emeriks
Goto Top

DNS "Spam"

Hi,
wir haben 2 Computer bei uns im Haus (mindestens, bin noch am recherchieren, ob es noch mehr sind), welche hunderte, vielleicht gar tausende von Anfragen an unserer DNS-Server senden, wie im Screenshot dargestellt.

Kennt das jemand und weiß, wer oder was diese Anfragen verursacht?

Die bertreffenden Computer sind Windows Server 2008 R2 Terminalserver mit Citrix XenApp und diversen Applikationen.

dns

E.

Content-Key: 306557

Url: https://administrator.de/contentid/306557

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: catachan
catachan 08.06.2016 um 19:19:48 Uhr
Goto Top
Hi

Du hast wohl eine Malware auf den betreffenden Servern die sich jetzt über DNS ihre C&C Server suchen.

LG
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.06.2016 um 19:28:34 Uhr
Goto Top
Moin,

So wie es ausschaut, tippe ich drauf, daß die Kisten sich mit Malwrae infiziert haben udn jetzt nah Ihrem C&C-Server suchen.

Ich würde die sofort vom netz nehmen und desinfizieren. ggf. auch erhöhte Aufmerksamkeit auf Backups legen, insbesodnere darauf achten, daß diese weit genug zurückreichen um ggf. beim scharfschalten des Erpressungstrojaners imemr noch "saubere" Exemplare vorhanden sind.

lks
Mitglied: Kraemer
Kraemer 09.06.2016 um 08:09:20 Uhr
Goto Top
Moin,

ich ich tippe hier auch ganz klar auf Malware. Und selbst wenn es keine ist, würde ich die Kisten so lange vom Netz nehmen, bis ich weiß, was das ist. Normal ist das nämlich nicht!

Gruß Krämer
Mitglied: 119944
119944 09.06.2016 um 16:08:49 Uhr
Goto Top
Moin,

ich kann mich den Kollegen nur anschließen, bei den Adresse denke ich da auch sofort an ein infiziertes System!

VG
Val

PS: Wie komm ich denn bei meinen 2012R2 DCs zu so einer schönen anzeige?
Mitglied: emeriks
emeriks 09.06.2016 aktualisiert um 16:30:39 Uhr
Goto Top
PS: Wie komm ich denn bei meinen 2012R2 DCs zu so einer schönen anzeige?
Programmieren mit .Net face-wink

Ich bin da noch nicht weiter.
Was ich über dieses "Suchen" nach einem C&C-Server bisher lesen konnte, sind das ja gar keine Suchvorgänge sondern gezielte Anfragen an die betreffenden DNS-Server. Diese DNS-Server können diese Namen dann dekodieren und entsprechend antworten. Die Namen, welche dabei angefragt werden, enden dabei mit einer oder mehreren fixen Domains, welche tatsächlich existieren und von solchen C&C-Servern oder DNS-Servern aus deren Infrastruktur gehostet werden.
In unserem Fall sind das aber alles Namen aus den internationalen TLDs. Ich mag nicht glauben, dass die Namensserver dieser TLDs zu dieser Infrastruktur gehören sollen .... Obwohl - CIA, NSA und Konsorten ...
Oder die Bots gehen davon aus, dass ein interner DNS-Server infiziert sein könnte und deshalb diese Anfragen "versteht", sprich diese gar nicht erst an die NS der TLDs weiterleitet sondern selbst "richtig" beantwortet. Ich glaube aber nicht, dass solche Antworten dann über das DNS-Protokoll zurückgesendet werden würden. Ich müsste mir also die Antworten des Servers mit Wireshark o.ä. ansehen ...