Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DNS Trojaner

Frage Sicherheit

Mitglied: User321

User321 (Level 1) - Jetzt verbinden

12.01.2012 um 09:16 Uhr, 4936 Aufrufe, 11 Kommentare

Was ist Wahres dran?

Vor ein paar Tagen habe ich von diesem sogenannten DNS-Trojaner gehört und dass alle User, die ein PC mit Internetanbindung besitzen, ihren Rechner über www.dns-ok.de testen sollen. Dies kommt mir aber etwas spanisch vor, dass sich jetzt alle auf eine angeblich offizielle Seite der Bundesregierung einwählen sollen um den Rechner auf diesen Trojaner zu testen. Habe dies mit dem PC von Arbeit aus mal probiert. Sofort, als ich die Webadresse eingegeben hatte und "Enter" drückte, stand da, dass der Rechner keinen DNS-Trojaner hat. Ich glaube nicht, dass innerhalb von 1/100 Sek. festzustellen ist, dass der Rechner keinen Trojaner hat.

Oder wie seht ihr das? Was ist Eure Meinung dazu?
Mitglied: brammer
12.01.2012 um 09:22 Uhr
Hallo,

die Seite testet nicht ob auf deinem Rechenr ein Trojaner ist, sondern ob eine Umleitung des DNS vorliegt.
Auf der Seite wählst du dich auch nicht ein, sondern rufst diese nur auf.

Die DNS Abfrage ist in der Zeit durchaus möglich.

brammer
Bitte warten ..
Mitglied: ground2er0
12.01.2012 um 09:29 Uhr
Na klar kann man das in einer Sekunde feststellen.

Bei dem www.dns-ok.de wird nicht der ganze Computer (Festplatte) gescannt!
Das Script (Programm) schaut nur nach was du für einen DNS Server eingetragen hast ( das kannst du selber auch unter (Start / Ausführen "ipconfig /all machen.
Wenn du z.b. www.google.de in den IE eingibst kommt eine Anfrage zum DNS Server der dann die IP Adresse dazu ausgibt und dich zum Server von Google weiterleitet.
Wenn du nun den DNS vom Trojaner eingetragen hast kommst eben auf den "Falschen" DNS Server

Aber K.A. warum sich der Staat sorgen macht das nach abschaltung des Trojaner DNS Servers ein paar User nicht mehr ins Internet können..
Normalerweise ist denen das ganz egal
Bitte warten ..
Mitglied: brammer
12.01.2012 um 09:39 Uhr
Zitat von ground2er0:


Aber K.A. warum sich der Staat sorgen macht das nach abschaltung des Trojaner DNS Servers ein paar User nicht mehr ins Internet
können..

Weil es nicht um "ein paar User" geht sondern nach verschiedenen Aussagen um mehrere Millionen User!

Normalerweise ist denen das ganz egal

Spiegel Artikel

Golem Artikel

Heise Artikel

Sinn oder Unsinn dieser Massnahme lassen wir mal dahin gestellt.

brammer
Bitte warten ..
Mitglied: ground2er0
12.01.2012 um 09:51 Uhr
Weil es nicht um "ein paar User" geht sondern nach verschiedenen Aussagen um mehrere Millionen User!

Laut golem
"ist aber auf etwa 30.000 Rechnern in Deutschland immer noch aktiv."

Ich denke das ist überschaubar.

Edit:

OK laut Spiegel:

"Laut FBI rufen derzeit bis zu 33.000 Computer am Tag aus Deutschland die von der Behörde übernommenen Steuerungsrechner des Zombie-Netzwerks auf"

da soll sich noch jemand auskennen
Bitte warten ..
Mitglied: HGGIGO
12.01.2012 um 10:00 Uhr
Eigentlich recht human gelöst!

Die abfrage auf www.dns-ok.de wird nur über den abgefragten DNS identifiziert. Entweder wirst du im BotNet aufgelöst und über die umgemodelten DNS-Server auf Rote-DNS-OK Seite geleitet oder eben net! I hätte gleich alle anfragen auf ne Fehlerseite mit Problembehandlung geschickt (Ein fantastisches Chaos ) ).
Bitte warten ..
Mitglied: dog
12.01.2012 um 23:37 Uhr
- gestrichen -
Bitte warten ..
Mitglied: cardisch
13.01.2012 um 08:21 Uhr
Kann mir denn einer von den DNS-Experten etwas verraten?
Meine Frage:
Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort drin.
Sehe ich da etwas falsch ?!
Ich gehe jetzt in diesem Fall eher von Privatleuten mit einem DSL-Router aus !


Gruß und Danke

Carsten
Bitte warten ..
Mitglied: pieh-ejdsch
13.01.2012 um 12:12 Uhr
moin,

Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort drin.
Dann würde das umbiegen per LMHosts auch nicht gehen. (obwohl ist ja WINS)
Der erste DNS löst in die IP-Adresse auf wenn er das kann und der im Router eingetragene bekommt die Anfage zur IP-Adresse und nicht die zum Domainname.
somit:
Die abfrage auf www.dns-ok.de wird nur über den abgefragten DNS identifiziert.

Und wenn ich nicht irre müsste / sollte das BSI die IP-Adresse anstatt den Domainamen zum Test rausrücken.

Gruß Phil
Bitte warten ..
Mitglied: dog
13.01.2012 um 15:10 Uhr
Und wenn ich nicht irre müsste / sollte das BSI die IP-Adresse anstatt den Domainamen zum Test rausrücken.

Theoretisch ja.
Aber das Botnetz ist nicht mehr aktiv und das BSI hat die IPs der manipulierten DNS-Server zurück-gekapert.
Wer also jetzt so einen manipulierten DNS-Server benutzt, der aber mittlerweile vom BSI kontrolliert wird, der kommt bei dns-ok.de auf die entsprechende Warnseite.
In allen anderen Fällen würde da OK stehen.

Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort drin.

Zum einen geht es ja um genau einen Trojaner, der die DNS-Einstellungen des Rechners verändert hat.
Zum anderen gibt es heute auch Trojaner die Standardpasswörter von üblichen DSL-Routern durchprobieren können und die Einstellung im Router ändern.
Bitte warten ..
Mitglied: LordGurke
13.01.2012 um 17:17 Uhr
Mein Vater schafft es immer wieder sich sowas einzufangen. Ich habe eher zufällig bei ihm bemerkt, dass er mir unbekannte DNS-Server in der IP-Konfiguration eingetragen hatte. Die IP bekam er weiterhin über DHCP, die DNS-Adressen waren manuell gesetzt.
Wer es selbst mal probieren will: Eine IP-Adresse lautete 93.188.162.165.

Der Unterschied:
Mit "echten" Nameservern zeigt "dns-ok.de" auf 85.214.11.195
mit dem Botnetz-DNS auf 85.214.11.194 (authoritativer Nameserver ist "localhost.")
So einfach kann es sein


Ich habe daraufhin dem Router (eine kleine Linuxkiste) beigebracht, dass externe DNS-Server per Firewall gesperrt sind und nur der Router selbst noch ungefiltert rauskommt. Entweder nutzt ein Rechner im lokalen Netz also auch den DNS-Server des Routers oder garkeinen.
Wird ein fremder DNS-Server in der IP-Konfiguration von Windows eingetragen wirst du das also schnell merken, weil keine Domains mehr aufgelöst werden können
Bitte warten ..
Mitglied: cardisch
16.01.2012 um 12:10 Uhr
Zitat von dog:
> Und wenn ich nicht irre müsste / sollte das BSI die IP-Adresse anstatt den Domainamen zum Test rausrücken.

Theoretisch ja.
Aber das Botnetz ist nicht mehr aktiv und das BSI hat die IPs der manipulierten DNS-Server zurück-gekapert.
Wer also jetzt so einen manipulierten DNS-Server benutzt, der aber mittlerweile vom BSI kontrolliert wird, der kommt bei dns-ok.de
auf die entsprechende Warnseite.
In allen anderen Fällen würde da OK stehen.

> Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr
selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort
drin.

Zum einen geht es ja um genau einen Trojaner, der die DNS-Einstellungen des Rechners verändert hat.
Zum anderen gibt es heute auch Trojaner die Standardpasswörter von üblichen DSL-Routern durchprobieren können und
die Einstellung im Router ändern.


Danke,

genau das hatte ich mir schon zusammengereimt, wollte es aber sicherhalber bestätigt haben...

Gruß

Carsten
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

DNS
gelöst DNS Weiterleitung ohne www (4)

Frage von simonsays zum Thema DNS ...

Windows Netzwerk
gelöst DNS - Weiterleitung zu DNS-Server in anderer Domain (5)

Frage von Schauer zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Router & Routing
gelöst Empfehlung günstiges ADSL2+ nur Modem (10)

Frage von TimMayer zum Thema Router & Routing ...

Server-Hardware
Lenovo Server System X 3650 M5 Festplatten (9)

Frage von Hendrik2586 zum Thema Server-Hardware ...