Buenas!

Pues haciendo una búsqueda, me encuentro con un dominio que ha configurado sus DNS para apuntar al servidor de GP32Spain y como, por configuración del servidor, si pones la IP carga directamente, toda la web carga desde el dominio de forma transparente. Con esto quiero decir que todas las peciciones pasan como si salieran de ese dominio.

No quiero poner el link directo para no ayudarle más a indexarse, pero podéis entrar aquí:

munshe . co . uk

¿Alguien entiende para qué cojones pueden haber hecho esto? ¿Qué pueden sacar? ¿Estarán haciendo DNS spoofing con un servidor de DNS propio para capturar el tráfico del sitio y pillar usuarios y contraseñas?
Estoy completamente descolocado con el tema.

El dominio está desde 2015 y ha caducado hace unas semanas, por lo que parece que no van a renovarlo.

No se si actuar de alguna manera. He pensado en meter unas reglas en el apache para que detecte el host y si no es gp32spain le redireccione a la web, pero no se si podrá generarme problemas de algún tipo.

¿Cómo lo veis?

Un saludo
Anarchy

***** que curioso y raro a la vez. He visto que no carga todo igual pero practicamente y que el dominio "munshe" es sólo en portada si pinchas cualquier enlaze te redirige hasta aquí. Según Archiv.org, lleva funcionando desde el 10 de Agosto de 2018, fecha de la única captura que tienen de la web.

Un saludo. :brindis:

***** que curioso y raro a la vez. He visto que no carga todo igual pero practicamente y que el dominio "munshe" es sólo en portada si pinchas cualquier enlaze te redirige hasta aquí. Según Archiv.org, lleva funcionando desde el 10 de Agosto de 2018, fecha de la única captura que tienen de la web.

Un saludo. :brindis:Bueno, ya me lo he cargado con el apache. He puesto una condición para comprobar el dominio y si entran desde ahí, les redirecciona automáticamente a la home de GP32Spain.

-----Actualizado-----

Ah, y sí que se podía navegar por la web sin que te mandase para GP32Spain.
Probad a buscar el dominio entre comillas en google. Salen doscientos y pico resultados con contenido de GP32Spain, pero como si fuera de ese dominio. Ahora os mandará para gp32spain, ya que lo he capado con el apache, pero sí que se podía navegar por la web a través de ese dominio.
Muy chungo todo.

-----Actualizado-----

Solo lo he capado por el puerto 80, así que todavía podéis hacer la prueba con https:// por delante y entrar en el dominio. Ignorad la advertencia y podréis entrar en la web.

y eso explica, que en el sobremesa la pagina la veia diferente que en mi portátil XD.... ahora con la pagina guardada en el navegador me sale la pagina caída en el sobremesa XD pensé que Anarchy estaba de nuevo haciendo actualizaciones de la web. XD

Esto también explica que la pagina me cargara rara y que algunas cosas de la pagina no me ivan en el sobremesa, no podia rectificar los mensajes por que me los borraba XD o que no apareciera el botón de agradecimiento entre otras cosas, al final la coña del falso de Anarchy va ser verda :lol:

Ayer la web estuvo todo el día caida... el falso anarchy metió la pata?

algo de eso de indexado pone en mi blog, una alerta que me vino al gmail a cuenta de blogger...
¿nos estan robando sin que nos demos cuen?

Bueno, ya me lo he cargado con el apache. He puesto una condición para comprobar el dominio y si entran desde ahí, les redirecciona automáticamente a la home de GP32Spain.

-----Actualizado-----

Ah, y sí que se podía navegar por la web sin que te mandase para GP32Spain.
Probad a buscar el dominio entre comillas en google. Salen doscientos y pico resultados con contenido de GP32Spain, pero como si fuera de ese dominio. Ahora os mandará para gp32spain, ya que lo he capado con el apache, pero sí que se podía navegar por la web a través de ese dominio.
Muy chungo todo.

-----Actualizado-----

Solo lo he capado por el puerto 80, así que todavía podéis hacer la prueba con https:// por delante y entrar en el dominio. Ignorad la advertencia y podréis entrar en la web.

lo correcto seria que si acceden por ahi, los rechace, no que redireccione... y simplemente estan apuntando directamente (sin nada en medio) a tu misma ip... no hay nada peligroso...

podes verlo asi...

https://www.bing.com/search?q=ip:37.59.109.93

donde 37.59.109.93 es la ip de gp32spain... con esto ves todos los sitios/dominios que comparten tu servidor/ip...

-----Actualizado-----

repito, simplemente los dns apuntan al mismo ip... no hay riesgos... no es dns spoofing, eso implicaria tocar tu router o la configuracion dns que usas en tu red, no para algo global...

no hay nada de que preocuparse... pero si es bueno que metas un control que solo puedan entrar por el hostname gp32spain...

https://www.bing.com/search?q=ip:37.59.109.93

donde 37.59.109.93 es la ip de gp32spain... con esto ves todos los sitios/dominios que comparten tu servidor/ip...

-----Actualizado-----

repito, simplemente los dns apuntan al mismo ip... no hay riesgos... no es dns spoofing, eso implicaria tocar tu router o la configuracion dns que usas en tu red, no para algo global...

no hay nada de que preocuparse... pero si es bueno que metas un control que solo puedan entrar por el hostname gp32spain...
Todo eso ya lo comprobé a posteriori.
La cuestión que yo temía es que uno puede montar su servidor de DNS en su servidor y utilizarlo para configurar las redirecciones a los dominios que contrate. Cuando contrata el dominio lo configura para que apunte a sus sevidores de DNS y que sean estos los que redireccionen a la IP. Ahí es donde puedo hacer la "jugada" a la que me refería.
En cualquier caso, también comprobé los servidores de DNS que estaba utilizando y son unos de 1and1 en los que hay configurados muchos otros dominios. Todo esto lo comprobé de inmediato, por si las moscas.

-----Actualizado-----


lo correcto seria que si acceden por ahi, los rechace, no que redireccione...
Prefiero que las visitas que lleguen desde ahí acaben en GP32Spain. No es que redireccione a la misma url dentro de GP32Spain, sino que le manda a la página principal de GP32Spain. Luego desde ahí, que le usuario haga lo que quiera.

Anarchy No se si has hecho algo, pero cuando entro en gp32spain utilizando el atajo "ctrl+enter" que te añade el www y el .com a una url que escribas, no puedo entrar a gp32spain porque me redirecciona a www.www.gp32spain.com

Hemos reportado ese problema hace semanas pero el falso anarchy pasa, con el ruso del otro dominio estas cosas seguro no pasarían.

seguro que está cobrando una pasta de los rusos, ja ja ja

Anarchy No se si has hecho algo, pero cuando entro en gp32spain utilizando el atajo "ctrl+enter" que te añade el www y el .com a una url que escribas, no puedo entrar a gp32spain porque me redirecciona a www.www.gp32spain.com

Por aquí igual.

A mi eso también me ha pasado.

Cierto, también me esta sucediendo lo de las "www." extras,

El Falso Anarchy pasa de los frikis y sus reclamos.

lo bueno es que si pones "gp32spain.com" y pulsas intro, te abre la página directamente. Si no, tienes que tirar de enlace de gugle.

Buenas, ahora salta ésto:

La conexión no es privada
Es posible que los atacantes estén intentando robar tu información de www.gp32spain.com (por ejemplo, contraseñas, mensajes o tarjetas de crédito). Más información
NET::ERR_CERT_DATE_INVALID
Subject: gp32spain.com

Issuer: Let's Encrypt Authority X3

Expires on: 18 jun. 2019

Current date: 18 jun. 2019

A mi me acaba de saltar una alerta de seguridad de firefox diciendo que la conexión no es segura, que el certificado de la web no es válido y he tenido que marcarla como excepción para que me dejara entrar. La dirección salía como https://www.www.gp32spain.com

Un saludo. :brindis:

A mi tambien, la explicación es que el certificado ha caducado..

+1 por aquí.

El Falso Anarchy cada vez la lía más...

+1 en safari.

a mi tambien en el zorro de fuego

Perdonad por lo del SSL. El script de renovación automática no ha chutado. Ya está corregido.
Lo de www.www me tiene descolocado. He intentado replicarlo sin éxito. ¿Sucede sólo en firefox?

-----Actualizado-----

Vale, ahora sí he podido replicarlo.
Pero es raro de cojones, porque si escribes el dominio de forma normal, entra correctamente.

-----Actualizado-----

Vale, creo que el tema del www.www lo he solucionado, pero me sigue pasando en Chorme y creo que es un tema de cacheos, ya que al hacerlo con CTRL+ENTER en una pestaña de incógnito me lo ha cargado bien y en firefox también.
Si es posible haced unas pruebas y me lo confirmáis.

En privada sale bien.

Chrome hace eso a veces, cosas del caché.

-----Actualizado-----

Gracias Falso Anarchy! ya creí que habías abandonado el foro.