Une adresse IP peut être configurée dans le DNS pour être résolue en n'importe quel nom d'hôte, par celui qui contrôle cette adresse IP.
Par exemple, si je contrôle le netblock 203.0.113.128/28, je peux configurer 203.0.113.130 pour inverser la résolution en presidential-desktop.oval-office.whitehouse.gov . Je n'ai pas besoin de contrôler whitehouse.gov pour ce faire, même si cela peut aider dans certaines situations (en particulier, avec tout logiciel qui vérifie que la résolution inverse et avant correspond ). Cela ne signifierait pas que le président des États-Unis s'est connecté à votre VPS.
Si quelqu'un a accès à votre système, il peut modifier la configuration du résolveur, ce qui lui permettra de résoudre efficacement n'importe quel nom en n'importe quelle adresse IP, ou n'importe quelle adresse IP en n'importe quel nom. (S'ils disposent de ce niveau d'accès, ils peuvent également causer toutes sortes d'autres dégâts à votre système.)
À moins que et jusqu'à ce que vous vérifiiez que l'adresse IP qui a été utilisée pour vous connecter est bien enregistrée auprès du FBI, ne vous inquiétez pas si le nom d'hôte est inférieur à fbi.gov . Ce mappage de noms peut très bien être truqué. Inquiétez-vous plutôt qu'il y ait eu une connexion réussie à votre compte que vous ne pouvez pas expliquer, à partir d'une adresse IP que vous ne reconnaissez pas.
Il y a de fortes chances que si le FBI voulait les données sur votre VPS, il utiliserait une approche un peu moins évidente pour l'obtenir.
Vous devriez vous inquiéter, mais pas pour le nom d'hôte fbi.gov.
Allez lire Comment gérer un serveur compromis ? sur Server Fault, et comment expliquez-vous la nécessité de "nuke it from orbit" à la direction et aux utilisateurs ? ici sur la sécurité de l'information. Vraiment, fais-le. Fais le maintenant; ne tardez pas.
Je pense que vous DEVEZ vous inquiéter si quelqu'un a un accès non autorisé à votre serveur. Comme d'autres l'ont mentionné, il n'y a pas beaucoup de travail pour simuler le nom d'hôte DNS inversé. Peut-être veulent-ils que vous croyiez qu'il est normal qu'une agence gouvernementale ait accès à votre serveur afin que vous n'enquêtiez plus sur l'incident.
Vous devez sauvegarder tous les journaux de votre serveur pour une analyse ultérieure et, de préférence, reconstruire votre serveur pour éliminer tout risque qu'un serveur compromis pourrait entraîner. Après cela, vous (avec l'aide d'un expert) devez configurer le serveur avec les meilleures pratiques et précautions de sécurité.
Alors devriez-vous vous inquiéter si c'était le FBI, ou est-ce que ça va si c'était juste un hacker occasionnel ? À partir des journaux, quelqu'un s'est connecté avec succès à un hôte que vous contrôlez. Il devrait être supposé compromis, peu importe qui c'était. Mettez-le au rebut et reconstruisez-le.
Gardez également à l'esprit qu'une entrée DNS inversée peut être créée par toute personne ayant le contrôle d'un bloc IP spécifique. Il n'a pas besoin de se résoudre à quelque chose qu'ils contrôlent, c'est-à-dire que si je contrôle un bloc IP, je peux créer une entrée inversée pour qui je veux. Les entrées inversées et directes ne doivent pas nécessairement correspondre, et elles sont souvent gérées par des personnes différentes.