none
Resolución de nombre extraña - infección? - RRS feed

 > 

  • Pregunta

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Question un tanto extraña. Ahí voy:

    He detectado que en muchas máquinas Windows (2003 Server, 2008 Server, Xp, Vista...), y de distintos dominios, empresas y lugares; cuando lanzo un ping a la dirección MAILFROM.COM, responde la IP local 127.0.0.1
    Necesitaría saber a qué se debe esto (pre-configuración de Windows (lo dudo), infección,...?), ya que me está causando muchos problemas en un servidor de correo que está usando de forma deliberada el protocolo SMTP para mandar mensajes a "error@mailfrom.com.

    Alguien más obtiene esta respuesta desde alguna máquina?
    También he leído que se podría tratar de un dominio malicioso (http://www.whois.net/whois/mailfrom.com), que tiene configurada como respuesta a ping's , la ip local. De ninguna otra manera tiene lógica, dado que en la máquina que responde a pings como localhost, no es un problema ni de archivo hosts, ni de DNS local o DNS de dominio...

    Gracias!

    lunes, 21 de febrero de 2011 8:33
    |

Respuestas

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Puedes, por favor, explicar cuál era el error y su solución para marcarla correctamente?

    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCC: Microsoft Community Contributor 2011
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card

    Y tanto.

      Si os fijáis en el registro de "whois" (http://www.whois.net/whois/mailfrom.com), vereis que está registrado a nombre de un tal "zan@izombie.com". Eso ya de por si, es sospechoso.

    Bien, pues estuve hablando con un técnico en rusia, que me comentó que allí también habían notado ese problema en alguna máquina. Entonces, por alguna razón, en varias máquinas, si se lanza un ping a "mailfrom.com", responde con la ip de localhost (127.0.0.1).

    Cuando lanzo un ping desde mi máquina, me responde de esa forma. Mi archivo hosts no tiene esa entrada. Tengo solamente un servidor DNS configurado (DC del dominio). Me conecto al servidor, no tiene la entrada en el archivo hosts. Reviso la configuración de DNS, y no tiene ninguna entrada de Tipo A con ese nombre. Los reenviadores están configurados con la IP del proveedor. Ahí ya no puedo mirar nada, lógicamente.

    Total, la traducción de "mailfrom.com" a 127.0.0.1, es un misterio. Absoluto.

    Eso sí, la solución, pasó por re-confgurar el servidor de correo (Notes Domino), 1 - diciéndole en el fichero hosts que "mailfrom.com" no era la Ip local, y 2 - re-configurarlo para que no aceptara ningún tipo de comunicación con "mailfrom.com" (dentro de Notes Domino)

    Con esto quiero decir que, si alguien se encuentra en este caso; si es un ordenador personal, no pasa nada. Si el problema se detecta en un servidor, la única solución pasa por modificar el archivo hosts y hacer otras modificaciones si son necesarias (Exchange, DNS, etc...).

    miércoles, 16 de noviembre de 2011 17:09
    |

Todas las respuestas

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Hola, J_D_R:

    El problema que señalas tiene su fuente al menos, en la configuración DNS de tu máquina. Si estamos hablando de un dominio corporativo, deberías tener configurado como servidores DNS tanto en el/los servidor/es como en los clientes únicamente los DNS's de tu red, no los ISP's externos, ni mucho menos la dirección reservada 127.0.0.1, ya que se representa a sí mismo y te provoca el error que señalas.

    En definitiva, que NO es un virus. Comprueba la configuración DNS de cada estación de trabajo (será mucho más fácil si todos responden a un DHCP, ya que bastará con definir las opciones del servidor), y ten en cuenta y las que pertenecen a diferentes dominios tienen una configuración válida, ya que para facilitarte la vida, sería interesante que pensaras en la opción de establecer protocolos de confianza entre los dominios, para establecerte los ámbitos de cada DHCP entre los dominios..

     

    · · Espero haberte servido de ayuda · Un saludo
    lunes, 9 de mayo de 2011 11:46
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Perdona que responda tanto tiempo después.

    Discrepo de tu respuesta, dado que no se trataba de un problema de DNS local de una máquina. Si te fijas, marqué en negrita que me daba el error al lanzar ping "desde distintos dominios, empresas y lugares"

    Así que no diría tan en definitiva que NO era un virus...

    Bueno ya descubrí lo que era y te aseguro que poco tenía que ver con el DNS local de un equipo. 

    miércoles, 16 de noviembre de 2011 12:43
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Hola, J_D_R:

    Me alegro que hayas podido solventar la incidencia, pero sería de agradecer que las respuestas que incluyas sean meramente técnicas, ya que son una fuente de ayuda incalculable para futuros usuarios del foro que necesiten aplicarlas si se les presenta el mismo problema que a tí.

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE 2k3 certified | ITIL certified
    miércoles, 16 de noviembre de 2011 12:52
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Puedes, por favor, explicar cuál era el error y su solución para marcarla correctamente?

    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCC: Microsoft Community Contributor 2011
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card
    miércoles, 16 de noviembre de 2011 13:15
    |
    Moderador
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Puedes, por favor, explicar cuál era el error y su solución para marcarla correctamente?

    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCC: Microsoft Community Contributor 2011
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card

    Y tanto.

      Si os fijáis en el registro de "whois" (http://www.whois.net/whois/mailfrom.com), vereis que está registrado a nombre de un tal "zan@izombie.com". Eso ya de por si, es sospechoso.

    Bien, pues estuve hablando con un técnico en rusia, que me comentó que allí también habían notado ese problema en alguna máquina. Entonces, por alguna razón, en varias máquinas, si se lanza un ping a "mailfrom.com", responde con la ip de localhost (127.0.0.1).

    Cuando lanzo un ping desde mi máquina, me responde de esa forma. Mi archivo hosts no tiene esa entrada. Tengo solamente un servidor DNS configurado (DC del dominio). Me conecto al servidor, no tiene la entrada en el archivo hosts. Reviso la configuración de DNS, y no tiene ninguna entrada de Tipo A con ese nombre. Los reenviadores están configurados con la IP del proveedor. Ahí ya no puedo mirar nada, lógicamente.

    Total, la traducción de "mailfrom.com" a 127.0.0.1, es un misterio. Absoluto.

    Eso sí, la solución, pasó por re-confgurar el servidor de correo (Notes Domino), 1 - diciéndole en el fichero hosts que "mailfrom.com" no era la Ip local, y 2 - re-configurarlo para que no aceptara ningún tipo de comunicación con "mailfrom.com" (dentro de Notes Domino)

    Con esto quiero decir que, si alguien se encuentra en este caso; si es un ordenador personal, no pasa nada. Si el problema se detecta en un servidor, la única solución pasa por modificar el archivo hosts y hacer otras modificaciones si son necesarias (Exchange, DNS, etc...).

    miércoles, 16 de noviembre de 2011 17:09
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Por cierto, os dejo un nslookup, conectado a 8.8.8.8....... curioso, no?

    C:\Users\***>nslookup

    Servidor predeterminado:  ***.***.local

    Address:  192.168.106.7

     

    > server 8.8.8.8

    Servidor predeterminado:  google-public-dns-a.google.com

    Address:  8.8.8.8

     

    > set type=any

    > mailfrom.com

    Servidor:  google-public-dns-a.google.com

    Address:  8.8.8.8

     

    Respuesta no autoritativa:

    mailfrom.com

            primary name server = ns1.sedoparking.com

            responsible mail addr = hostmaster.sedo.de

            serial  = 2007021501

            refresh = 86400 (1 day)

            retry   = 10800 (3 hours)

            expire  = 604800 (7 days)

            default TTL = 86400 (1 day)

    mailfrom.com    internet address = 127.0.0.1

    mailfrom.com    nameserver = ns2.sedoparking.com

    mailfrom.com    nameserver = ns1.sedoparking.com

    >

    miércoles, 16 de noviembre de 2011 17:31
    |
  • Question
    Inicie sesión para votar
    2
    Inicie sesión para votar

    Hola, J_D_R:

    Si bien coincido en que no sea un problema directo del DNS, sí mantengo que hubieras podido resolver éste problema creandote un host con el nombre MAILFROM en una nueva zona directa COM de tu consola DNS del servidor centralizado (RUN => DNSMGMT.msc) asignando la IP correcta a la que quisieras que apuntara.. De normal no se suele realizar modificaciones en la configuración de los archivos HOST precisamente por mayor facilidad de gestión/administración en los DNS.

    En todo caso, es un detalle interesante y de agradecer conocer éste error específico tan curioso y sobre todo, otras soluciones que se le pueden aplicar.

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE 2k3 certified | ITIL certified
    miércoles, 16 de noviembre de 2011 17:48
    |