Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ständige DNS Zugriffe - woher kommt das?!

Mitglied: mofomulo

mofomulo (Level 1) - Jetzt verbinden

25.11.2013, aktualisiert 09:19 Uhr, 2432 Aufrufe, 11 Kommentare

Hallo,

ich hab hier einen Rechner im Netzwerk der ständig per Port 53 auf diverse IPs verbinden möchte!
Das probiert er über jeden internen Port auf völlig willkürliche IP Adressen. Ich kann die Quelle nicht ausfindig machen..
Habe schon einen Virenscan durchlaufen lassen (Sophos) ohne Ergebnis..
Habe mal mit nmap und wireshark geschaut ob ich einen Prozess ausfindig machen kann.. nichts..
Im Taskmanager werde ich sowieso nicht fündig..

Hab mal einen Ausschnitt aus dem Firewall Log beigefügt.. ich hoffe jemand kann mir helfen. Das Teil ballert den ganzen Log zu.

4d7d9c719ccf514bee464f69eccbd833 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Lochkartenstanzer
25.11.2013, aktualisiert um 09:17 Uhr
Moin,

Du hast da einen DNS-Server auf der Kiste, der die root-Server erreichen will. Eigentlich logisch. Ein einfaches Nachschauen des Hostnames, der zu der IP-Adresse gehört, hätte Dir da Auskunft gegeben, z.B.:

lks@roku:~$ host 198.41.0.4 
4.0.41.198.in-addr.arpa domain name pointer a.root-servers.net. 
lks@roku:~$ host 128.63.2.53 
53.2.63.128.in-addr.arpa domain name pointer h.root-servers.net.
lks
Bitte warten ..
Mitglied: aqui
25.11.2013 um 09:27 Uhr
Der Taskmanager sicherlich nicht aber die Sysinternal Tools pcexplorer und tcpview führen fast immer zum Erfolg den Prozess ausfindig zu machen:
http://technet.microsoft.com/de-de/sysinternals/bb896653
bzw.
http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
Bitte warten ..
Mitglied: mofomulo
25.11.2013 um 09:34 Uhr
Hmm.. verstehe das nicht ganz.. Es handelt sich um einen XP-Rechner.. ich wüsste nicht das man den als DNS-Server ohne spezielle Software einsetzen kann..
Hinter den IPs verbergen sich bspw. Rootserver der Universitiy of Maryland oder der NASA..?! Ganz logisch erscheint mir das nicht gerade..
Bitte warten ..
Mitglied: aqui
25.11.2013 um 09:38 Uhr
@mofomulo
Lies dir bitte den Thread genau durch !! Der XP Client macht diese DNS Requests ist selber kein Server. Das sieht man auch am geposteten Wireshark Trace….
Bitte warten ..
Mitglied: mofomulo
25.11.2013 um 09:38 Uhr
Zitat von aqui:

Der Taskmanager sicherlich nicht aber die Sysinternal Tools pcexplorer und tcpview führen fast immer zum Erfolg den
Prozess ausfindig zu machen:
http://technet.microsoft.com/de-de/sysinternals/bb896653
bzw.
http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx

tcpview hatte ich auch schon drüber.. okay ich muss gestehen halbherzig. Ich werds nochmal probieren, auch mit pcexplorer
Bitte warten ..
Mitglied: Lochkartenstanzer
25.11.2013, aktualisiert um 12:33 Uhr
Zitat von mofomulo:

Hmm.. verstehe das nicht ganz.. Es handelt sich um einen XP-Rechner.. ich wüsste nicht das man den als DNS-Server ohne
spezielle Software einsetzen kann..

Dann hast Du auf Deiner Kiste eine Software, die Ihren eigenen Resolver hat.

Hinter den IPs verbergen sich bspw. Rootserver der Universitiy of Maryland oder der NASA..?! Ganz logisch erscheint mir das nicht
gerade..

Wieso unlogisch? Wenn man etwas im DNN-Baum nachschauen will, muß man für die TLDs als erstes die root-server anfragen. Auf jeden Fall hast D auf der Kiste mit der IP-Adresse 192.168.78.188 eine Software, die DNS-Anfragen an die Root-Server schickt. Warum sie das macht, ob das zum normalen Verhalten dieser software gehört oder ob Du Dir Malware eingefangen hast, die Deine DNS-Anfragen umleiten will oder nur Ihren C&C-Server sucht könne wir per Kristallkugel nicht sagen.

Vielleicht ist es ja hilfreich, wenn Du mit Wireshark oder tcpdump schaus, was der Inhalt dieser Anfragen ist.

lks
Bitte warten ..
Mitglied: Alchimedes
25.11.2013 um 12:41 Uhr
Hallo ,

auf der XP Moehre oeffne eine CMD als Admin und dann mach mal ein netstat -ab.
Dann siehst Du den Prozess/Anwendung welche die DNS Anfrage stellt.

Gruss
Bitte warten ..
Mitglied: mofomulo
25.11.2013 um 14:45 Uhr
Also ich gehe mal stark davon aus das es irgendeine Malware ist..
tcpview oder pcexplorer halfen nicht weiter.. es handelt sich bei allen Prozessen um bekannte..

Ich habe mal ein Screen von Whireshark gemacht.. ich werd daraus leider nicht schlau. Gibts keine möglichkeit hieraus die Quelle zu finden?

e0083d311c7936d2794edb37112aad55 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: mofomulo
25.11.2013 um 15:05 Uhr
Zitat von Alchimedes:

Hallo ,

auf der XP Moehre oeffne eine CMD als Admin und dann mach mal ein netstat -ab.
Dann siehst Du den Prozess/Anwendung welche die DNS Anfrage stellt.

Gruss

Kein Prozess stellt DNS Anfragen... könnte es sein das es ein Dienst ist?
Bitte warten ..
Mitglied: Alchimedes
25.11.2013, aktualisiert um 15:45 Uhr
Hallo,

Benutze bei Wireshark ein Filter. z.B ip.addr == <Rechneradresse> && dns und schau mal auf das UserDataprotokoll.
Ansonsten wie Aqui geschrieben hat, mit den prozessexplorer von sysinternals solltest Du dem auf den Grund gehen koennen.

Ausserdem wuerde ich Sophos alleine nicht trauen. Ich schick dem Sophoslabs regelmaessig neue Samples die unbekannt sind.
Hier also auch mal mit anderen Scanner ran.
Auch koenntest Du unter den Netzwerkeinstellungen des Rechnersschauen ob dort ein Fremder DNS Server eingetragen ist.
Auch auf die system32/etc/hosts Datei schauen ob dort eine Manipulation stattgefunden hat.

Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
25.11.2013, aktualisiert um 18:35 Uhr
Zitat von mofomulo:

Ich habe mal ein Screen von Whireshark gemacht.. ich werd daraus leider nicht schlau. Gibts keine möglichkeit hieraus die
Quelle zu finden?


einfach mal auf das + beim DNS-Query klicken und schon solltest Du sehen, welche Domain angefragt wird. Und das sollte Dir einen Hinweis geben, was dahinterstecken könnte. Welche Domain das ist, überlasse ich Dir mal zur Übrung, auch wenn man das direkt aus den Daten sieht.

lks

PS: Laß mal einen Malwaresan von einer rescue-CD (desinfect, kaspersky-Rescue, Avira-escue,. etc.) laufen.
Bitte warten ..
Ähnliche Inhalte
Windows Server

"Unbekannte" Freigabe - woher kommt die?

Frage von FA-jkaWindows Server2 Kommentare

Ich habe in meiner Test- und Lerndomäne (beispiel.local) auf zwei Domaincontrollern je eine Freigabe eingerichtet: \\domaincontroller1\meine_freigabe\ \\domaincontroller2\meine_freigabe\ Danach habe ...

Papierkorb

Kann man speziell herausfinden woher eine Zeitüberschreitung kommt?

Frage von cramtroniPapierkorb8 Kommentare

Also wo letztendlich der Knoten herkommt? Gibt es hierfür spezielle Netzwerkdiagnose-Tools? Vielen Dank. Mfg cramtroni

Windows 7

Benutzerprofildienst war weg, woher kommt das Problem? Vorbeugen?

Frage von peter-n-snareWindows 72 Kommentare

PC mit Windows 7 pro Benutzerprofildienst war weg, über abgesicherten Modus und regedit gelöst. Aber, was war die Ursache ...

DNS

Windows DNS Server ständig 250er Ping

gelöst Frage von IngenieursDNS24 Kommentare

Hallo, ich habe auf einem Windows Server 2012 einen DNS Server für AD installiert. Ich wunderte mich warum mein ...

Neue Wissensbeiträge
Router & Routing

Olle Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 StundeRouter & Routing

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 14 StundenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 20 StundenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Microsoft Office

MS Office 2019 ohne OneNote - OneNote App speichert nur in Cloud

Information von Deepsys vor 1 TagMicrosoft Office5 Kommentare

Microsoft zeigt deutlich wohin alles bei Ihnen geht, OneNote 2019 wird es nicht mehr geben, und die Windows 10 ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Server SSD: NVMe PCIe 3.0 RAID?
Frage von bouneeFestplatten, SSD, Raid15 Kommentare

Hallo liebe Admins, mir stellt sich gerade die Frage, ob ein neuer Server mit SSD NVMe PCIe 3.0 Sinn ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Windows 10
Windows 10 Startmenü-Einstellungen Systemweit festlegen
Frage von flotautWindows 1013 Kommentare

Guten Morgen liebe Admins, wir möchten bei uns am Lehrstuhl demnächst auf Windows 10 umsteigen. Wir installieren unsere PC's ...

LAN, WAN, Wireless
OpenVPN Client Fehlermeldungen
Frage von chris84LAN, WAN, Wireless12 Kommentare

Hallo Zusammen, wir nutzen seit kurzem einen neuen Router und den OpenVPN Client. Die VPN Verbindung klappt; allerdings kommen ...