site WEB pas site Internet!
euh, en l'occurrence, si. C'est pas juste les pages web, c'est tout le dns qui s'est fait poutrer chez le registrar, et les NS pointaient vers ceux des attaquants, qui redirigeaient donc également le mail avec un MX fourbe.
$ whois canalplus.fr | grep nserv
nserver: ns1.cluster03brasil.com
nserver: ns2.cluster03brasil.com
dig du soir de l'attaque :
$ dig canalplus.fr @ns2.cluster03brasil.com ANY
; <<>> DiG 9.9.5-12.1-Debian <<>> canalplus.fr @ns2.cluster03brasil.com ANY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45252
;; flags: qr aa rd; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 4
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;canalplus.fr. IN ANY
;; ANSWER SECTION:
canalplus.fr. 14400 IN TXT "v=spf1 +a +mx +ip4:189.112.170.160 +ip4:189.112.170.161 +ip4:189.112.170.162 +ip4:189.112.170.163 +ip4:189.112.170.164 +ip4:189.112.170.165 ~all"
canalplus.fr. 14400 IN MX 0 canalplus.fr.
canalplus.fr. 86400 IN SOA ns1.cluster03brasil.com. paulosampserv.gmail.com. 2016031402 86400 7200 3600000 86400
canalplus.fr. 86400 IN NS ns2.cluster03brasil.com.
canalplus.fr. 86400 IN NS ns1.cluster03brasil.com.
canalplus.fr. 14400 IN A 189.112.170.160
;; ADDITIONAL SECTION:
canalplus.fr. 14400 IN A 189.112.170.160
ns1.cluster03brasil.com. 14400 IN A 189.112.170.161
ns2.cluster03brasil.com. 14400 IN A 189.112.170.162
;; Query time: 259 msec
;; SERVER: 189.112.170.162#53(189.112.170.162)
;; WHEN: Mon Mar 14 21:44:09 CET 2016
;; MSG SIZE rcvd: 389
C'est assez con, parce que même si le nom du registrar fait sourire ("SAFEBRANDS"...), le setup dns mis en place était pas idiot, avec 3 NS dans 3 ASes différents et des A/AAAA/ptr dans 3 tld différents :
$ dig canalplus.fr @a.ns.mailclub.fr. ANY
; <<>> DiG 9.9.5-12.1-Debian <<>> canalplus.fr @a.ns.mailclub.fr. ANY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11200
;; flags: qr aa rd; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 7
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;canalplus.fr. IN ANY
;; ANSWER SECTION:
canalplus.fr. 33200 IN SOA master.ns.mailclub.fr. domaines.mailclub.fr. 2013013256 28800 14400 3600000 33200
canalplus.fr. 33200 IN NS c.ns.mailclub.com.
canalplus.fr. 33200 IN NS a.ns.mailclub.fr.
canalplus.fr. 33200 IN NS b.ns.mailclub.eu.
canalplus.fr. 900 IN A 194.4.244.50
canalplus.fr. 900 IN MX 10 antispam.jet-hmc.com.
;; ADDITIONAL SECTION:
a.ns.mailclub.fr. 300 IN A 195.64.164.8
a.ns.mailclub.fr. 300 IN AAAA 2a03:1780:1:12:a::8
b.ns.mailclub.eu. 600 IN A 85.31.196.158
b.ns.mailclub.eu. 600 IN AAAA 2a01:240:101::158
c.ns.mailclub.com. 300 IN A 87.255.159.64
c.ns.mailclub.com. 300 IN AAAA 2001:470:1f13:aee:a::92
;; Query time: 27 msec
;; SERVER: 2a03:1780:1:12:a::8#53(2a03:1780:1:12:a::8)
;; WHEN: Mon Mar 14 22:24:24 CET 2016
;; MSG SIZE rcvd: 363