Eine IP-Adresse kann im DNS so eingerichtet werden, dass sie von jedem Hostnamen aufgelöst wird, der die Kontrolle über diese IP-Adresse hat.
Wenn ich zum Beispiel den Netzblock 203.0.113.128/28 kontrolliere, dann kann ich 203.0.113.130 so einrichten, dass es zu presidential-desktop.oval-office.whitehouse.gov umgekehrt aufgelöst wird . Ich brauche keine Kontrolle über whitehouse.gov tun, obwohl es in manchen Situationen hilfreich sein kann (insbesondere bei jeder Software, die überprüft, ob Rückwärts- und Vorwärtsauflösung übereinstimmen ). Das würde nicht bedeuten, dass sich der Präsident der Vereinigten Staaten bei Ihrem VPS angemeldet hat.
Wenn jemand Zugriff auf Ihr System hat, kann er die Resolver-Konfiguration ändern, wodurch er effektiv jeden Namen in jede IP-Adresse oder jede IP-Adresse in jeden Namen auflösen kann. (Wenn sie diese Zugriffsebene haben, können sie auch alle möglichen anderen Verwüstungen mit Ihrem System anrichten.)
Solange Sie nicht verifiziert haben, dass die IP-Adresse, die zur Anmeldung verwendet wurde, tatsächlich beim FBI registriert ist, machen Sie sich keine Sorgen darüber, dass der Hostname einer unter fbi.gov ist . Diese Namenszuordnung kann sehr gut gefälscht sein. Machen Sie sich stattdessen Sorgen, dass es eine erfolgreiche Anmeldung bei Ihrem Konto gab, die Sie sich nicht erklären können, von einer IP-Adresse, die Sie nicht kennen.
Die Chancen stehen gut, dass das FBI, wenn es die Daten auf Ihrem VPS haben wollte, einen etwas weniger offensichtlichen Ansatz verwenden würde um es zu bekommen.
Sie sollten sich Sorgen machen, aber nicht über den fbi.gov-Hostnamen.
Weiterlesen Wie gehe ich mit einem kompromittierten Server um? on Server Fault, und Wie erklären Sie dem Management und den Benutzern die Notwendigkeit, es aus dem Orbit zu nukleieren? hier zum Thema Informationssicherheit. Wirklich, tun Sie es. Mach es jetzt; schiebe es nicht auf.
Ich denke, Sie MÜSSEN besorgt sein, wenn jemand unbefugten Zugriff auf Ihren Server hat. Wie andere bereits erwähnt haben, gibt es nicht viel Arbeit, um den Reverse-DNS-Hostnamen zu fälschen. Vielleicht möchten sie, dass Sie glauben, dass es für eine Regierungsbehörde in Ordnung ist, Zugriff auf Ihren Server zu haben, damit Sie den Vorfall nicht weiter untersuchen.
Sie sollten alle Ihre Serverprotokolle zur späteren Analyse sichern und Ihren Server vorzugsweise neu erstellen, um alle Risiken zu beseitigen, die ein kompromittierter Server verursachen könnte. Danach sollten Sie (mit Hilfe eines Experten) den Server mit bewährten Sicherheitsverfahren und Vorsichtsmaßnahmen einrichten.
Sollten Sie sich also Sorgen machen, ob es das FBI war, oder ist es in Ordnung, wenn es nur ein gelegentlicher Hacker war? Aus den Protokollen geht hervor, dass sich jemand erfolgreich bei einem von Ihnen kontrollierten Host angemeldet hat. Es sollte davon ausgegangen werden, dass es kompromittiert wurde, unabhängig davon, wer es war. Verschrotten und neu erstellen.
Denken Sie auch daran, dass ein Reverse-DNS-Eintrag von jedem erstellt werden kann, der die Kontrolle über einen bestimmten IP-Block hat. Es muss sich nicht auf etwas auflösen, das sie kontrollieren, dh wenn ich einen IP-Block kontrolliere, kann ich einen umgekehrten Eintrag für wen auch immer ich wähle erstellen. Reverse- und Forward-Einträge müssen nicht übereinstimmen und werden oft von verschiedenen Personen verwaltet.