メンバーメニュー

ようこそ、ゲストさん

トップ > カテゴリ一覧 > スタードメイン > DNSレコードが勝手に書き換えられる

質問

  • DNSレコードが勝手に書き換えられる
  • 本文:

    昨日から自分の運営しているサイトにアクセスしようとする外部のサイトに飛ばされてしまうという現象を確認致しました。

    すぐさま利用しているドスタードメインのDNSレコードを確認すると、見知らぬIPが登録されており、急いで該当レコードの削除を行いました。その後サイトのパスワードとドメインの管理パスワードを変更したのですが、数時間置きにドメインを確認すると再びDNSレコードが書き換えられてしまいます。

    DNSレコードの書き換え意外目立って変わってるところがなくサイトへのログイン履歴を確認しても特に不正なアクセスが確認できませんでした。

    色々調べましたが、そもそもセキュリティやWEBへの知識がない為、現状対処する術がわからず、非常に困っております。
    お忙しいところ恐縮ですが、どなたかご教授のほどよろしくお願い致します。

  • 緊急度:緊急投稿者:チリーイスさん投稿時間:2018/08/02 00:57

回答 No.7382

  • 本文:


    サポートに連絡する以外で、有効な方法はなさそうに思いますが・・。

    DNSレコードの書き換えができるということは、
    ドメインの移管とかもできてしまいますよね?



    どういう手段で、不正ログイン?されてるのか不明ですが、

    https://secure.netowl.jp/netowl/?action_user_info_changepass_index=true

    パスワードを変更されてるようですが、パスワードの文字が短いとダメなのかも?


    あと、ログインしてDNSレコードを書き換えてるということは、ログイン時のメールアドレスも相手にわかってると思われるのですが、
    メールアドレスも変更すると、ログインされにくくなるかも。



    >数時間置きにドメインを確認すると再びDNSレコードが書き換えられてしまいます。


    たとえば、該当サイトが、blog.example.comの場合、
    該当のAレコードが数時間おきに書き換わってるということですよね。

    blog A IPアドレス

    みたいな感じで・・。

  • 投稿者:k-tanさん 投稿時間:2018/08/02 02:52
質問者からのコメント

ご回答誠にありがとうございます。



>あと、ログインしてDNSレコードを書き換えてるということは、ログイン時のメールアドレスも相手にわかってると思われるのですが、メールアドレスも変更すると、ログインされにくくなるかも。



記述し忘れましたが正確にはメールアドレスの変更も行いました。それでもなおレコードが書き換えられてしまっているといった感じです。



>該当のAレコードが数時間おきに書き換わってるということですよね。



はいそのとおりです。具体的には以下の様なレコードが大量に追加される感じです。

blog.example.com A ipアドレス
www.blog.example.com A ipアドレス
*.blog.example.com A ipアドレス


書き換え方的に機械的に行われてる感じに見えます。

回答 No.7383

  • 本文:

    書かれていることがすべて正しいとすると、かなり深刻な状態なので、即刻サポートに連絡(もうしていると思いますが)。

    管理パスワードやメールアドレスを変更しても改善しないのなら、変更する時点でパスワードが漏れていることも考えられるので、使っているPCに、key logger などのウィルス・マルウェアがインストールされていないかどうか、検査。
    あるいは、普段使っていないPC(信用できるもの)から、管理パスワードやメールアドレスを変更してみる。

    > サイトへのログイン履歴を確認しても特に不正なアクセスが確認できませんでした。

    サイトへのログイン履歴でなく、管理画面へのログイン記録を調べる必要がありますが、これはサポートでないと無理ですね。。。

  • 投稿者:ジョバンニさん 投稿時間:2018/08/02 04:21

回答 No.7384

  • 本文:

    現在使っておられるPCが何らかのマルウェアに感染しているということも、可能性としてはありますね。

  • 投稿者:Don.Gabachoさん 投稿時間:2018/08/02 07:19

回答 No.7385

  • 本文:

    ちなみに、上位レジストラはeNomとかですかね?

  • 投稿者:k-tanさん 投稿時間:2018/08/02 09:20

回答 No.7386

  • 本文:

    eNomの管理画面に入られて書き換えをやられた話は私も聞いたことがありますが

    https://secure.netowl.jp/bbs/detail.cgi?td=3552

    こちらで相談していたのと同じドメインの話であるならば、上位レジストラはNetowlですね。

    https://secure.netowl.jp/bbs/detail.cgi?td=3263

    ブラウザなどの同期機能も疑ってみたほうがいいように思います。

  • 投稿者:kashaさん 投稿時間:2018/08/02 11:10

回答 No.7387

  • 本文:

    上位レジストラはNetowlになります。


    皆さまのご意見を総括するとログインIDの流出よりもパソコン本体のマルウェアの可能性が高いとの事なので、一度手元にあるすべてのパソコン全体にスキャンをかけてみてその後の様子見をしたいと思います。
    スキャン後二日ほど様子を見て、問題がなければ質問を閉じさせて頂こうかと思います。
    沢山のご意見誠にありがとうございました。

  • 投稿者:チリーイスさん 投稿時間:2018/08/02 13:27

回答 No.7390

  • 本文:

    >記述し忘れましたが正確にはメールアドレスの変更も行いました。
    >それでもなおレコードが書き換えられてしまっているといった感じです。
    >皆さまのご意見を総括するとログインIDの流出よりもパソコン本体のマルウェアの可能性が高い

    ネットオウルさん側で調査してもらった結果から判断しないとわからないのでは?

    スタードメインのDNSレコードを変更するというのは、目的がピンポイントすぎると思うのですが・・。



    >サイトへのログイン履歴でなく、管理画面へのログイン記録を調べる必要
    >がありますが、これはサポートでないと無理ですね。。。


    サポートに調査依頼をだしていると思うのですが、最低でも上記はしてもらったほうが良いのでは?

    ・管理画面のログイン履歴
    ・DNSレコードを書き換えたときの履歴

    たぶんIPアドレスも記録されてると思うので、公開してくれるかはべつとしても調査してもらえるのでは?



    >上位レジストラはNetowlになります。

    また上記なので、ネットオウルさんだけで多くの調査が可能なのでは?

  • 投稿者:k-tanさん 投稿時間:2018/08/02 16:48

回答 No.7417

  • 本文:

    私も昨日から同様の症状が出ています。
    いったんレコードを書き換えて戻りましたが今日は今度はDNSレコードがクリアされていました。
    パスワードを変えてもダメなのでネットオウル自体が不正アクセスされている可能性もあるかと思います。
    もしくはDNSレコード編集機能のバグで他の人の編集で追記や上書き荒れてるような感じもします。
    影響が所持している複数の中の1個のドメインのみなので私のPCが乗っ取られている感じではないです。可能性は0ではないですが。

    機能としてログイン履歴もないし二段階認証もなくパスワードに記号も混ぜられずここは色々セキュリティーに関する機能が弱いと思います。

    現在できる対処としてはネームサーバーを変更しているものは書き換えられていないので、クラウドフレアなどの別のネームサーバーを使って設定することでとりあえず対処できると思います。

  • 投稿者:eroswonderさん 投稿時間:2018/08/13 19:03