4
Ip 127.0.0.1 ist nicht der eigene Host? stamdie.com ist 127.0.0.1 ? - Phishing-mail
Hallo,
heute erhielt ich gleich zwei Phishing mails - ich solle mich in mein PayPal Kto einloggen.
Tatsächlich existieren zu den beiden e-mail Adressen 2 PayPal-Konten - aber das ist eher nebensächlich.
Die erste mail habe ich gleich gelöscht, bei der zweiten mail hat mich dann interessiert, wohin ich eigentlich gelenkt werden sollte. Und da ist mir etwas merkwürdiges aufgefallen, dass ich mir nicht so einfach erklären kann.
Die Verlinkte adresse lautet ähnlich dieser:
http://paypalkontoeinloggen.53430.login.stamdie.com/de/login.php?a2lhcm ...
(tatsächlich habe ich diese aus dem Internet - durch google gefunden - im letzten parameter ist vermutlich die e-mail adresse verschlüsselt und ich wollte nicht meine nehmen...)
meine lautet:
http://ingcw97uru.a38.stamdie.com/de/?ZGllc29rb0BhcmNv.....
der springende Punkt ist stamdie.com :
ping stamdie.com
Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128
(unter windows 7)
Wie geht das? Kann es wirklich einen Server im Internet geben der diese IP hat? - Ist das bei euch auch so?
Ich habe in VMware ubuntu laufen - dasselbe ergebnis. Und um sicherzugehen, das in meiner Fritzbox über die die Internetanbindung läuft nicht irgendwelche DNS-Einträge verfälscht sind, habe ich das Internet über mein Handy getethered - dasselbe ergebnis.
Ich habe auch noch meine host-dateien überprüft - die sind sauber.
Drauf gekommen bin ich, weil ich auf meinem Rechner zu testzwecken einen Webserver laufen lasse. Und als ich dann in die adresszeile "stamdie.com" eingegeben habe, wurde mein lokaler webserver angesprochen. Wenn ich aber die komplette Adresse wie oben eingebe, wird nicht mein lokaler webserver angesprochen, sondern die Phishing-Website.
Also, kann das jemand von Euch erklären?
heute erhielt ich gleich zwei Phishing mails - ich solle mich in mein PayPal Kto einloggen.
Tatsächlich existieren zu den beiden e-mail Adressen 2 PayPal-Konten - aber das ist eher nebensächlich.
Die erste mail habe ich gleich gelöscht, bei der zweiten mail hat mich dann interessiert, wohin ich eigentlich gelenkt werden sollte. Und da ist mir etwas merkwürdiges aufgefallen, dass ich mir nicht so einfach erklären kann.
Die Verlinkte adresse lautet ähnlich dieser:
http://paypalkontoeinloggen.53430.login.stamdie.com/de/login.php?a2lhcm ...
(tatsächlich habe ich diese aus dem Internet - durch google gefunden - im letzten parameter ist vermutlich die e-mail adresse verschlüsselt und ich wollte nicht meine nehmen...)
meine lautet:
http://ingcw97uru.a38.stamdie.com/de/?ZGllc29rb0BhcmNv.....
der springende Punkt ist stamdie.com :
ping stamdie.com
Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128
(unter windows 7)
Wie geht das? Kann es wirklich einen Server im Internet geben der diese IP hat? - Ist das bei euch auch so?
Ich habe in VMware ubuntu laufen - dasselbe ergebnis. Und um sicherzugehen, das in meiner Fritzbox über die die Internetanbindung läuft nicht irgendwelche DNS-Einträge verfälscht sind, habe ich das Internet über mein Handy getethered - dasselbe ergebnis.
Ich habe auch noch meine host-dateien überprüft - die sind sauber.
Drauf gekommen bin ich, weil ich auf meinem Rechner zu testzwecken einen Webserver laufen lasse. Und als ich dann in die adresszeile "stamdie.com" eingegeben habe, wurde mein lokaler webserver angesprochen. Wenn ich aber die komplette Adresse wie oben eingebe, wird nicht mein lokaler webserver angesprochen, sondern die Phishing-Website.
Also, kann das jemand von Euch erklären?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 250160
Url: https://administrator.de/contentid/250160
Printed on: April 19, 2024 at 19:04 o'clock
4 Comments
Latest comment
Moin,
wenn man nachschaut sieht man:
d.h. der A-record dafür ist auf localhost umgebogen worden.
Daher antowrtet dir dein eigener rechner auf Dein Ping.
vermutlich hat man die domain stamdie.com "abgehängt" - denn die anderen Hostadressen unterhalb von stamdie.com lösen nicht auf - um das phishing zu unterbinden. Oder die Mail spekuliert darauf, das sich malware bei Dir eingenistet hat und das über einen lokalen proxy geschickt wird,
lks
wenn man nachschaut sieht man:
lks@roku:~$ dig stamdie.com
; <<>> DiG 9.8.1-P1 <<>> stamdie.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64720
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;stamdie.com. IN A
;; ANSWER SECTION:
stamdie.com. 4652 IN A 127.0.0.1
;; Query time: 16 msec
;; SERVER: 192.168.178.1#53(192.168.178.1)
;; WHEN: Thu Sep 25 17:35:26 2014
;; MSG SIZE rcvd: 45
d.h. der A-record dafür ist auf localhost umgebogen worden.
Daher antowrtet dir dein eigener rechner auf Dein Ping.
vermutlich hat man die domain stamdie.com "abgehängt" - denn die anderen Hostadressen unterhalb von stamdie.com lösen nicht auf - um das phishing zu unterbinden. Oder die Mail spekuliert darauf, das sich malware bei Dir eingenistet hat und das über einen lokalen proxy geschickt wird,
lks
Danke für die Antwort! Ich gebe zu mein Wissen um ide Thematik ist etwas rudimentär. So war mir "dig" nicht bekannt, nslookup hätte mit noch was gesagt.
Egal, was ich nicht verstehe: Es kann doch eigentlich niemand irgendwo eine domain mit der IP 127.0.0.1 anmelden, oder?
Oder ist das hier doch geschehen
Woher kommt den tatsächlich diese Information, die dig hier ausgibt? Die kommt doch von einem DNS-Server, oder? Wurde der dann gehackt, oder was ist hier passiert?
Mir sagt der Begriff "A record" nichts - villeicht erklärt sich damit meine Verwirrtheit.
Übrigens hier mal das Ergebnis zu whois stamdie.com:
(ich persönlich kann da leider auch nicht jede Zeile deuten)
Domain Name: STAMDIE.COM
Registry Domain ID: 1877120288_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.nic.ru
Registrar URL: http://www.nic.ru
Creation Date: 2014-09-23T16:23:05Z
Registrar Registration Expiration Date: 2015-09-22T20:00:00Z
Registrar: Regional Network Information Center, JSC dba RU-CENTER
Registrar IANA ID: 463
Registrar Abuse Contact Email: tld-abuse@nic.ru
Registrar Abuse Contact Phone: +7.4959944601
Domain Status: clientTransferProhibited
Registry Registrant ID:
Registrant Name: Martins Inc
Registrant Organization: Martins Inc
Registrant Street: Feldstrasse 14
Registrant City: Tangermunde
Registrant Postal Code: 39586
Registrant Country: DE
Registrant Phone: +49.393229164
Registrant Phone Ext:
Registrant E-mail: martin.schroeder@yandex.com
Registry Admin ID:
Admin Name: Martins Inc
Admin Organization: Martins Inc
Admin Street: Feldstrasse 14
Admin City: Tangermunde
Admin Postal Code: 39586
Admin Country: DE
Admin Phone: +49.393229164
Admin Phone Ext:
Admin E-mail: martin.schroeder@yandex.com
Registry Tech ID:
Tech Name: Martins Inc
Tech Organization: Martins Inc
Tech Street: Feldstrasse 14
Tech City: Tangermunde
Tech Postal Code: 39586
Tech Country: DE
Tech Phone: +49.393229164
Tech Phone Ext:
Tech E-mail: martin.schroeder@yandex.com
Name Server: na1.stamdie.com 109.163.239.229
Name Server: ns.stamdie.com 109.163.239.229
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
% By submitting a query to RU-CENTER's Whois Service
% you agree to abide by the following terms of use:
% http://www.nic.ru/about/servpol.html (in Russian)
% http://www.nic.ru/about/en/servpol.html (in English).
Egal, was ich nicht verstehe: Es kann doch eigentlich niemand irgendwo eine domain mit der IP 127.0.0.1 anmelden, oder?
Oder ist das hier doch geschehen
Woher kommt den tatsächlich diese Information, die dig hier ausgibt? Die kommt doch von einem DNS-Server, oder? Wurde der dann gehackt, oder was ist hier passiert?
Mir sagt der Begriff "A record" nichts - villeicht erklärt sich damit meine Verwirrtheit.
Übrigens hier mal das Ergebnis zu whois stamdie.com:
(ich persönlich kann da leider auch nicht jede Zeile deuten)
Domain Name: STAMDIE.COM
Registry Domain ID: 1877120288_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.nic.ru
Registrar URL: http://www.nic.ru
Creation Date: 2014-09-23T16:23:05Z
Registrar Registration Expiration Date: 2015-09-22T20:00:00Z
Registrar: Regional Network Information Center, JSC dba RU-CENTER
Registrar IANA ID: 463
Registrar Abuse Contact Email: tld-abuse@nic.ru
Registrar Abuse Contact Phone: +7.4959944601
Domain Status: clientTransferProhibited
Registry Registrant ID:
Registrant Name: Martins Inc
Registrant Organization: Martins Inc
Registrant Street: Feldstrasse 14
Registrant City: Tangermunde
Registrant Postal Code: 39586
Registrant Country: DE
Registrant Phone: +49.393229164
Registrant Phone Ext:
Registrant E-mail: martin.schroeder@yandex.com
Registry Admin ID:
Admin Name: Martins Inc
Admin Organization: Martins Inc
Admin Street: Feldstrasse 14
Admin City: Tangermunde
Admin Postal Code: 39586
Admin Country: DE
Admin Phone: +49.393229164
Admin Phone Ext:
Admin E-mail: martin.schroeder@yandex.com
Registry Tech ID:
Tech Name: Martins Inc
Tech Organization: Martins Inc
Tech Street: Feldstrasse 14
Tech City: Tangermunde
Tech Postal Code: 39586
Tech Country: DE
Tech Phone: +49.393229164
Tech Phone Ext:
Tech E-mail: martin.schroeder@yandex.com
Name Server: na1.stamdie.com 109.163.239.229
Name Server: ns.stamdie.com 109.163.239.229
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
Last update of WHOIS database: 2014.09.25T00:28:27Z <<<
% you agree to abide by the following terms of use:
% http://www.nic.ru/about/servpol.html (in Russian)
% http://www.nic.ru/about/en/servpol.html (in English).
Offiziell kann tatsaechlich niemand eine solche Domain anmelden auf die IP 127.0.0.1.
Wenn man aber an den "Schalthebeln der Macht" sitzt, also die Kontrolle ueber den root DNS der entsprechenden Zone hat, und aus welchen Gründen auch immer eine Domain totschalten will, ist das umbiegen dieser Domain auf die IP 127.0.0.1 ein probates Mittel.
Gemacht wird das offiziell natürlich nur um die User zu schützen, also zB bekannte Malware-Domains umzuleiten, aber das Missbrauchspotential sollte offensichtlich sein.
Gruß,
rana-mp
Wenn man aber an den "Schalthebeln der Macht" sitzt, also die Kontrolle ueber den root DNS der entsprechenden Zone hat, und aus welchen Gründen auch immer eine Domain totschalten will, ist das umbiegen dieser Domain auf die IP 127.0.0.1 ein probates Mittel.
Gemacht wird das offiziell natürlich nur um die User zu schützen, also zB bekannte Malware-Domains umzuleiten, aber das Missbrauchspotential sollte offensichtlich sein.
Gruß,
rana-mp
Zitat von @rana-mp:
Offiziell kann tatsaechlich niemand eine solche Domain anmelden auf die IP 127.0.0.1.
Offiziell kann tatsaechlich niemand eine solche Domain anmelden auf die IP 127.0.0.1.
Blödsinn,
es ist nicht schlimm, wenn man etwas nicht weiß, aber man sollte dann das spekulieren lassen.
Tatsache ist:
Man registriert eine Domain, indem man Kontakdaten angibt und läßt sie sich delegieren, indem man die IP-Adresse des Primary Nameservers angibt. Die Kontakdaten bekommt man mit whois (s.o.) heraus, die Nameserver mit dns-tools:
In diesem Fall:
dig stamdie.com ns
; <<>> DiG 9.8.1-P1 <<>> stamdie.com ns
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17555
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;stamdie.com. IN NS
;; ANSWER SECTION:
stamdie.com. 38400 IN NS ns.stamdie.com.
stamdie.com. 38400 IN NS ns1.stamdie.com.
;; Query time: 20 msec
;; SERVER: 192.168.178.1#53(192.168.178.1)
;; WHEN: Fri Sep 26 07:21:24 2014
;; MSG SIZE rcvd: 64
; <<>> DiG 9.8.1-P1 <<>> ns.stamdie.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12281
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ns.stamdie.com. IN A
;; ANSWER SECTION:
ns.stamdie.com. 37823 IN A 109.163.239.229
;; Query time: 11 msec
;; SERVER: 192.168.178.1#53(192.168.178.1)
;; WHEN: Fri Sep 26 07:21:33 2014
;; MSG SIZE rcvd: 48
; <<>> DiG 9.8.1-P1 <<>> ns1.stamdie.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23761
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ns1.stamdie.com. IN A
;; ANSWER SECTION:
ns1.stamdie.com. 11498 IN A 109.163.239.229
;; Query time: 12 msec
;; SERVER: 192.168.178.1#53(192.168.178.1)
;; WHEN: Fri Sep 26 07:21:37 2014
;; MSG SIZE rcvd: 49
Wie Ihr seht, hat alles seine Ordnung.
Woher komtm nun die 127.0.0.1? Ganz einfach. Der nameserver darf auf Anfragen mit jeder beliebigen IP-Adresse antworten, die er lustig findet. Also auch mit der 127.0.0.1. Da kann dem Eigentümer auch niemand reinreden oder etwas verbieten. es kann durchaus sinnvoll sein, auch mal 127.0.0.1 zurückzleifern. ich tippe mal, da hat einafch jeamand die domain "kurzgeschlossen", um das phishing zu unterbinden. oder die Mail hatte malware, die einen lokalen webserver auf localhost betreibt. um nicht auf irgendwelche internet-Server angewiesen zu sein.
Also Jungs: lest euch in die Materie ein, bevor Ihr wild herumspekuluiert.
lks
PS:
http://wiki.hetzner.de/index.php/DNS_delegieren
https://www.google.de/search?q=domain+delegieren
usw.
