Un indirizzo IP può essere impostato in DNS per risolversi in qualsiasi nome host, da chiunque abbia il controllo di quell'indirizzo IP.
Ad esempio, se ho il controllo del netblock 203.0.113.128/28, allora posso impostare 203.0.113.130 per la risoluzione inversa a presidential-desktop.oval-office.whitehouse.gov
. Non ho bisogno del controllo di whitehouse.gov
per farlo, anche se può aiutare in alcune situazioni (in particolare, con qualsiasi software che controlla per assicurarsi che la risoluzione inversa e in avanti corrisponda ). Ciò non significherebbe che il presidente degli Stati Uniti ha effettuato l'accesso al tuo VPS.
Se qualcuno ha accesso al tuo sistema, può modificare la configurazione del resolver che gli consentirà effettivamente di risolvere qualsiasi nome in qualsiasi indirizzo IP o qualsiasi indirizzo IP in qualsiasi nome. (Se hanno quel livello di accesso, possono anche causare ogni tipo di altro caos con il tuo sistema.)
A meno che e fino a quando non verifichi che l'indirizzo IP utilizzato per accedere sia effettivamente registrato presso l'FBI, non preoccuparti che il nome host sia uno sotto fbi.gov
. Quella mappatura dei nomi potrebbe benissimo essere falsa. Preoccupati invece che ci sia stato un accesso riuscito al tuo account che non puoi spiegare, da un indirizzo IP che non riconosci.
È probabile che se l'FBI volesse i dati sul tuo VPS, userebbe un approccio un po' meno ovvio per ottenerlo.
Dovresti preoccuparti, ma non del nome host fbi.gov.
Vai a leggere Come gestisco un server compromesso? su Server Fault, e come spieghi la necessità di "scaricarlo dall'orbita" alla direzione e agli utenti? qui sulla sicurezza delle informazioni. Davvero, fallo. Fallo ora; non rimandare.
Penso che DEVI preoccuparti se qualcuno ha accesso non autorizzato al tuo server. Come altri hanno già detto, non c'è molto lavoro per falsificare il nome host DNS inverso. Forse vogliono farti credere che va bene per un ente governativo avere accesso al tuo server in modo che tu non indaghi più sull'incidente.
È necessario eseguire il backup di tutti i registri del server per un'analisi successiva e preferibilmente ricostruire il server per eliminare eventuali rischi che un server compromesso potrebbe causare. Successivamente (con l'aiuto di un esperto) dovresti configurare il server con le migliori pratiche e precauzioni di sicurezza.
Quindi dovresti preoccuparti se è stato l'FBI, o va bene se è stato solo un hacker occasionale? Dai registri, qualcuno ha effettuato correttamente l'accesso a un host che controlli. Dovrebbe essere considerato compromesso indipendentemente da chi fosse. Rottamalo e ricostruiscilo.
Tieni inoltre presente che una voce DNS inversa può essere creata da chiunque abbia il controllo di un blocco IP specifico. Non ha bisogno di risolversi in qualcosa che controllano, cioè, se controllo un blocco IP posso creare una voce inversa a chi scelgo. Le voci inversa e in avanti non devono corrispondere e spesso sono mantenute da persone diverse.