Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DNS Trojaner

Frage Sicherheit

Mitglied: User321

User321 (Level 1) - Jetzt verbinden

12.01.2012 um 09:16 Uhr, 4979 Aufrufe, 11 Kommentare

Was ist Wahres dran?

Vor ein paar Tagen habe ich von diesem sogenannten DNS-Trojaner gehört und dass alle User, die ein PC mit Internetanbindung besitzen, ihren Rechner über www.dns-ok.de testen sollen. Dies kommt mir aber etwas spanisch vor, dass sich jetzt alle auf eine angeblich offizielle Seite der Bundesregierung einwählen sollen um den Rechner auf diesen Trojaner zu testen. Habe dies mit dem PC von Arbeit aus mal probiert. Sofort, als ich die Webadresse eingegeben hatte und "Enter" drückte, stand da, dass der Rechner keinen DNS-Trojaner hat. Ich glaube nicht, dass innerhalb von 1/100 Sek. festzustellen ist, dass der Rechner keinen Trojaner hat.

Oder wie seht ihr das? Was ist Eure Meinung dazu?
Mitglied: brammer
12.01.2012 um 09:22 Uhr
Hallo,

die Seite testet nicht ob auf deinem Rechenr ein Trojaner ist, sondern ob eine Umleitung des DNS vorliegt.
Auf der Seite wählst du dich auch nicht ein, sondern rufst diese nur auf.

Die DNS Abfrage ist in der Zeit durchaus möglich.

brammer
Bitte warten ..
Mitglied: ground2er0
12.01.2012 um 09:29 Uhr
Na klar kann man das in einer Sekunde feststellen.

Bei dem www.dns-ok.de wird nicht der ganze Computer (Festplatte) gescannt!
Das Script (Programm) schaut nur nach was du für einen DNS Server eingetragen hast ( das kannst du selber auch unter (Start / Ausführen "ipconfig /all machen.
Wenn du z.b. www.google.de in den IE eingibst kommt eine Anfrage zum DNS Server der dann die IP Adresse dazu ausgibt und dich zum Server von Google weiterleitet.
Wenn du nun den DNS vom Trojaner eingetragen hast kommst eben auf den "Falschen" DNS Server

Aber K.A. warum sich der Staat sorgen macht das nach abschaltung des Trojaner DNS Servers ein paar User nicht mehr ins Internet können..
Normalerweise ist denen das ganz egal
Bitte warten ..
Mitglied: brammer
12.01.2012 um 09:39 Uhr
Zitat von ground2er0:


Aber K.A. warum sich der Staat sorgen macht das nach abschaltung des Trojaner DNS Servers ein paar User nicht mehr ins Internet
können..

Weil es nicht um "ein paar User" geht sondern nach verschiedenen Aussagen um mehrere Millionen User!

Normalerweise ist denen das ganz egal

Spiegel Artikel

Golem Artikel

Heise Artikel

Sinn oder Unsinn dieser Massnahme lassen wir mal dahin gestellt.

brammer
Bitte warten ..
Mitglied: ground2er0
12.01.2012 um 09:51 Uhr
Weil es nicht um "ein paar User" geht sondern nach verschiedenen Aussagen um mehrere Millionen User!

Laut golem
"ist aber auf etwa 30.000 Rechnern in Deutschland immer noch aktiv."

Ich denke das ist überschaubar.

Edit:

OK laut Spiegel:

"Laut FBI rufen derzeit bis zu 33.000 Computer am Tag aus Deutschland die von der Behörde übernommenen Steuerungsrechner des Zombie-Netzwerks auf"

da soll sich noch jemand auskennen
Bitte warten ..
Mitglied: HGGIGO
12.01.2012 um 10:00 Uhr
Eigentlich recht human gelöst!

Die abfrage auf www.dns-ok.de wird nur über den abgefragten DNS identifiziert. Entweder wirst du im BotNet aufgelöst und über die umgemodelten DNS-Server auf Rote-DNS-OK Seite geleitet oder eben net! I hätte gleich alle anfragen auf ne Fehlerseite mit Problembehandlung geschickt (Ein fantastisches Chaos ) ).
Bitte warten ..
Mitglied: dog
12.01.2012 um 23:37 Uhr
- gestrichen -
Bitte warten ..
Mitglied: cardisch
13.01.2012 um 08:21 Uhr
Kann mir denn einer von den DNS-Experten etwas verraten?
Meine Frage:
Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort drin.
Sehe ich da etwas falsch ?!
Ich gehe jetzt in diesem Fall eher von Privatleuten mit einem DSL-Router aus !


Gruß und Danke

Carsten
Bitte warten ..
Mitglied: pieh-ejdsch
13.01.2012 um 12:12 Uhr
moin,

Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort drin.
Dann würde das umbiegen per LMHosts auch nicht gehen. (obwohl ist ja WINS)
Der erste DNS löst in die IP-Adresse auf wenn er das kann und der im Router eingetragene bekommt die Anfage zur IP-Adresse und nicht die zum Domainname.
somit:
Die abfrage auf www.dns-ok.de wird nur über den abgefragten DNS identifiziert.

Und wenn ich nicht irre müsste / sollte das BSI die IP-Adresse anstatt den Domainamen zum Test rausrücken.

Gruß Phil
Bitte warten ..
Mitglied: dog
13.01.2012 um 15:10 Uhr
Und wenn ich nicht irre müsste / sollte das BSI die IP-Adresse anstatt den Domainamen zum Test rausrücken.

Theoretisch ja.
Aber das Botnetz ist nicht mehr aktiv und das BSI hat die IPs der manipulierten DNS-Server zurück-gekapert.
Wer also jetzt so einen manipulierten DNS-Server benutzt, der aber mittlerweile vom BSI kontrolliert wird, der kommt bei dns-ok.de auf die entsprechende Warnseite.
In allen anderen Fällen würde da OK stehen.

Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort drin.

Zum einen geht es ja um genau einen Trojaner, der die DNS-Einstellungen des Rechners verändert hat.
Zum anderen gibt es heute auch Trojaner die Standardpasswörter von üblichen DSL-Routern durchprobieren können und die Einstellung im Router ändern.
Bitte warten ..
Mitglied: LordGurke
13.01.2012 um 17:17 Uhr
Mein Vater schafft es immer wieder sich sowas einzufangen. Ich habe eher zufällig bei ihm bemerkt, dass er mir unbekannte DNS-Server in der IP-Konfiguration eingetragen hatte. Die IP bekam er weiterhin über DHCP, die DNS-Adressen waren manuell gesetzt.
Wer es selbst mal probieren will: Eine IP-Adresse lautete 93.188.162.165.

Der Unterschied:
Mit "echten" Nameservern zeigt "dns-ok.de" auf 85.214.11.195
mit dem Botnetz-DNS auf 85.214.11.194 (authoritativer Nameserver ist "localhost.")
So einfach kann es sein


Ich habe daraufhin dem Router (eine kleine Linuxkiste) beigebracht, dass externe DNS-Server per Firewall gesperrt sind und nur der Router selbst noch ungefiltert rauskommt. Entweder nutzt ein Rechner im lokalen Netz also auch den DNS-Server des Routers oder garkeinen.
Wird ein fremder DNS-Server in der IP-Konfiguration von Windows eingetragen wirst du das also schnell merken, weil keine Domains mehr aufgelöst werden können
Bitte warten ..
Mitglied: cardisch
16.01.2012 um 12:10 Uhr
Zitat von dog:
> Und wenn ich nicht irre müsste / sollte das BSI die IP-Adresse anstatt den Domainamen zum Test rausrücken.

Theoretisch ja.
Aber das Botnetz ist nicht mehr aktiv und das BSI hat die IPs der manipulierten DNS-Server zurück-gekapert.
Wer also jetzt so einen manipulierten DNS-Server benutzt, der aber mittlerweile vom BSI kontrolliert wird, der kommt bei dns-ok.de
auf die entsprechende Warnseite.
In allen anderen Fällen würde da OK stehen.

> Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr
selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort
drin.

Zum einen geht es ja um genau einen Trojaner, der die DNS-Einstellungen des Rechners verändert hat.
Zum anderen gibt es heute auch Trojaner die Standardpasswörter von üblichen DSL-Routern durchprobieren können und
die Einstellung im Router ändern.


Danke,

genau das hatte ich mir schon zusammengereimt, wollte es aber sicherhalber bestätigt haben...

Gruß

Carsten
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Mischa Trojaner. Was nun
Frage von EdaseinsViren und Trojaner5 Kommentare

Hi Leute, und nun bin ich verzweifelt. Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk ...

Viren und Trojaner
Crypto Trojaner DRINGEND
Frage von Luciver1981Viren und Trojaner10 Kommentare

Hallo erstmal, wir hatten heute ein verseuchten Rechner mit einem Crypto Trojaner. Folgendes hab ich getan. 1. PC sofort ...

Viren und Trojaner
Ist das ein Virus, Trojaner oder ein Teil von Windows
Frage von evolutionViren und Trojaner10 Kommentare

Hallo, ich hab mal einen Frage Seit einigen Tagen bemerke ich in meiner Taskleiste immer im Bruchteil einer Sekunde ...

Viren und Trojaner
Vegclass aol.com.xtbl Trojaner
Frage von franksigViren und Trojaner5 Kommentare

nabend zusammen, ich hab dein anruf eines Freundes bekommen. Er ist infiziert mit dem "Vegclass@aol.com.xtbl" hat da wer Erfahrungen ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 3 TagenWebbrowser7 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 3 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...