Nom de domaine considéré comme trompeur?

Informatique Réseau
1

Hello la team,

Voilà je cherche à savoir pourquoi le nom de domaine que j’ai mis en place chez mon voisin est tjrs considéré comme site malveillant, peu importe ce que je j’utilise comme nom.

J’utilise pourtant la même configuration chez moi et chez ma belle mère cependant il n’y a que chez lui que le problème existe…

La config sans rentrer dans le détails :

  • nom de domaine duckdns
  • mise à jour de l’ip via l’Addon duck-dns de HA
  • redirection du port 443 et 80 vers un reverse proxy local
  • reverse proxy Nginx Proxy Manager (add-on HA)
  • certificat wildcard => *.MyDomain.duckdns.org
  • redirection avec un force SSL du certificat wildcard vers l’ip local => 192.168.1.91:8123

Voilà le message :

2

Salut.

Je vois un truc ha.xxxx.duckdns.org
Donc 2 niveaux de sous domaine.
Essaye ha-xxxx.duckdns.org
À mon avis le souci concerne xxxx.duckdns.org qui n’est pas le lien de ton voisin

3

Salut @Pulpy-Luke,

Désolé je n’ai pas compris ton message.

En fait mon voisin a son propre nom de domaine duckdns avec son propre compte duckdns lui même créé à partir de son propre compte github. Il n’y a d’ailleur qu’un nom de domaine sur son compte duckdns, le sien. L’adresse xxx.duckdns.org pointe bien sur son IP.

Hormis le message d’alerte cela fonctionne mais je ne comprend pas l’origine du problème. Surtout que ça fonctionne parfaitement au début sans message d’erreur puis l’alerte fini par arriver, cela peut mettre 1h comme parfois plusieurs jours.

En fait j’aimerai comprendre sur quoi le navigateur Web se base pour afficher ce message, ça m’aiderai à comprendre l’origine du problème.

Pour infos j’ai mis en place un wildcard pour gérer la redirection vers plusieurs équipement chez lui à terme. Pour le moment au vu du message, j’ai tout viré pour ne laisser que home assistant.

4

Alors c’est pas toi ou le navigateur qui décide si c’est un site malveillant mais c’est une infos gérer généralement par les antivirus et autres éléments de la sécurité.
Tu ne peux pas rien y faire et ce n’est pas ta configuration qui est en cause

Supposons que le pc de ton voisin est infecté par un virus qui envoi du spam. Les mails envoyés contiennent les infos sur l’expéditeur. Les utilisateurs classent les mails reçus dans la catégorie spam. Ce même classement remontent de plusieurs utilisateurs, donc l’information est valide pour les éditeurs de logiciels de sécurité. Comme une copie du spam est généralement transmise, l’ip de l’expéditeur y étant contenue, c’est suffisant pour tagger le domaine (associé à l’ip) comme malveillant…
C’est un exemple très résumé parmi d’autres.

Par ailleurs je te parle domaine duckdns.org et le sous domaine xxxxx. duckdns.org. A chaque point, on descends d’un niveau. Dans l’ URL que tu affiche il y 2 niveaux de sous domaine ha (point) xxxxx. duckdns.org
Ce que je dit c’est que c’est le domaine xxxxx. duckdns.org qui est probablement concerné (et tous les sous niveaux additionnels)
En changeant de domaine (tiret) à la place du (point) tu as peut-être une chance de ne pas être rattaché au sous domaine malveillant.

1 « J'aime »
5

Merci pour l’explication même si cela ne m’arrange pas.

En fait cela fait 3 fois que je change son nom de domaine, cela resoud le soucis temporairement à chaque fois mais ça commence à me :face_with_symbols_over_mouth:

Du coup tu me conseilles de virer le wilcard pour avoir directement :

C’est ça ?

6

C’est l’idée oui.
Mais si le changement de domaine a déjà été tenté aaaa/bbbb/cccc c’est probablement mort aussi.
Ça veut dire qu’il faut trouver la cause du déclenchement (spam ou autre) et la corriger

1 « J'aime »
7

Oula j’ai jamais fait ça, il va me falloir de l’aide…

8

Salut @Neuvidor,

Tu peux tester son ip ou le domaine (selon le site) ici :

Et pour finir sur :

Les 2 premiers tu pourras voir si des activités suspectes ou du spam ont été reporté/détecté, et sur le dernier c’est plus large (ports ouverts, techno accessible, cve, etc…).

Il en existe d’autres, mais ça te donnera déjà une idée.

1 « J'aime »
9

Salut @herbs,

Merci je ne connaissais pas, néanmoins le résultat est négatif.

Je connais depuis peu (2 semaines), c’est d’ailleurs hallucinant le nombre de personne qui ne protège pas leur installation DOMOTICZ.

10

Hello,

Une connaissance m’a indiqué que le domaine de mon voisin en http et https est effectivement détecté comme frauduleux (idée de départ de @Pulpy-Luke) sur le site suivant :

Du coup voilà les résultats :

Je vais essayer de virer la page par défaut de Nginx Proxy Manager qui est actuellement défini en « congratulation » via le menu dédié :

11

Tu confirme bien que a / b / c c’est chaque fois un combo différent ?

12

Exemple :

13

OK, donc on ne peut pas envisager que quelqu’un d’autre utilise lucie23457.duckdns.org et que
ha.lucie23457.duckdns.org , donc ton voisin soit pénalisé du fait de la dépendance des domaines/sous domaines. Et ça à chaque changement

Bref, il y a un truc pas net qui fonctionne chez ton voisin à son insu…
Vérification des antivirus (efficace) et des mises à jours etc … à faire

14

Hello,

Juste pour tenir informé, le problème provenait du fait que j’exposais sur le net mon reverse proxy « nginx-proxy manager » pour gérer la config de mon voisin. Cela était bien sûr temporaire mais visiblement il ne faut vraiment pas le faire.

En tous cas depuis que le reverse proxy n’est plus exposé sur internet, plus de soucis, cela fait maintenant quasiment 2 mois.

L’avantage du fait que je dois internir sur place, c’est que cela me permet de me faire payer une bière. :beers:

En tous cas merci @Pulpy-Luke et @Herbs pour votre contribution💪

Voilou, Voilou !