我在更新 Linux 时遇到问题。我收到了目标服务器 IP 未找到的 404 错误,这很奇怪。后来我发现 traceroute 经过了核心 backbone.rt.ru 节点。
这是否是可能的 BGP 劫持?
ru 域名现在看起来非常可疑,尤其是来自中欧的域名。
root@XXXXXXX:~# apt-get update
Hit:1 http://ftp.pl.debian.org/debian buster InRelease
Hit:2 http://ftp.pl.debian.org/debian buster-updates InRelease
Hit:3 http://security.debian.org buster/updates InRelease
Hit:4 https://deb.nodesource.com/node_12.x buster InRelease
Ign:5 http://apt.postgresql.org/pub/repos/apt buster-pgdg InRelease
Err:6 http://apt.postgresql.org/pub/repos/apt buster-pgdg Release
** 404 Not Found [IP: 217.196.149.55 80]**
Reading package lists... Done
E: The repository 'http://apt.postgresql.org/pub/repos/apt buster-pgdg Release' does not have a Release file.
N: Updating from such a repository can't be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.
root@XXXXXXX:~# ^C
root@XXXXXXX:~#
这是跟踪路由:
root@XXXXXXX:~# traceroute 217.196.149.55
traceroute to 217.196.149.55 (217.196.149.55), 30 hops max, 60 byte packets
1 * * *
2 XXXXXXXXXXXXXX 0.465 ms 0.438 ms
3 164.next4.zicom.pl (185.175.107.164) 6.748 ms 7.108 ms 7.089 ms
4 et-0-0-18-590.edge5.Warsaw1.Level3.net (213.249.126.109) 7.345 ms 7.777 ms 7.271 ms
5 ae2.3601.edge5.ber1.neo.colt.net (171.75.8.27) 15.454 ms 15.421 ms 15.572 ms
6 195.122.181.74 (195.122.181.74) 16.261 ms 16.202 ms 16.138 ms
7 ae6-2082.ams10.core-backbone.com (80.255.14.33) 27.831 ms 27.767 ms 27.473 ms
8 core-backbone.rt.ru (81.95.2.150) 26.598 ms 26.359 ms 26.919 ms
9 * * *
10 185.69.160.214 (185.69.160.214) 37.410 ms 37.011 ms 195.192.211.124 (195.192.211.124) 37.004 ms
11 fabrina.postgresql.org (217.196.149.55) 44.516 ms 44.481 ms *
这不是一个奇怪的问题;您只是正在运行寿命终止软件。
Debian 10 - Buster - 已终止使用寿命,并且已经 EOL 半年了。
显然,Postgresql 停止为其构建软件包,并删除了 Buster 的存储库。
也许是时候升级到较新的 Debian 版本了。
没有理由怀疑任何 BGP 劫持。值得注意的是,Debian 软件包使用校验和和加密签名来验证升级,因此仅仅重定向升级不会导致妥协,但可能会导致拒绝更新。
81.95.2.150 注册于一家德国公司,但名称服务器归“俄罗斯电信公共股份公司”所有。该公司被列入制裁名单。并与域名 rt.ru 相关联。然而,该注册似乎已失效,“有效期至:2022-01-31”。
https://www.virustotal.com/gui/ip-address/81.95.2.150/details
这可能只是管理不善。
推测:这些以前被用来扩大 rt.ru 名称解析在欧洲的可见性。
美国财政部通讯管理局 (OFCOM) 针对俄罗斯电信的制裁名单
81.95.2.150 的 ARIN 信息