MoinQ:

1. watchA/cloudflare/乗取/konnor

乗取でないとしても、cloudflareが保護目的で設定したかは疑問だ。

1.1. ドメイン名

activeになっていて、NSがkonnor+zariyahを指しているドメインを52こ検出した。

その後、70件まで増やした。

このことからも、乗取あるいはcloudflareによる防衛措置かと考える。

正常な委譲でkonnor, zariyah をそれぞれ指定するものは非常に少ない。(組はゼロだ。)

coinbing.com.           86400   IN      NS      konnor.ns.cloudflare.com.
coinbing.com.           86400   IN      NS      zariyah.ns.cloudflare.com.

/dietsufi.com whoisが最近更新されている。更新内容からは乗取を推測する。


同一人が登録しているドメイン群とは思えない。(konnor+zariyah が割当られたアカウント)

cloudflare側が勝手に移動しているということもあるかも。-- ToshinoriMaeno 2020-03-16 08:26:40

/creditcardpartnerships.com /bollywoodrazzie.com

ゾーンの更新(SOA serial)は以下の期間(10分間)に集中している。(今年の1月1日 0時は 2032938432 あたり)

この間になにが起きたのか。(これ以前の設定が分からない)

/boiler-country.com /bodybyivy.com /cnnewslink.com /capitandando.com /carmilea.com /chinawithoutborders.com /daemonleeschmidt.com /galaupoker.com

bertrandk.com
bodybyivy.com
boiler-country.com
bolamerah.com
brandsdatabase.com
bumiraja.com
bungkuss.com
butikko.com
caixun888.com
capitandando.com
carikurir.com
carmilea.com
carswatcher.com
carvinwedding2015.com
cemipekci.com
ceptelefonuteknikserviskayseri.com
checkinsights.com
chezmarina.com
chibiavillage.com
chinawithoutborders.com
church4ever.com
cimaplay.com
cnnewslink.com
coinbing.com
commoditiplex.com
commonwealthmortgages.com
creepersmacker.com
cremadulce.com
crescentbeachvilla.com

...