Ip 127.0.0.1 ist nicht der eigene Host? stamdie.com ist 127.0.0.1 ? - Phishing-mail
Hallo,
heute erhielt ich gleich zwei Phishing mails - ich solle mich in mein PayPal Kto einloggen.
Tatsächlich existieren zu den beiden e-mail Adressen 2 PayPal-Konten - aber das ist eher nebensächlich.
Die erste mail habe ich gleich gelöscht, bei der zweiten mail hat mich dann interessiert, wohin ich eigentlich gelenkt werden sollte. Und da ist mir etwas merkwürdiges aufgefallen, dass ich mir nicht so einfach erklären kann.
Die Verlinkte adresse lautet ähnlich dieser:
http://paypalkontoeinloggen.53430.login.stamdie.com/de/login.php?a2lhcm ...
(tatsächlich habe ich diese aus dem Internet - durch google gefunden - im letzten parameter ist vermutlich die e-mail adresse verschlüsselt und ich wollte nicht meine nehmen...)
meine lautet:
http://ingcw97uru.a38.stamdie.com/de/?ZGllc29rb0BhcmNv.....
der springende Punkt ist stamdie.com :
ping stamdie.com
Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128
(unter windows 7)
Wie geht das? Kann es wirklich einen Server im Internet geben der diese IP hat? - Ist das bei euch auch so?
Ich habe in VMware ubuntu laufen - dasselbe ergebnis. Und um sicherzugehen, das in meiner Fritzbox über die die Internetanbindung läuft nicht irgendwelche DNS-Einträge verfälscht sind, habe ich das Internet über mein Handy getethered - dasselbe ergebnis.
Ich habe auch noch meine host-dateien überprüft - die sind sauber.
Drauf gekommen bin ich, weil ich auf meinem Rechner zu testzwecken einen Webserver laufen lasse. Und als ich dann in die adresszeile "stamdie.com" eingegeben habe, wurde mein lokaler webserver angesprochen. Wenn ich aber die komplette Adresse wie oben eingebe, wird nicht mein lokaler webserver angesprochen, sondern die Phishing-Website.
Also, kann das jemand von Euch erklären?
heute erhielt ich gleich zwei Phishing mails - ich solle mich in mein PayPal Kto einloggen.
Tatsächlich existieren zu den beiden e-mail Adressen 2 PayPal-Konten - aber das ist eher nebensächlich.
Die erste mail habe ich gleich gelöscht, bei der zweiten mail hat mich dann interessiert, wohin ich eigentlich gelenkt werden sollte. Und da ist mir etwas merkwürdiges aufgefallen, dass ich mir nicht so einfach erklären kann.
Die Verlinkte adresse lautet ähnlich dieser:
http://paypalkontoeinloggen.53430.login.stamdie.com/de/login.php?a2lhcm ...
(tatsächlich habe ich diese aus dem Internet - durch google gefunden - im letzten parameter ist vermutlich die e-mail adresse verschlüsselt und ich wollte nicht meine nehmen...)
meine lautet:
http://ingcw97uru.a38.stamdie.com/de/?ZGllc29rb0BhcmNv.....
der springende Punkt ist stamdie.com :
ping stamdie.com
Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128
(unter windows 7)
Wie geht das? Kann es wirklich einen Server im Internet geben der diese IP hat? - Ist das bei euch auch so?
Ich habe in VMware ubuntu laufen - dasselbe ergebnis. Und um sicherzugehen, das in meiner Fritzbox über die die Internetanbindung läuft nicht irgendwelche DNS-Einträge verfälscht sind, habe ich das Internet über mein Handy getethered - dasselbe ergebnis.
Ich habe auch noch meine host-dateien überprüft - die sind sauber.
Drauf gekommen bin ich, weil ich auf meinem Rechner zu testzwecken einen Webserver laufen lasse. Und als ich dann in die adresszeile "stamdie.com" eingegeben habe, wurde mein lokaler webserver angesprochen. Wenn ich aber die komplette Adresse wie oben eingebe, wird nicht mein lokaler webserver angesprochen, sondern die Phishing-Website.
Also, kann das jemand von Euch erklären?
Please also mark the comments that contributed to the solution of the article
Content-Key: 250160
Url: https://administrator.de/contentid/250160
Printed on: April 19, 2024 at 19:04 o'clock
4 Comments
Latest comment
Moin,
wenn man nachschaut sieht man:
d.h. der A-record dafür ist auf localhost umgebogen worden.
Daher antowrtet dir dein eigener rechner auf Dein Ping.
vermutlich hat man die domain stamdie.com "abgehängt" - denn die anderen Hostadressen unterhalb von stamdie.com lösen nicht auf - um das phishing zu unterbinden. Oder die Mail spekuliert darauf, das sich malware bei Dir eingenistet hat und das über einen lokalen proxy geschickt wird,
lks
wenn man nachschaut sieht man:
lks@roku:~$ dig stamdie.com
; <<>> DiG 9.8.1-P1 <<>> stamdie.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64720
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;stamdie.com. IN A
;; ANSWER SECTION:
stamdie.com. 4652 IN A 127.0.0.1
;; Query time: 16 msec
;; SERVER: 192.168.178.1#53(192.168.178.1)
;; WHEN: Thu Sep 25 17:35:26 2014
;; MSG SIZE rcvd: 45
d.h. der A-record dafür ist auf localhost umgebogen worden.
Daher antowrtet dir dein eigener rechner auf Dein Ping.
vermutlich hat man die domain stamdie.com "abgehängt" - denn die anderen Hostadressen unterhalb von stamdie.com lösen nicht auf - um das phishing zu unterbinden. Oder die Mail spekuliert darauf, das sich malware bei Dir eingenistet hat und das über einen lokalen proxy geschickt wird,
lks
Offiziell kann tatsaechlich niemand eine solche Domain anmelden auf die IP 127.0.0.1.
Wenn man aber an den "Schalthebeln der Macht" sitzt, also die Kontrolle ueber den root DNS der entsprechenden Zone hat, und aus welchen Gründen auch immer eine Domain totschalten will, ist das umbiegen dieser Domain auf die IP 127.0.0.1 ein probates Mittel.
Gemacht wird das offiziell natürlich nur um die User zu schützen, also zB bekannte Malware-Domains umzuleiten, aber das Missbrauchspotential sollte offensichtlich sein.
Gruß,
rana-mp
Wenn man aber an den "Schalthebeln der Macht" sitzt, also die Kontrolle ueber den root DNS der entsprechenden Zone hat, und aus welchen Gründen auch immer eine Domain totschalten will, ist das umbiegen dieser Domain auf die IP 127.0.0.1 ein probates Mittel.
Gemacht wird das offiziell natürlich nur um die User zu schützen, also zB bekannte Malware-Domains umzuleiten, aber das Missbrauchspotential sollte offensichtlich sein.
Gruß,
rana-mp
Zitat von @rana-mp:
Offiziell kann tatsaechlich niemand eine solche Domain anmelden auf die IP 127.0.0.1.
Offiziell kann tatsaechlich niemand eine solche Domain anmelden auf die IP 127.0.0.1.
Blödsinn,
es ist nicht schlimm, wenn man etwas nicht weiß, aber man sollte dann das spekulieren lassen.
Tatsache ist:
Man registriert eine Domain, indem man Kontakdaten angibt und läßt sie sich delegieren, indem man die IP-Adresse des Primary Nameservers angibt. Die Kontakdaten bekommt man mit whois (s.o.) heraus, die Nameserver mit dns-tools:
In diesem Fall:
dig stamdie.com ns
; <<>> DiG 9.8.1-P1 <<>> stamdie.com ns
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17555
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;stamdie.com. IN NS
;; ANSWER SECTION:
stamdie.com. 38400 IN NS ns.stamdie.com.
stamdie.com. 38400 IN NS ns1.stamdie.com.
;; Query time: 20 msec
;; SERVER: 192.168.178.1#53(192.168.178.1)
;; WHEN: Fri Sep 26 07:21:24 2014
;; MSG SIZE rcvd: 64
; <<>> DiG 9.8.1-P1 <<>> ns.stamdie.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12281
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ns.stamdie.com. IN A
;; ANSWER SECTION:
ns.stamdie.com. 37823 IN A 109.163.239.229
;; Query time: 11 msec
;; SERVER: 192.168.178.1#53(192.168.178.1)
;; WHEN: Fri Sep 26 07:21:33 2014
;; MSG SIZE rcvd: 48
; <<>> DiG 9.8.1-P1 <<>> ns1.stamdie.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23761
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ns1.stamdie.com. IN A
;; ANSWER SECTION:
ns1.stamdie.com. 11498 IN A 109.163.239.229
;; Query time: 12 msec
;; SERVER: 192.168.178.1#53(192.168.178.1)
;; WHEN: Fri Sep 26 07:21:37 2014
;; MSG SIZE rcvd: 49
Wie Ihr seht, hat alles seine Ordnung.
Woher komtm nun die 127.0.0.1? Ganz einfach. Der nameserver darf auf Anfragen mit jeder beliebigen IP-Adresse antworten, die er lustig findet. Also auch mit der 127.0.0.1. Da kann dem Eigentümer auch niemand reinreden oder etwas verbieten. es kann durchaus sinnvoll sein, auch mal 127.0.0.1 zurückzleifern. ich tippe mal, da hat einafch jeamand die domain "kurzgeschlossen", um das phishing zu unterbinden. oder die Mail hatte malware, die einen lokalen webserver auf localhost betreibt. um nicht auf irgendwelche internet-Server angewiesen zu sein.
Also Jungs: lest euch in die Materie ein, bevor Ihr wild herumspekuluiert.
lks
PS:
http://wiki.hetzner.de/index.php/DNS_delegieren
https://www.google.de/search?q=domain+delegieren
usw.