.conf
# Generated by NetworkManager
search com
nameserver 2a01:7c8:7000:195:0:8:195:8
nameserver 2a01:7c8:7000:195:0:135:195:135

dinsdag 23 juli 2019 19:09

Acties:

0 Henk 'm!

Room42

@pim Wat bedoel je, het zegt je weinig? Jij beheert wel de server?

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

dinsdag 23 juli 2019 19:15

Acties:

+3 Henk 'm!

Mappy

Piramide van Austerlitz

code:

1	search com

Dat regeltje zorgt ervoor, dat als jij bijvoorbeeld pim.nl hebt en "search pim.nl" gebruikt, dat een hostname als "pc1" automatisch als "pc1.pim.nl" wordt opgezocht, als "pc1" zelf niet te vinden is.

Nu wordt achter iets nietbestaands dus "com" geplakt. Dus als "typfout.com" niet bestaat, wordt "typfout.com.com" opgezocht, en *.com.com resolvet wel, naar de pagina van com.com.

Foto kopen? stuur DM! - If you're Mappy and you know it clap your hands *clap clap* - Stem voor betere forum-updates!

dinsdag 23 juli 2019 19:24

Acties:

0 Henk 'm!

pim

Topicstarter

Room42 schreef op dinsdag 23 juli 2019 @ 19:09:
@pim Wat bedoel je, het zegt je weinig? Jij beheert wel de server?

Correct, ik herken ipv4 ipaddressen, maar heb geen ervaring met ipv6.. Dat lijkt dit te zijn?
(Ik heb al 8 jaar lang meerdere vps'sen bij transip. Tot nu toe had ik niet heel veel commandline kennis nodig om mijn websites te runnen, omdat ik websites toe kan voegen via directadmin/plesk)

Mappy schreef op dinsdag 23 juli 2019 @ 19:15:
code:
1
search com
Dat regeltje zorgt ervoor, dat als jij bijvoorbeeld pim.nl hebt en "search pim.nl" gebruikt, dat een hostname als "pc1" automatisch als "pc1.pim.nl" wordt opgezocht, als "pc1" zelf niet te vinden is.

Nu wordt achter iets nietbestaands dus "com" geplakt. Dus als "typfout.com" niet bestaat, wordt "typfout.com.com" opgezocht, en *.com.com resolvet wel, naar de pagina van com.com.

Bedankt voor de reactie!
Zou dit malware zijn?

dinsdag 23 juli 2019 19:28

Acties:

Beste antwoord ✓
+2 Henk 'm!

Room42

pim schreef op dinsdag 23 juli 2019 @ 19:24:
[...]

Correct, ik herken ipv4 ipaddressen, maar heb geen ervaring met ipv6.. Dat lijkt dit te zijn?
(Ik heb al 8 jaar lang meerdere vps'sen bij transip. Tot nu toe had ik niet heel veel commandline kennis nodig om mijn websites te runnen, omdat ik websites toe kan voegen via directadmin/plesk)

Alright.

[...]

Bedankt voor de reactie!

Inderdaad scherp gezien van @Mappy.

Zou dit malware zijn?

Nee, een configuratiefout. Je zult even in de DNS-configuratie moeten duiken (dat moet vast via de GUI te vinden zijn!) en het 'search domain' instellen op iets arbitrairs als 'local' of zo. Of gewoon leeg laten als dat geaccepteerd wordt.

[ Voor 3% gewijzigd door Room42 op 23-07-2019 19:30 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

dinsdag 23 juli 2019 21:05

Acties:

0 Henk 'm!

pim

Topicstarter

Room42 schreef op dinsdag 23 juli 2019 @ 19:28:

Nee, een configuratiefout. Je zult even in de DNS-configuratie moeten duiken (dat moet vast via de GUI te vinden zijn!) en het 'search domain' instellen op iets arbitrairs als 'local' of zo.

Thanx! Dit was de oplossing.
Ik heb 'search com' veranderd naar 'search local' en nu werkt alles zoals het moet.

Afbeeldingslocatie: https://tweakers.net/ext/f/4fL0PnuhG7PhvQVFTyXx84uP/full.jpg

Afbeeldingslocatie: https://tweakers.net/ext/f/4fL0PnuhG7PhvQVFTyXx84uP/full.jpg

(Pfew, blij dat de server niet gehackt was, dat was mijn grootste angst)

dinsdag 23 juli 2019 21:37

Acties:

0 Henk 'm!

Room42

pim schreef op dinsdag 23 juli 2019 @ 21:05:
[...]

Thanx! Dit was de oplossing.
Ik heb 'search com' veranderd naar 'search local' en nu werkt alles zoals het moet.

[Afbeelding]

(Pfew, blij dat de server niet gehackt was, dat was mijn grootste angst)

Let op dat als je simpelweg /etc/resolv.conf bewerkt, dit na een reboot weer weg is. Vandaar de comment "Generated by NetworkManager".

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

Vraag

Beste antwoord (via pim op 23-07-2019 21:02)

Alle reacties