<div dir="ltr"><br><div>Very Interesting and funny. Didn't notice this earlier.</div><div><br></div><div>-sumon</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jan 30, 2015 at 2:41 PM, Brian Candler <span dir="ltr"><<a href="mailto:brian@nsrc.org" target="_blank">brian@nsrc.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 29/01/2015 16:07, Fakrul Alam wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
seems to be Ghost bug. it's only returning these kind of output for high<br>
profile domain like <a href="http://yahoo.com" target="_blank">yahoo.com</a>, <a href="http://google.com" target="_blank">google.com</a>, <a href="http://gmail.com" target="_blank">gmail.com</a>. for others seems<br>
ok.<br>
</blockquote></span>
No, it's nothing to do with Ghost (*)<br>
<br>
The whois database stores records for domains (e.g. <a href="http://cnn.com" target="_blank">cnn.com</a>) and also nameservers which those domains are delegated to (e.g. <a href="http://ns1.timewarner.net" target="_blank">ns1.timewarner.net</a>)<br>
<br>
So juvenile people have realised that if they create any domain, and delegate it to a nameserver called e.g.<br>
"<a href="http://microsoft.com.sucks.mydomain.com" target="_blank">microsoft.com.sucks.mydomain.<u></u>com</a>"<br>
then anyone who does a whois query for <a href="http://microsoft.com" target="_blank">microsoft.com</a> will also see their nameserver listed. Very funny.<br>
<br>
Regards,<br>
<br>
Brian.<br>
<br>
(*) Ghost is a bug which:<br>
(1) Involves a client doing name to IP resolution. Note that a whois query does *not* do any resolution, since it's not a DNS query; it's a query of the registry's database using the whois protocol.<br>
(2) The client uses the gethostbyname() call to do this resolution<br>
(3) The name to be resolved is supplied by the attacker, e.g. as part of the HELO/EHLO in a SMTP connection<br>
(4) The name is specially crafted to overflow a buffer<div class="HOEnZb"><div class="h5"><br>
<br>
______________________________<u></u>_________________<br>
nog mailing list<br>
<a href="mailto:nog@bdnog.org" target="_blank">nog@bdnog.org</a><br>
<a href="http://mailman.bdnog.org/mailman/listinfo/nog" target="_blank">http://mailman.bdnog.org/<u></u>mailman/listinfo/nog</a><br>
</div></div></blockquote></div><br></div>