Приветствую! Сразу предупреждаю, что переход по доменам вы осуществляете на свой страх и риск, т.к. я не понимаю для чего эти домены нужны! Я случайно наткнулся на огромное количество доменов, которые состоят из случайного набора символов и имеют практически один и тот же IP адрес. У всех у них Name Servers *.sinkhole.shadowserver.org. Я подозреваю, что это зараженные сайты. Но почему они тогда работают. Почему их не заблокировали? Они отдают файл с расширением *.dms. Что это за формат?
ammmrbtwnewgtwvvb(dot)org
amnhlkvipghqsvfax(dot)org
amnqerueuphgrcdaj(dot)org
amoeinkflobcuoiyv(dot)org
amohvpowbmbttoosh(dot)org
amooiceeajhwyfiaa(dot)org
ampatqbdefycmmmoy(dot)org
ampnrqpxlgtsysuam(dot)org
Я бы не задавал бы этот вопрос, если бы не обнаружил, что после того, как я переходил по этим доменам IP моего сервера занесли в SpamHaus eXploits Blocklist (XBL). Сначала я подумал, что меня взломали, проверил через rkhunter, но потом понял, что в базу заносят просто если переходить по этим непонятным доменам. Там так и написано
MyIP initiated a tcp connection from MyIP using source port , to the sinkhole IP address BadIP on destination port 80.
где BadIP как раз IP доменов выше.
Непонятно, если домен/сайт заражен, но его должны были заблокировать, зачем отдавать при этом непонятный dms файл, и главное почему при переходе по этим доменам легко попасть в SpamHaus? Сейчас думаю как средствами линукса определять Name Servers домена, чтобы автоматически не переходить по ним, без использования whois. nslookup такое умеет?
