Przejęcia subdomen — wyjaśnienie i jak je wykryć | Scanthra

Scanthra · 7 min czytania · Zaktualizowano Maj 2026

Mechanizm w jednym akapicie

Trzy lata temu ktoś z twojego zespołu stworzył events.twojafirma.pl jako CNAME wskazujący na twoja-strona-wydarzen.herokuapp.com. Kampania marketingowa się skończyła, aplikacja Heroku została usunięta, a CNAME w DNS zapomniano. Dziś każdy może zarejestrować się w Heroku, zająć nazwę twoja-strona-wydarzen.herokuapp.com i serwować dowolne HTML. Przeglądarki odwiedzające events.twojafirma.pl dostają ich stronę, z twoją domeną w pasku adresu, z zaufaniem twojej marki. TLS działa, bo serwisy takie jak Heroku wystawiają certyfikaty automatycznie. Z punktu widzenia przeglądarki to w pełni prawidłowa wizyta na twojej prawdziwej stronie.

Dlaczego to jest poważne

Prawdziwe ataki zaobserwowane w praktyce:

• Phishing. „Zaloguj się do twoj-bank.example.pl" trafia na stronę atakującego z perfekcyjną kłódką TLS.
• Kradzież ciasteczek (cookie). Jeśli twoja domena nadrzędna ustawia ciasteczka na .example.pl, przejęta subdomena może je odczytywać, bo żyje pod tym samym rodzicem.
• Zatruwanie SEO. Atakujący przekierowuje z twojej subdomeny na hosty z reklamami lub złośliwym oprogramowaniem. Google czasem blacklistuje całe example.pl w efekcie.
• Uszkodzenie wizerunku. Historia „własna subdomena Acme Corp serwuje strony z krypto-scamem" jest trudna do posprzątania.

Podatne usługi

Przejęcie subdomeny to klasa podatności wymierzona w każdy SaaS, który: (1) pozwala użytkownikom zająć dowolną subdomenę na platformie i (2) nie weryfikuje, że zgłaszający jest też właścicielem oryginalnej domeny. Historycznie podatne platformy to między innymi:

• Heroku, zasobniki AWS S3 (hosting statyczny), Azure Cloud Apps / Traffic Manager / CDN, GitHub Pages, GitLab Pages, Shopify, Squarespace, Tumblr, Webflow, Netlify, Vercel, Fastly, Pantheon, Zendesk, Statuspage, SendGrid, Mailgun, Tilda, Strikingly, Surge.sh, Ghost.io, Cargo, Read the Docs.

Sygnatura przejęcia jest nieco inna dla każdej platformy — większość wyświetla charakterystyczny komunikat „no such app" / „bucket does not exist" / „404 Not Found" gdy nazwa jest niezajęta. Utrzymywane przez społeczność repozytorium EdOverflow/can-i-take-over-xyz na GitHub zawiera aktualną listę.

Jak samodzielnie wykryć zwisające rekordy

Krok 1 — Zinwentaryzuj swoje subdomeny

Nie możesz naprawić tego, o czym nie wiesz. Źródła pełnego spisu:

• Plik strefy DNS u twojego dostawcy — wyeksportuj każdy rekord A, AAAA i CNAME.
• Logi Certificate Transparency przez crt.sh — każdy certyfikat TLS kiedykolwiek wystawiony dla twojej domeny jest publiczny.
• Poprzednie skany, wpisy w menedżerze haseł, wewnętrzne wiki — wszędzie, gdzie ktoś mógł dodać subdomenę, którą nikt nie usunął.

Krok 2 — Sprawdź każdą subdomenę

Dla każdego rekordu:

• Jeśli to A/AAAA wskazujące na IP, którym już nie dysponujesz — usuń.
• Jeśli to CNAME wskazujący na usługę zewnętrzną, pobierz URL i sprawdź odpowiedź. „No such app", „There isn't a GitHub Pages site here", „NoSuchBucket" lub „Repository not found" to sygnały możliwego przejęcia.
• Jeśli dig +short cname.subdomena zwraca NXDOMAIN dla celu — to silny sygnał przejęcia.

Krok 3 — Usuń lub odzyskaj

Jeśli subdomeny już nie potrzebujesz, usuń rekord DNS. Jeśli nadal jej potrzebujesz, przekieruj ją na aktualny zasób. Unikaj wskazywania na „zastępcze" aplikacje chmurowe — mają tendencję do dryfowania w stronę podatnego stanu.

Jak zapobiec następnemu przypadkowi

• Właściciel dla każdego rekordu. Każdy rekord subdomeny w twojej strefie powinien mieć udokumentowanego właściciela w notatkach dostawcy DNS lub wewnętrznym arkuszu kalkulacyjnym.
• Checklista wycofywania. „Zamknięcie strony kampanii" musi zawierać „usuń CNAME DNS wskazujący na host kampanii".
• Kwartalne przeglądy DNS. 30 minut na kwartał zapobiega wizerunkowym incydentom.
• Wildcardy z ostrożnością. Wildcard *.example.pl CNAME do usługi zewnętrznej to stałe zaproszenie do przejęcia dla każdej niezajętej nazwy.

Jak Scanthra to wykrywa

Nasz moduł DNS Recon odpytuje publiczne logi Certificate Transparency (pasywnie, bez brutalnego zgadywania DNS) i oznacza każdą subdomenę, która kiedykolwiek miała prawdziwy certyfikat. Subdomeny wyglądające jak deweloperskie, stagingowe i administracyjne pojawiają się jako wykrycia — to klasyczni kandydaci do zapomnianych i zwisających rekordów. Samo wykrywanie przejęcia subdomen (sprawdzanie, czy każdy cel CNAME jest niezajęty u znanych podatnych dostawców) jest w naszej mapie drogowej i trafi najpierw do płacących użytkowników.