gelöst Ständige DNS Zugriffe - woher kommt das?!
Hallo,
ich hab hier einen Rechner im Netzwerk der ständig per Port 53 auf diverse IPs verbinden möchte!
Das probiert er über jeden internen Port auf völlig willkürliche IP Adressen. Ich kann die Quelle nicht ausfindig machen..
Habe schon einen Virenscan durchlaufen lassen (Sophos) ohne Ergebnis..
Habe mal mit nmap und wireshark geschaut ob ich einen Prozess ausfindig machen kann.. nichts..
Im Taskmanager werde ich sowieso nicht fündig..
Hab mal einen Ausschnitt aus dem Firewall Log beigefügt.. ich hoffe jemand kann mir helfen. Das Teil ballert den ganzen Log zu.
ich hab hier einen Rechner im Netzwerk der ständig per Port 53 auf diverse IPs verbinden möchte!
Das probiert er über jeden internen Port auf völlig willkürliche IP Adressen. Ich kann die Quelle nicht ausfindig machen..
Habe schon einen Virenscan durchlaufen lassen (Sophos) ohne Ergebnis..
Habe mal mit nmap und wireshark geschaut ob ich einen Prozess ausfindig machen kann.. nichts..
Im Taskmanager werde ich sowieso nicht fündig..
Hab mal einen Ausschnitt aus dem Firewall Log beigefügt.. ich hoffe jemand kann mir helfen. Das Teil ballert den ganzen Log zu.
11 Antworten
- LÖSUNG Lochkartenstanzer schreibt am 25.11.2013 um 09:15:35 Uhr
- LÖSUNG aqui schreibt am 25.11.2013 um 09:27:08 Uhr
- LÖSUNG mofomulo schreibt am 25.11.2013 um 09:38:54 Uhr
- LÖSUNG mofomulo schreibt am 25.11.2013 um 09:34:15 Uhr
- LÖSUNG aqui schreibt am 25.11.2013 um 09:38:19 Uhr
- LÖSUNG Lochkartenstanzer schreibt am 25.11.2013 um 12:32:08 Uhr
- LÖSUNG mofomulo schreibt am 25.11.2013 um 14:45:57 Uhr
- LÖSUNG Lochkartenstanzer schreibt am 25.11.2013 um 18:24:48 Uhr
- LÖSUNG mofomulo schreibt am 25.11.2013 um 14:45:57 Uhr
- LÖSUNG aqui schreibt am 25.11.2013 um 09:27:08 Uhr
- LÖSUNG Alchimedes schreibt am 25.11.2013 um 12:41:12 Uhr
- LÖSUNG mofomulo schreibt am 25.11.2013 um 15:05:00 Uhr
- LÖSUNG Alchimedes schreibt am 25.11.2013 um 15:44:43 Uhr
- LÖSUNG mofomulo schreibt am 25.11.2013 um 15:05:00 Uhr
LÖSUNG 25.11.2013, aktualisiert um 09:17 Uhr
Moin,
Du hast da einen DNS-Server auf der Kiste, der die root-Server erreichen will. Eigentlich logisch. Ein einfaches Nachschauen des Hostnames, der zu der IP-Adresse gehört, hätte Dir da Auskunft gegeben, z.B.:
lks
Du hast da einen DNS-Server auf der Kiste, der die root-Server erreichen will. Eigentlich logisch. Ein einfaches Nachschauen des Hostnames, der zu der IP-Adresse gehört, hätte Dir da Auskunft gegeben, z.B.:
lks@roku:~$ host 198.41.0.4 4.0.41.198.in-addr.arpa domain name pointer a.root-servers.net. lks@roku:~$ host 128.63.2.53 53.2.63.128.in-addr.arpa domain name pointer h.root-servers.net.
LÖSUNG 25.11.2013 um 09:27 Uhr
Der Taskmanager sicherlich nicht aber die Sysinternal Tools pcexplorer und tcpview führen fast immer zum Erfolg den Prozess ausfindig zu machen:
http://technet.microsoft.com/de-de/sysinternals/bb896653
bzw.
http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
http://technet.microsoft.com/de-de/sysinternals/bb896653
bzw.
http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
LÖSUNG 25.11.2013 um 09:34 Uhr
Hmm.. verstehe das nicht ganz.. Es handelt sich um einen XP-Rechner.. ich wüsste nicht das man den als DNS-Server ohne spezielle Software einsetzen kann..
Hinter den IPs verbergen sich bspw. Rootserver der Universitiy of Maryland oder der NASA..?! Ganz logisch erscheint mir das nicht gerade..
Hinter den IPs verbergen sich bspw. Rootserver der Universitiy of Maryland oder der NASA..?! Ganz logisch erscheint mir das nicht gerade..
LÖSUNG 25.11.2013 um 09:38 Uhr
@mofomulo
Lies dir bitte den Thread genau durch !! Der XP Client macht diese DNS Requests ist selber kein Server. Das sieht man auch am geposteten Wireshark Trace….
Lies dir bitte den Thread genau durch !! Der XP Client macht diese DNS Requests ist selber kein Server. Das sieht man auch am geposteten Wireshark Trace….
LÖSUNG 25.11.2013 um 09:38 Uhr
Zitat von aqui:
Der Taskmanager sicherlich nicht aber die Sysinternal Tools pcexplorer und tcpview führen fast immer zum Erfolg den
Prozess ausfindig zu machen:
http://technet.microsoft.com/de-de/sysinternals/bb896653
bzw.
http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
Der Taskmanager sicherlich nicht aber die Sysinternal Tools pcexplorer und tcpview führen fast immer zum Erfolg den
Prozess ausfindig zu machen:
http://technet.microsoft.com/de-de/sysinternals/bb896653
bzw.
http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
tcpview hatte ich auch schon drüber.. okay ich muss gestehen halbherzig. Ich werds nochmal probieren, auch mit pcexplorer
LÖSUNG 25.11.2013, aktualisiert um 12:33 Uhr
Zitat von mofomulo:
Hmm.. verstehe das nicht ganz.. Es handelt sich um einen XP-Rechner.. ich wüsste nicht das man den als DNS-Server ohne
spezielle Software einsetzen kann..
Hmm.. verstehe das nicht ganz.. Es handelt sich um einen XP-Rechner.. ich wüsste nicht das man den als DNS-Server ohne
spezielle Software einsetzen kann..
Dann hast Du auf Deiner Kiste eine Software, die Ihren eigenen Resolver hat.
Hinter den IPs verbergen sich bspw. Rootserver der Universitiy of Maryland oder der NASA..?! Ganz logisch erscheint mir das nicht
gerade..
gerade..
Wieso unlogisch? Wenn man etwas im DNN-Baum nachschauen will, muß man für die TLDs als erstes die root-server anfragen. Auf jeden Fall hast D auf der Kiste mit der IP-Adresse 192.168.78.188 eine Software, die DNS-Anfragen an die Root-Server schickt. Warum sie das macht, ob das zum normalen Verhalten dieser software gehört oder ob Du Dir Malware eingefangen hast, die Deine DNS-Anfragen umleiten will oder nur Ihren C&C-Server sucht könne wir per Kristallkugel nicht sagen.
Vielleicht ist es ja hilfreich, wenn Du mit Wireshark oder tcpdump schaus, was der Inhalt dieser Anfragen ist.
lks
LÖSUNG 25.11.2013 um 12:41 Uhr
Hallo ,
auf der XP Moehre oeffne eine CMD als Admin und dann mach mal ein netstat -ab.
Dann siehst Du den Prozess/Anwendung welche die DNS Anfrage stellt.
Gruss
auf der XP Moehre oeffne eine CMD als Admin und dann mach mal ein netstat -ab.
Dann siehst Du den Prozess/Anwendung welche die DNS Anfrage stellt.
Gruss
LÖSUNG 25.11.2013 um 14:45 Uhr
Also ich gehe mal stark davon aus das es irgendeine Malware ist..
tcpview oder pcexplorer halfen nicht weiter.. es handelt sich bei allen Prozessen um bekannte..
Ich habe mal ein Screen von Whireshark gemacht.. ich werd daraus leider nicht schlau. Gibts keine möglichkeit hieraus die Quelle zu finden?
tcpview oder pcexplorer halfen nicht weiter.. es handelt sich bei allen Prozessen um bekannte..
Ich habe mal ein Screen von Whireshark gemacht.. ich werd daraus leider nicht schlau. Gibts keine möglichkeit hieraus die Quelle zu finden?
LÖSUNG 25.11.2013 um 15:05 Uhr
Zitat von Alchimedes:
Hallo ,
auf der XP Moehre oeffne eine CMD als Admin und dann mach mal ein netstat -ab.
Dann siehst Du den Prozess/Anwendung welche die DNS Anfrage stellt.
Gruss
Hallo ,
auf der XP Moehre oeffne eine CMD als Admin und dann mach mal ein netstat -ab.
Dann siehst Du den Prozess/Anwendung welche die DNS Anfrage stellt.
Gruss
Kein Prozess stellt DNS Anfragen... könnte es sein das es ein Dienst ist?
LÖSUNG 25.11.2013, aktualisiert um 15:45 Uhr
Hallo,
Benutze bei Wireshark ein Filter. z.B ip.addr == <Rechneradresse> && dns und schau mal auf das UserDataprotokoll.
Ansonsten wie Aqui geschrieben hat, mit den prozessexplorer von sysinternals solltest Du dem auf den Grund gehen koennen.
Ausserdem wuerde ich Sophos alleine nicht trauen. Ich schick dem Sophoslabs regelmaessig neue Samples die unbekannt sind.
Hier also auch mal mit anderen Scanner ran.
Auch koenntest Du unter den Netzwerkeinstellungen des Rechnersschauen ob dort ein Fremder DNS Server eingetragen ist.
Auch auf die system32/etc/hosts Datei schauen ob dort eine Manipulation stattgefunden hat.
Gruss
Benutze bei Wireshark ein Filter. z.B ip.addr == <Rechneradresse> && dns und schau mal auf das UserDataprotokoll.
Ansonsten wie Aqui geschrieben hat, mit den prozessexplorer von sysinternals solltest Du dem auf den Grund gehen koennen.
Ausserdem wuerde ich Sophos alleine nicht trauen. Ich schick dem Sophoslabs regelmaessig neue Samples die unbekannt sind.
Hier also auch mal mit anderen Scanner ran.
Auch koenntest Du unter den Netzwerkeinstellungen des Rechnersschauen ob dort ein Fremder DNS Server eingetragen ist.
Auch auf die system32/etc/hosts Datei schauen ob dort eine Manipulation stattgefunden hat.
Gruss
LÖSUNG 25.11.2013, aktualisiert um 18:35 Uhr
Zitat von mofomulo:
Ich habe mal ein Screen von Whireshark gemacht.. ich werd daraus leider nicht schlau. Gibts keine möglichkeit hieraus die
Quelle zu finden?
Ich habe mal ein Screen von Whireshark gemacht.. ich werd daraus leider nicht schlau. Gibts keine möglichkeit hieraus die
Quelle zu finden?
einfach mal auf das + beim DNS-Query klicken und schon solltest Du sehen, welche Domain angefragt wird. Und das sollte Dir einen Hinweis geben, was dahinterstecken könnte. Welche Domain das ist, überlasse ich Dir mal zur Übrung, auch wenn man das direkt aus den Daten sieht.
lks
PS: Laß mal einen Malwaresan von einer rescue-CD (desinfect, kaspersky-Rescue, Avira-escue,. etc.) laufen.
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
