Newz.dk flagged med malware af OpenDNS

OpenDNS kan ikke lide newz.dk pt., hvis man har deres malware protection til, får man følgende:
http://i.imgur.com/UkXMYEV.png

Jeg kan bekræfte at OpenDNS hijacker opslag af newz.dk:

$ nslookup newz.dk
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   newz.dk
Address: 193.169.74.10

$ nslookup newz.dk 208.67.222.222
Server:         208.67.222.222
Address:        208.67.222.222#53

Non-authoritative answer:
Name:   newz.dk
Address: 67.215.66.149

$ 

Det kunne være interessant at vide hvorfor. Jeg checkede lige hvad Google syntes, det ser ikke ud til at Google har flagget newz.dk for malware.

Jeg var nød til at skifte væk fra opendns for at kunne komme på newz

Same. Kørte endda kun med OpenDNS som tertiært lookup efter Google, men blev alligevel blokeret. Har nu skiftet til GoogleDNS som tertiær efter censurfridns og har ingen problemer.

Kunne dog godt tænke mig, at der stod nogle detaljer på OpenDNS' blokeringsside. "Fordi!" er ikke noget ret godt udgangspunkt til at finde frem til det bagvedliggende.

Jeg får ingen fejl her?
- hverken hjemme eller hos svigermor.

#3 Jeg var inde i deres dashboard og slå malware protection fra. Jeg har slået det til igen, ser ikke ud til at problemet er der mere.

I følge OpenDNS's side så var årsagen "botnet", selv om det ikke siger voldsomt meget.

http://grab.by/km7u

nlsn (4) skrev:

Kørte endda kun med OpenDNS som tertiært lookup efter Google, men blev alligevel blokeret.

Det lyder mærkeligt. Google DNS hijacker ikke DNS opslag, så hvis du har brugt Google DNS har du også fået den rigtige IP adresse, og derefter kan hverken Google eller OpenDNS blokere din adgang til siden.

De forklaringer jeg kan komme i tanke om hvorfor du alligevel er blevet blokeret er:
- Du har ikke brugt OpenDNS som tertiær sådan som du troede. Det kan være fordi nogle operativsystemer bruger listen af operativsystemer som en prioriteret liste, andre betragter dem alle som ligeværdige og bruger round-robin.
- Din adgang til Google DNS har været fejlkonfigureret således at opslag til Google fejlede og du endte med at gå helt ned til den tertiære server.
- Nogen har hijacket dine DNS opslag mellem din computer og Google DNS. Og dem som har hijacket dine DNS opslag har sendt dem videre til OpenDNS.

Thoroughbreed (5) skrev:

Jeg får ingen fejl her?

newz.dk bliver stadigvæk hijacket af OpenDNS, så jeg tvivler på du faktisk bruger OpenDNS til opslaget. Hvilken IP adresse får du når du laver DNS opslag af newz.dk? Prøv at køre en netstat kommando for at se hvilken IP adresse din browser faktisk er forbundet til når du bruger newz.dk.

kasperd (7) skrev:

newz.dk bliver stadigvæk hijacket af OpenDNS

Erroneus (6) skrev:

Jeg var inde i deres dashboard og slå malware protection fra. Jeg har slået det til igen, ser ikke ud til at problemet er der mere.

Og hvordan laver jeg en sådan kommando o_O

Hmm jo det er stadig et problem, der er lidt forsinkelse på, når man slår deres beskyttelse på fra og til, har slået det fra igen, for at kunne få adgang til siden.

Dashboard: https://dashboard.opendns.com

Erroneus (9) skrev:

Hmm jo det er stadig et problem, der er lidt forsinkelse på, når man slår deres beskyttelse på fra og til, har slået det fra igen, for at kunne få adgang til siden.

Hele idéen med at kunne konfigurere DNS svar på den måde er forkert. Problemet er at DNS protokollen ganske enkelt ikke har features til at identificere klienten. For at slippe omkring det er man nødt til at gøre en række antagelser, som nemt kan vise sig at være forkerte.
- OpenDNS DNS server og OpenDNS webserver ser samme IP adresse på de requests der kommer fra klienten.
- Denne IP adresse er statisk.
- Denne IP adresse er ikke delt med andre OpenDNS klienter.

De burde i stedet have sat deres DNS servere op med forskellige IP adresser som giver forskellige svar. Så ændrer man konfiguration ved ganske enkelt at ændre DNS opsætningen på klienten til at bruge den IP adresse som giver de ønskede svar.

Erroneus (9) skrev:

Dashboard: https://dashboard.opendns.com

Jeg prøvede lige at registrere mig så jeg kunne se hvordan deres service opfører sig.

Jeg satte filtrering til None og oprettede manuelt et filter for google.com for at teste hvordan servicen opfører sig.

Selvom filtrering står til None er newz.dk stadigvæk blokeret. Til gengæld er filtreringen af google.com blevet aktiveret. Så det er altså ikke fordi jeg ikke har ventet længe nok.

Man kan egentlig lave mange gode pranks på folk ved at sætte OpenDNS til at filtrere store legitime sites mens man sidder bagved andres NAT enhed. Hvis de bruger OpenDNS DNS servere bliver de pludseligt udsat for filtrering de ikke havde forventet.

Jeg spekulerer på hvordan OpenDNS vil reagere hvis to brugere registrerer sig med samme IP adresse. Uanset om de accepterer den første eller den sidste har de ingen garanti for at det er den rigtige de har accepteret.

Intet af det jeg har set har givet mig mere lyst til at bruge OpenDNS.

Hvis nogen alligevel gerne vil blive ved med at bruge OpenDNS og også gerne vil kunne besøge newz.dk, så kan de bare bruge IPv6. For newz.dk er kun blokeret på IPv4 versionen af OpenDNS, det er ikke blokeret på IPv6 versionen af OpenDNS.

kasperd (11) skrev:

Jeg spekulerer på hvordan OpenDNS vil reagere hvis to brugere registrerer sig med samme IP adresse.

Hvis man bruger websitet vil nummer to få en fejlmelding. Jeg ved ikke om deres dyndns klient opfører sig på samme måde.

kasperd (11) skrev:

Man kan egentlig lave mange gode pranks på folk ved at sætte OpenDNS til at filtrere store legitime sites mens man sidder bagved andres NAT enhed. Hvis de bruger OpenDNS DNS servere bliver de pludseligt udsat for filtrering de ikke havde forventet.

Og hvis først man har lavet den prank, så kan de ikke engang selv lave det om ved at registrere sig. For kun den første der opretter sig på dashboardet får lov til at lave opsætning for IP adressen.

Så hvis man overhovedet har tænkt sig at bruge OpenDNS DNS servere, så skal man sørge for at registrere sig på dashboardet før man begynder at bruge deres DNS servere.

Ovennævnte prank kan også bruges hvis man er på en dynamisk IP adresse. Sæt ekstreme filtreringer op for IP adressen og frigiv DHCP leasen. Hvis den næste bruger af IP adressen bruger OpenDNS bliver de udsat for filtreringen.

De vil gerne tillade at man blokerer for hele .dk men hvis man prøver at blokere for hele .com siger de "That domain may not be blocked".

kasperd (12) skrev:

Og hvis først man har lavet den prank, så kan de ikke engang selv lave det om ved at registrere sig. For kun den første der opretter sig på dashboardet får lov til at lave opsætning for IP adressen.

Den bedste måde at lave en sikker løsning på med de features som OpenDNS gerne vil tilbyde er ved at have en separat IP adresse på serversiden per bruger.

Den løsning er totalt urealistisk at implementere på IPv4 men fuldstændigt realistisk på IPv6. Når man regisrerer sig på OpenDNS får man oplyst et par nye IPv6 adresser på OpenDNS DNS servere.

2620:0:ccc::2 og 2620:0:ccd::2 som de har stående på deres website lige nu skal forblive som de er uden mulighed for at brugere kan ændre på opsætningen. Hvis jeg logger på opendns.com kan jeg f.eks. få at vide at jeg skal bruge 2620:0:ccc::4934:3754 og 2620:0:ccd::4934:3754 og de to adresser på DNS serveren vil altid give svar baseret på mine indstillinger uanset hvad klientadressen er.

Det er ikke filtrering du skal deaktivere.

Du skal ind under Security og slå deres Malware/Botnet Protection fra.

Erroneus (14) skrev:

Du skal ind under Security og slå deres Malware/Botnet Protection fra.

Det hjalp (da jeg lige huskede at slette min blokering af .dk igen).

>_<
Det hjælper åbenbart ikke at whiteliste den?..

Hos mig står der at den er blocked pga botnet - og hos OpenDNS skriver de at de kun fanger Conficker og IE ZeroDay

Hvis man bruger OpenDNS bliver alle de sider man besøger så logget i USA? Jeg går ud fra at OpenDNS har deres servere i USA og de følger amerikanske regler?

Tak for jeres henvendelser omkring problemet. Vi har både per mail og support-ticket spurgt OpenDNS om grunden hertil - og at vi har brug for at de frakobler det igen. Men desværre intet hørt endnu :(

Jeg har selv måttet skifte mine DNS til Googles (8.8.8.8 og 8.8.4.4) for at kunne komme herpå igen.

Vi håber de snart får kigget på det så vi kan undgå problemet.

morsing (17) skrev:

Hvis man bruger OpenDNS bliver alle de sider man besøger så logget i USA?

Er det almindelig praksis at logge DNS opslag?

morsing (17) skrev:

Jeg går ud fra at OpenDNS har deres servere i USA

Hvis OpenDNS har tænkt sig at de skal have brugere i Europa, så må de også have servere i Europa. Det er ganske enkelt ikke fysisk muligt at give brugere i Europa en god oplevelse hvis DNS serveren står i USA.

Der skal et roundtrip mellem klient og DNS server til for at lave et DNS opslag. Desuden er der masser af sites som har servere fordelt over hele verden og automatisk dirigerer brugere til en server så tæt på brugeren som muligt. Det virker dog kun så længe man bruger en DNS server i nærheden af hvor man befinder sig.

Bruger man en DNS server i USA, så bliver man også sendt til en webserver i USA. Så får man et par roundtrip mere før man begynder at modtage en webside. Og hvis siden indeholder andre resurser som f.eks. billeder eller javascript, så skal der et eller to roundtrip mere til.

Fire roundtrip til USA tager så lang tid at brugeren nemt kan mærke at det går langsomt.

Hvis man vil have hurtige svar på sin netforbindelse, så skal man bruge en DNS server indenfor en radius af ca. 1000 km fra hvor man befinder sig.

Hvis man vil lave en DNS service til brugere fra hele verdenen, så sætter man 2-3 anycast IP adresser op med replika i alle de verdensdele hvor man har brugere.

Dette billede skulle vel snildt forklare hvor OpenDNS har deres servere
http://www.opendns.com/images/map-large.jpg

#20 Oh jah, havde bare læst et andet sted at OpenDNS var tvunget til ifølge Amerikansk lov at logge alle data og dele den med NSA (Eller hvem der nu styrer sådan noget i USA)..

Men kan godt være det bare er noget bs. Efter jeg havde skrevet min besked kunne jeg også godt se det ikke gav meget mening at de skulle have deres servere i USA, har da ikke selv haft nogen latency problemer med OpenDNS.

nu spiller det igen.

#22 oplever du ikke blokeringen længere?

johnny_newz (23) skrev:

#22 oplever du ikke blokeringen længere?

Ingen problemer

bjoeg (20) skrev:

Dette billede skulle vel snildt forklare hvor OpenDNS har deres servere
http://www.opendns.com/images/map-large.jpg

Sådan et billede burde jo have haft forskellige farver til at indikere hvilken anycast pulje serveren i hver PoP tilhører. Men OpenDNS har tilsyneladende ikke engang prøvet at undgå at have servere fra begge puljer i samme PoP.

Hvis jeg kører en traceroute til hver af de to IP adresser får jeg stort set identiske ruter (eneste afvigelse er hvor ruterne tager hvert deres link i en bundle).

Næstsidste hop er 77.67.66.70 i begge tilfælde. Og tredjesidste hop viser to forskellige IP adresser der dog har DNS navne der antyder at det er to forskellige links på samme router placeret i Amsterdam.

Måske har OpenDNS valgt at lade hver anycast pulje have et replika i hver PoP. Det tror jeg er skidt for pålideligheden af deres service.

En anycast pulje kan være en udmærket løsning til en basal load-balancing, og det kan også være udmærket til at reducere latens for brugerne. Men det giver ikke på magisk vis beskyttelse imod nedbrud. Der er ingen garanti for at en server bliver fjernet fra puljen i tilfælde at den ikke længere virker. Derfor kan man som bruger stadig opleve at serveren er nede såfremt det ene replika man bliver routet til ikke fungerer. Sådan vil det være, selv hvis der er andre replika som stadigvæk virker.

DNS har redundans ved at klienten selv kan afprøve 2-3 forskellige DNS servere. Men hvis man brugte OpenDNS til begge ville man bruge to servere i samme PoP. En netværksfejl som forhindrer serverne i Amsterdam i at slå et navn op ville påvirke dem begge.

I stedet kunne de f.eks. have haft tre forskellige anycast puljer og ladet Amsterdam og Frankfurt indgå i pulje 1, Amsterdam og London i pulje 2 og Frankfurt og London i pulje 3. Hvis en af de tre PoPs bliver sat ud af spillet men stadigvæk modtager forespørgsler, så vil der stadig være en IP tilbage som ikke bliver routet til den fejlbehæftede PoP. Dermed vil jeg stadigvæk kunne få svar på forespørgsler.

Selvom de to IP adresser begge bliver routet til Amsterdam bliver de i det mindste ikke routet til samme DNS server. Ved at observere TTL på svar kan man konstatere, at det er to forskellige caches. Og forespørgsler fra de to DNS resolvere til autoritative servere bruger to forskellige IP adresser, som dog ligger i samme segment. Så det tyder på at det kun er et netsegment der skal sættes ud af drift for at begge resolvere falder ud.

For at finde servernes unicast adresser brugte jeg mydnsv6.kasperd.net som fortæller mig DNS serverens IPv6 unicast adresse. (Jeg har ikke IP adresser nok til at køre en tilsvarende service til IPv4). Og jeg så adresserne 2620:0:cc4::13 og 2620:0:cc4::11.

Er Amsterdam, Frankfurt og London forresten de tre største kundepunkter i Europa, eller er Stokholm en af de tre største?

johnny_newz (23) skrev:

#22 oplever du ikke blokeringen længere?

Nej.

Har fået svar fra OpenDNS og de siger de ikke blokerer for newz.dk eller andre af vores sider.

OpenDNS skrev:

Hello Karsten,

At this time, we are not blocking the domains railgun.dk, macnation.dk, raid.dk or newz.dk for any security reasons; you may review the tags for the domains here:
http://domain.opendns.com/railgun.dk
http://domain.opendns.com/macnation.dk
http://domain.opendns.com/raid.dk
http://domain.opendns.com/newz.dk

If users are reporting that they're being blocked from accessing those domains then please have them open a support ticket with us, like you have: http://www.opendns.com/support/

Tyler Wood
Customer Support
OpenDNS, Inc

Det tyder så også på at folk ikke har problemet mere, men er næsten for stor en tilfældighed at det virker igen efter de fik en ticket på det, så mon ikke de har pillet i et eller andet alligevel?

Net_Srak (27) skrev:

Det tyder så også på at folk ikke har problemet mere, men er næsten for stor en tilfældighed at det virker igen efter de fik en ticket på det, så mon ikke de har pillet i et eller andet alligevel?

Vi har alle sammen set syner. Der har i virkeligheden aldrig været en blokering.

Det kan også være at en person har udbedret problemet, og en anden person har besvaret din ticket, men glemte at kigge efter hvilke kendte problemer der havde været da den blev åbnet.

Det kan også være at de bare ikke vil stå ved at der har været et problem. Nogle virksomheder benægter eksistensen af problemer selvom enhver med bare lidt teknisk indsigt kan se at problemet er der.