Prevenir defaultwebpage.cgi dominios extranos

[acos_atom]

Prevenir defaultwebpage.cgi dominios inexistentes

Hola,

Resulta que alguien ha registrado un nombre de dominio y ha configurado las dns's para que apunten a mi servidor, de manera que cuando accedes por web a este nombre de dominio mi servidor responde mostrando la pagina defaultwebpage.cgi.

Alguien puede decirme como evitar que esto suceda?

Un saludo

 

[acos_atom]

Re: Prevenir defaultwebpage.cgi dominios no existentes

Hola,

Estoy dándole vueltas a este tema y no termino de entender cual es la intención que hay detrás, pero seguro que es una intención oscura y tenebrosa ya que además en los logs del mod_security veo diferentes apariciones del dominio "fantasma" en cuestión, así que como podéis imaginar ando mosqueado.

Es correcto que apache responda redireccionando a esta pagina interna? No debería descartar la conexión de otro modo al no existir este host en el servidor?

Hay alguna directiva de configuración de cpanel que se me pasa por alto? Es un problema de configuración de apache? Tengo que bloquearlo desde el firewall? Es normal?

He pensado en modificar el index.html que redirige a defaultwebpage.cgi por un archivo php que compruebe si el dominio al que se accede está en el servidor o no y en caso contrario redirigir a otra url externa, pero tengo dudas.

Alguien me puede decir lo que piensa del tema?

Gracias.

 

[capoinfra]

Por más que se apunte un dominio a tu servidor a nivel DNS si éste no está creado en apache no debería cargar nada.
Si carga la página default es que está creado de algún modo en el servidor...

Haz una búsqueda con grep en /var/named/ a ver si hay alguna zona DNS creada para ese sitio, o bien desde la sección DNS del WHM.
Fíjate si está creado a nivel de apache, ya sea desde el list accounts o en /usr/local/apache/conf/httpd.conf
Fïjate en la sección de dominios apuntados o parked domains a ver si hay alguna referencia.
También puedes fijarte en /etc/localdomains
Tira un ping al dominio a ver si responde a tu server. (partiendo de la base de que no tienes el ping cerrado desde el firewall)

 

[acos_atom]

Hola capoinfra,

Gracias por tu ayuda.

En respuesta a tus primeras sugerencias hasta llegar al ping, nada, ningún resultado, no aparece ninguna coincidencia, ni DNS's, ni dominios aparcados, ni cuentas, nada. No encuentro que aparezca este dominio en ninguno de estos archivos o directorios.

El ping me responde esto, donde xxx.xxx.xxx.xxx es la IP compartida de mi servidor y la misma que tiene configurada este dominio fantasma.

64 bytes from xxx.xxx.xxx.xxx: icmp_seq=4 ttl=64 time=0.029 ms

Lo que si veo es que en /usr/local/apache/conf/httpd.conf hay creado un virtualhost como indico más abajo, con la shared IP del server, es decir la misma ip asignada a este dominio.

Puede ser que sea por esto que resuelva de esta forma a la pagina por defecto, si accedo por navegador directamente a través de la ip compartida, la misma que señalo todo el rato, obtengo el mismo resultado, es decir la defaultwebpage.cgi.

Es correcto que esté creado este virtualhost con la ip compartida de este modo? La IP que indico es todo el rato la misma.

# DO NOT EDIT. AUTOMATICALLY GENERATED. IF YOU NEED TO MAKE A CHANGE PLEASE US$

<VirtualHost xxx.xxx.xxx.xxx:80>
ServerName xxx.xxx.xxx.xxx
DocumentRoot /usr/local/apache/htdocs
ServerAdmin [email protected]
</VirtualHost>

Gracias de nuevo!!

 

[cPanelMichael]

Hello

Yes, this is normal behavior, and that VirtualHost entry is standard. I am not aware of any intentional harm one could cause by using your system's name servers without an existing DNS or Apache VirtualHost entry on your system. You could try setting up a firewall or redirect rule to block connection attempts from this domain name.

Thank you.

Translation:

Hola

Sí, este es un comportamiento normal, y que la entrada VirtualHost es estándar. No tengo conocimiento de ningún daño intencional se podría causar por la utilización de servidores de nombres de su sistema sin un DNS o entrada VirtualHost de Apache en el sistema. Usted podría intentar la creación de un servidor de seguridad o redirigir regla para bloquear los intentos de conexión de este nombre de dominio.

Gracias.