<div dir="ltr">OK - I looked out a bit. <div><br></div><div><br></div><div>It seems to be a known backdoor in Microtik. Likely event hotel is running a Microtik which has this backdoor. </div><div><br></div><div><br></div><div><a href="http://www.r00t.cz/Misc/MikrotikBackdoor" target="_blank">http://www.r00t.cz/Misc/MikrotikBackdoor</a></div><div><br></div><div><br></div><div><br></div><div>This results in behavior where NXDOMAIN instead of giving NXDOMAIN, gives NOERROR and a A record towards 218.93.250.18. </div><div><br></div><div><br></div><div>Do we have IT folks from event hotel on mailing list? :) </div><div><br></div><div><br></div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 11, 2015 at 7:33 PM, Anurag Bhatia <span dir="ltr"><<a href="mailto:me@anuragbhatia.com" target="_blank">me@anuragbhatia.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Noticed weird NXDOMAIN issue at bdNOG4 event place in Sreemongal. </div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div>My system’s DNS servers: </div><div><br></div><div><b>nameserver 8.8.8.8</b></div><div><b>nameserver 220.247.160.5</b></div><div><b>nameserver 119.18.150.2</b></div><div><br></div><div><br></div><div><br></div><div><br></div><div><font size="1" face="monospace, monospace">dig asdfadffwedfqwefdweqdf.sdasdasd a</font></div><div><font size="1" face="monospace, monospace"><br></font></div><div><font size="1" face="monospace, monospace">; <<>> DiG 9.8.3-P1 <<>> asdfadffwedfqwefdweqdf.sdasdasd a</font></div><div><font size="1" face="monospace, monospace">;; global options: +cmd</font></div><div><font size="1" face="monospace, monospace">;; Got answer:</font></div><div><font size="1" face="monospace, monospace">;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24775</font></div><div><font size="1" face="monospace, monospace">;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0</font></div><div><font size="1" face="monospace, monospace"><br></font></div><div><font size="1" face="monospace, monospace">;; QUESTION SECTION:</font></div><div><font size="1" face="monospace, monospace">;asdfadffwedfqwefdweqdf.sdasdasd. IN<span style="white-space:pre-wrap">     </span>A</font></div><div><font size="1" face="monospace, monospace"><br></font></div><div><font size="1" face="monospace, monospace">;; ANSWER SECTION:</font></div><div><font size="1" face="monospace, monospace">asdfadffwedfqwefdweqdf.sdasdasd. 60 IN<span style="white-space:pre-wrap">  </span>A<span style="white-space:pre-wrap">       </span>218.93.250.18</font></div><div><font size="1" face="monospace, monospace"><br></font></div><div><font size="1" face="monospace, monospace">;; Query time: 147 msec</font></div><div><font size="1" face="monospace, monospace">;; SERVER: 8.8.8.8#53(8.8.8.8)</font></div><div><font size="1" face="monospace, monospace">;; WHEN: Wed Nov 11 19:26:41 2015</font></div><div><font size="1" face="monospace, monospace">;; MSG SIZE  rcvd: 65</font></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div>218.93.250.18 belongs to AS4134. </div><div><br></div><div><br></div><div><br></div><div>Overall it seems like all NXDOMAIN queries are being hijacked no matter whatever DNS server I send query to. </div><div><br></div><div><font size="1" face="monospace, monospace"><br></font></div><div><font size="1" face="monospace, monospace">dig @<a href="http://208.67.222.222" target="_blank">208.67.222.222</a> asddwedqwdqwd.qwdqwdqwd</font></div><div><font size="1" face="monospace, monospace"><br></font></div><div><font size="1" face="monospace, monospace">; <<>> DiG 9.8.3-P1 <<>> @<a href="http://208.67.222.222" target="_blank">208.67.222.222</a> asddwedqwdqwd.qwdqwdqwd</font></div><div><font size="1" face="monospace, monospace">; (1 server found)</font></div><div><font size="1" face="monospace, monospace">;; global options: +cmd</font></div><div><font size="1" face="monospace, monospace">;; Got answer:</font></div><div><font size="1" face="monospace, monospace">;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60497</font></div><div><font size="1" face="monospace, monospace">;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0</font></div><div><font size="1" face="monospace, monospace"><br></font></div><div><font size="1" face="monospace, monospace">;; QUESTION SECTION:</font></div><div><font size="1" face="monospace, monospace">;asddwedqwdqwd.qwdqwdqwd.<span style="white-space:pre-wrap">       </span>IN<span style="white-space:pre-wrap">      </span>A</font></div><div><font size="1" face="monospace, monospace"><br></font></div><div><font size="1" face="monospace, monospace">;; ANSWER SECTION:</font></div><div><font size="1" face="monospace, monospace">asddwedqwdqwd.qwdqwdqwd. 60<span style="white-space:pre-wrap">     </span>IN<span style="white-space:pre-wrap">      </span>A<span style="white-space:pre-wrap">       </span>218.93.250.18</font></div><div><font size="1" face="monospace, monospace"><br></font></div><div><font size="1" face="monospace, monospace">;; Query time: 489 msec</font></div><div><font size="1" face="monospace, monospace">;; SERVER: 208.67.222.222#53(208.67.222.222)</font></div><div><font size="1" face="monospace, monospace">;; WHEN: Wed Nov 11 19:27:54 2015</font></div><div><font size="1" face="monospace, monospace">;; MSG SIZE  rcvd: 57 </font></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div>Thanks. </div><span><font color="#888888"><div><br></div><div><br></div><div><br></div><div><br></div>-- <br><div><div dir="ltr"><div><div dir="ltr"><div><font face="arial, helvetica, sans-serif"><br></font></div><div><br></div><font face="arial, helvetica, sans-serif">Anurag Bhatia<br></font><div></div><div><font face="arial, helvetica, sans-serif"><a href="http://anuragbhatia.com" target="_blank">anuragbhatia.com</a></font><div><br></div></div><div><font face="arial, helvetica, sans-serif"><a><br></a></font></div><div>PGP Key Fingerprint: 3115 677D 2E94 B696 651B 870C C06D D524 245E 58E2</div></div></div></div></div>
</font></span></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div><div dir="ltr"><div><font face="arial, helvetica, sans-serif"><br></font></div><div><br></div><font face="arial, helvetica, sans-serif">Anurag Bhatia<br></font><div></div><div><font face="arial, helvetica, sans-serif"><a href="http://anuragbhatia.com" target="_blank">anuragbhatia.com</a></font><div><br></div></div><div><font face="arial, helvetica, sans-serif"><a><br></a></font></div><div>PGP Key Fingerprint: 3115 677D 2E94 B696 651B 870C C06D D524 245E 58E2</div></div></div></div></div>
</div></div>