紧急通知:cloudcone控制台域名恐遭污染,附详细鉴定报告 – 阳光实验室

1901号紧急通知:

2019年11月1日

 

近日有cloudcone的国内用户反映,cloudcone的控制台域名(https://app.cloudcone.com/)出现无法打开的404画面。从大约10月28日起全国各地陆续出现无法访问的情况,而从10月31日开始则出现一直无法连接的情况。后经我们实验室鉴定:app.cloudcone.com域名无法打开系遭到了DNS污染所致,以下来看详细的鉴定报告。

 

今天我们也试着打开cloudcone的控制台,发现也是永远也无法打开而且是长期的就没有打开成功过,因此基本判定并非网络故障所致。而官网主站 https://cloudcone.com/ 域名打开则一切正常,判定并非搬瓦工官网的整个域名完全污染而是子域名的污染。

 

接下来我们来看详细的调查报告:

 

首先我们尝试在windows的本地计算机上去ping,在 ping app.cloudcone.com 域名之后得到了这样的结果

 

 

请求超时,完全丢包。app.cloudcone.com 域名被解析到了一个 69.171.242.11 的IP地址,这个IP地址根本就无法打开,自然也就没法登录网站了,这也是无法访问cloudcone控制台的原因,可能是域名遭到了DNS污染,也就是胡乱解析、搞乱解析服务器的IP地址。后来我们查了一下发现这竟然是美国脸书公司的IP地址,也就是大名鼎鼎的404网站facebook的IP地址。

 

现在还无法下结论来认定是否是域名被DNS污染了还是IP地址被封所致,需要通过专业的工具进行检测。这里我们使用ping.pe的域名解析查询工具DIG进行查询(dig.ping.pe

 

打开DIG查询我们输入域名 app.cloudcone.com 后面的A记录不变,因为我们是要检测IP地址是否被正确的解析,所以要查询A记录。后面的DNS服务器不用填,系统自动使用1.0.0.1的cloudflare公共DNS以此保证检测的公平性。

 

通过查询我们看到了下图并得出最终的结论:

 

 

如图所示,国外ping此域名时无一例外的全部统一的都是被解析到了一个IP地址,那就是173.82.155.208。只有国内出现了另一番景象,IP全部错乱,都被解析到了不同的IP地址上面而且每台设备都不一样乱七八糟的,因此99%判定这个域名是遭到DNS污染。

 

下面我们来看看都被解析到了什么IP地址上面吧:

 

66.220.147.11 美国facebook公司

69.171.239.11 美国facebook公司

75.126.164.178 美国达拉斯 softlayer.com

88.191.253.157 法国巴黎 

31.13.78.66 新加坡 facebook

31.13.75.18 法国马赛 facebook

64.13.192.74 美国洛杉矶

69.171.233.24 美国facebook公司

67.228.102.32 美国西雅图 softlayer.com

31.13.73.17 爱尔兰都柏林 facebook欧洲(爱尔兰)分公司

 

看到了吧,不是被墙掉的VPS的IP地址就是脸书的IP。很明显了,将一个正常网站解析改成一些已经被事实认定永远无法解封访问的404网站的IP地址,这是什么行为,DNS污染。

 

为了判断是不是遭到污染,我们将进行以下的三个检测。

 

首先,我们打开cloudcone的官网是可以打开的,下面我们来解析一下cloudcone.com的DIG

 

 

通过检测cloudcone.com的DIG,我们看到无论国内还是国外都指向同一个IP地址173.82.149.19,这个地址正是cloudcone官网服务器的地址,说明了该网站在国内可以正常访问没有任何问题,解析正常。

 

下面我们来进行第二个验证,那就是检查IP地址173.82.155.208的国内访问情况。为什么要验证这个IP?因为验证的结果将直接决定是域名被污染还是IP被封,通过ping.pe我们得出下面的结果。

 

 

我们可以看到在最后中国的访问检测中得出该IP可以正常访问,因此这个IP地址并没有被封,那就是域名的事了。如果域名被污染那么接下来我们只需做一件事情就能真相大白了,那就是科学上网访问 app.cloudcone.com 能访问就是污染的事,不能访问(一般不可能,那样上图就是一片红色了)那就是服务器的问题了,结果一目了然爬梯子就能上,所以得出结论那就是域名被DNS污染,鉴定完毕!!!

 

有的用户可能想要去后台管理实例或者要赶紧去充值,但是这已经无法访问了那么我们现在还能访问吗?完全可以,两个方法。第一种只需做个设置就行了,改hosts。有人说可行吗?完全可以,因为IP地址没被封,只是域名遭到了污染,DNS被污染是可以通过改计算机hosts的方式由我们去人工手动去指定访问域名的IP地址,不再使用DNS服务器进行解析。

 

打开 我的电脑(XP) 计算机(7/8.1/10)进入C盘找到WINDOWS/system32/drivers/etc这个系统文件夹,里面有个hosts文件用记事本去打开。如下图所示:

 

 

打开之后在最后一行输入 IP地址 域名#null#null 然后点击“保存”来保存设置即可,如下图所示。

 

 

通过刚才的DIG检测我们已经知道了,app.cloudcone.com的正确IP地址是173.82.155.208,那么我们就将这个IP地址写入hosts文件中,后面跟上主机名称再加上两个#null,也就是将 173.82.155.208 app.cloudcone.com#null#null 这句话写入hosts文件即可,之后打开浏览器,见证奇迹的时刻到了。

 

 

BINGO,成功了!这样以后这台计算机就可以继续登录访问cloudcone的控制台了,仅限这台计算机使用。当然还有另一种方法,也是最简单粗暴的办法:

 

飞越长城,科学上网

Fly over the great wall and surf the Internet scientifically.

 

飞出去就完美的解决了一切问题,是不是very good呢。(当然如果主机商是要判断欺诈订单的那就不能使用飞机了)

 

以上就是本次事件的鉴定结论和应对方法,如果你现在仍然为无法访问而苦恼的话就使用这两个方法吧。希望能将这篇文章传播给更多的人,让更多的cloudcone的中国用户知道并了解这件事,在此求扩散。

 

最新消息:

 

有国内的大神搞出了一个国内可用的镜像域名,可以在不用做任何设置不使用任何特殊手段的情况下访问cloudcone的控制台,经过我们的检测查到IP地址是173.82.255.70的cloudcone洛杉矶MC机房IP地址,因此是可以安全访问的。

 

https://app.cloudcone.com.cn/ 在原地址的后面加个.cn就OK了

发表评论

邮箱地址不会被公开。 必填项已用*标注

1 × 1 =