Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Viren und Trojaner

Ip 127.0.0.1 ist nicht der eigene Host? stamdie.com ist 127.0.0.1 ? - Phishing-mail

Mitglied: john30

john30 (Level 1) - Jetzt verbinden

25.09.2014 um 17:31 Uhr, 1934 Aufrufe, 4 Kommentare

Hallo,

heute erhielt ich gleich zwei Phishing mails - ich solle mich in mein PayPal Kto einloggen.
Tatsächlich existieren zu den beiden e-mail Adressen 2 PayPal-Konten - aber das ist eher nebensächlich.
Die erste mail habe ich gleich gelöscht, bei der zweiten mail hat mich dann interessiert, wohin ich eigentlich gelenkt werden sollte. Und da ist mir etwas merkwürdiges aufgefallen, dass ich mir nicht so einfach erklären kann.
Die Verlinkte adresse lautet ähnlich dieser:
http://paypalkontoeinloggen.53430.login.stamdie.com/de/login.php?a2lhcm ...

(tatsächlich habe ich diese aus dem Internet - durch google gefunden - im letzten parameter ist vermutlich die e-mail adresse verschlüsselt und ich wollte nicht meine nehmen...)

meine lautet:
http://ingcw97uru.a38.stamdie.com/de/?ZGllc29rb0BhcmNv.....

der springende Punkt ist stamdie.com :

ping stamdie.com
Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128
(unter windows 7)

Wie geht das? Kann es wirklich einen Server im Internet geben der diese IP hat? - Ist das bei euch auch so?
Ich habe in VMware ubuntu laufen - dasselbe ergebnis. Und um sicherzugehen, das in meiner Fritzbox über die die Internetanbindung läuft nicht irgendwelche DNS-Einträge verfälscht sind, habe ich das Internet über mein Handy getethered - dasselbe ergebnis.
Ich habe auch noch meine host-dateien überprüft - die sind sauber.

Drauf gekommen bin ich, weil ich auf meinem Rechner zu testzwecken einen Webserver laufen lasse. Und als ich dann in die adresszeile "stamdie.com" eingegeben habe, wurde mein lokaler webserver angesprochen. Wenn ich aber die komplette Adresse wie oben eingebe, wird nicht mein lokaler webserver angesprochen, sondern die Phishing-Website.

Also, kann das jemand von Euch erklären?

Mitglied: Lochkartenstanzer
25.09.2014 um 17:40 Uhr
Moin,

wenn man nachschaut sieht man:

lks@roku:~$ dig stamdie.com 
 
; <<>> DiG 9.8.1-P1 <<>> stamdie.com 
;; global options: +cmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64720 
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 
 
;; QUESTION SECTION: 
;stamdie.com.			IN	A 
 
;; ANSWER SECTION: 
stamdie.com.		4652	IN	A	127.0.0.1 
 
;; Query time: 16 msec 
;; SERVER: 192.168.178.1#53(192.168.178.1) 
;; WHEN: Thu Sep 25 17:35:26 2014 
;; MSG SIZE  rcvd: 45
d.h. der A-record dafür ist auf localhost umgebogen worden.

Daher antowrtet dir dein eigener rechner auf Dein Ping.

vermutlich hat man die domain stamdie.com "abgehängt" - denn die anderen Hostadressen unterhalb von stamdie.com lösen nicht auf - um das phishing zu unterbinden. Oder die Mail spekuliert darauf, das sich malware bei Dir eingenistet hat und das über einen lokalen proxy geschickt wird,

lks
Bitte warten ..
Mitglied: john30
25.09.2014 um 23:43 Uhr
Danke für die Antwort! Ich gebe zu mein Wissen um ide Thematik ist etwas rudimentär. So war mir "dig" nicht bekannt, nslookup hätte mit noch was gesagt.

Egal, was ich nicht verstehe: Es kann doch eigentlich niemand irgendwo eine domain mit der IP 127.0.0.1 anmelden, oder?
Oder ist das hier doch geschehen

Woher kommt den tatsächlich diese Information, die dig hier ausgibt? Die kommt doch von einem DNS-Server, oder? Wurde der dann gehackt, oder was ist hier passiert?

Mir sagt der Begriff "A record" nichts - villeicht erklärt sich damit meine Verwirrtheit.

Übrigens hier mal das Ergebnis zu whois stamdie.com:
(ich persönlich kann da leider auch nicht jede Zeile deuten)

Domain Name: STAMDIE.COM
Registry Domain ID: 1877120288_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.nic.ru
Registrar URL: http://www.nic.ru
Creation Date: 2014-09-23T16:23:05Z
Registrar Registration Expiration Date: 2015-09-22T20:00:00Z
Registrar: Regional Network Information Center, JSC dba RU-CENTER
Registrar IANA ID: 463
Registrar Abuse Contact Email: tld-abuse@nic.ru
Registrar Abuse Contact Phone: +7.4959944601
Domain Status: clientTransferProhibited
Registry Registrant ID:
Registrant Name: Martins Inc
Registrant Organization: Martins Inc
Registrant Street: Feldstrasse 14
Registrant City: Tangermunde
Registrant Postal Code: 39586
Registrant Country: DE
Registrant Phone: +49.393229164
Registrant Phone Ext:
Registrant E-mail: martin.schroeder@yandex.com
Registry Admin ID:
Admin Name: Martins Inc
Admin Organization: Martins Inc
Admin Street: Feldstrasse 14
Admin City: Tangermunde
Admin Postal Code: 39586
Admin Country: DE
Admin Phone: +49.393229164
Admin Phone Ext:
Admin E-mail: martin.schroeder@yandex.com
Registry Tech ID:
Tech Name: Martins Inc
Tech Organization: Martins Inc
Tech Street: Feldstrasse 14
Tech City: Tangermunde
Tech Postal Code: 39586
Tech Country: DE
Tech Phone: +49.393229164
Tech Phone Ext:
Tech E-mail: martin.schroeder@yandex.com
Name Server: na1.stamdie.com 109.163.239.229
Name Server: ns.stamdie.com 109.163.239.229
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
Last update of WHOIS database: 2014.09.25T00:28:27Z <<<
% By submitting a query to RU-CENTER's Whois Service
% you agree to abide by the following terms of use:
% http://www.nic.ru/about/servpol.html (in Russian)
% http://www.nic.ru/about/en/servpol.html (in English).
Bitte warten ..
Mitglied: rana-mp
26.09.2014 um 00:24 Uhr
Offiziell kann tatsaechlich niemand eine solche Domain anmelden auf die IP 127.0.0.1.
Wenn man aber an den "Schalthebeln der Macht" sitzt, also die Kontrolle ueber den root DNS der entsprechenden Zone hat, und aus welchen Gründen auch immer eine Domain totschalten will, ist das umbiegen dieser Domain auf die IP 127.0.0.1 ein probates Mittel.
Gemacht wird das offiziell natürlich nur um die User zu schützen, also zB bekannte Malware-Domains umzuleiten, aber das Missbrauchspotential sollte offensichtlich sein.


Gruß,

rana-mp
Bitte warten ..
Mitglied: Lochkartenstanzer
26.09.2014, aktualisiert um 07:31 Uhr
Zitat von rana-mp:

Offiziell kann tatsaechlich niemand eine solche Domain anmelden auf die IP 127.0.0.1.

Blödsinn,

es ist nicht schlimm, wenn man etwas nicht weiß, aber man sollte dann das spekulieren lassen.

Tatsache ist:

Man registriert eine Domain, indem man Kontakdaten angibt und läßt sie sich delegieren, indem man die IP-Adresse des Primary Nameservers angibt. Die Kontakdaten bekommt man mit whois (s.o.) heraus, die Nameserver mit dns-tools:

In diesem Fall:

dig stamdie.com ns
; <<>> DiG 9.8.1-P1 <<>> stamdie.com ns 
;; global options: +cmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17555 
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0 
 
;; QUESTION SECTION: 
;stamdie.com.			IN	NS 
 
;; ANSWER SECTION: 
stamdie.com.		38400	IN	NS	ns.stamdie.com. 
stamdie.com.		38400	IN	NS	ns1.stamdie.com. 
 
;; Query time: 20 msec 
;; SERVER: 192.168.178.1#53(192.168.178.1) 
;; WHEN: Fri Sep 26 07:21:24 2014 
;; MSG SIZE  rcvd: 64
dig ns.stamdie.com
; <<>> DiG 9.8.1-P1 <<>> ns.stamdie.com 
;; global options: +cmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12281 
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 
 
;; QUESTION SECTION: 
;ns.stamdie.com.			IN	A 
 
;; ANSWER SECTION: 
ns.stamdie.com.		37823	IN	A	109.163.239.229 
 
;; Query time: 11 msec 
;; SERVER: 192.168.178.1#53(192.168.178.1) 
;; WHEN: Fri Sep 26 07:21:33 2014 
;; MSG SIZE  rcvd: 48
dig ns1.stamdie.com
; <<>> DiG 9.8.1-P1 <<>> ns1.stamdie.com 
;; global options: +cmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23761 
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 
 
;; QUESTION SECTION: 
;ns1.stamdie.com.		IN	A 
 
;; ANSWER SECTION: 
ns1.stamdie.com.	11498	IN	A	109.163.239.229 
 
;; Query time: 12 msec 
;; SERVER: 192.168.178.1#53(192.168.178.1) 
;; WHEN: Fri Sep 26 07:21:37 2014 
;; MSG SIZE  rcvd: 49

Wie Ihr seht, hat alles seine Ordnung.

Woher komtm nun die 127.0.0.1? Ganz einfach. Der nameserver darf auf Anfragen mit jeder beliebigen IP-Adresse antworten, die er lustig findet. Also auch mit der 127.0.0.1. Da kann dem Eigentümer auch niemand reinreden oder etwas verbieten. es kann durchaus sinnvoll sein, auch mal 127.0.0.1 zurückzleifern. ich tippe mal, da hat einafch jeamand die domain "kurzgeschlossen", um das phishing zu unterbinden. oder die Mail hatte malware, die einen lokalen webserver auf localhost betreibt. um nicht auf irgendwelche internet-Server angewiesen zu sein.

Also Jungs: lest euch in die Materie ein, bevor Ihr wild herumspekuluiert.

lks

PS:

http://wiki.hetzner.de/index.php/DNS_delegieren
https://www.google.de/search?q=domain+delegieren
usw.
Bitte warten ..
Ähnliche Inhalte
Soziale Netzwerke
Facebook: Neuen Phishing E-Mails im Umlauf
Information von FrankSoziale Netzwerke

Hallo User, aktuell sind wieder neue und gut gemachte Phishing Mail für Facebook im Umlauf. Absender Facebook for Business ...

Hyper-V
Hyper-V Host eigene NIC?
Frage von itse92Hyper-V3 Kommentare

Moin, wie verfahrt Ihr mit Eurer Hyper-V Installation? Ich habe einen HP-Server mit 4 1Gbit NICs. Es gibt einen ...

Windows Netzwerk
Basisfiltermodul blockiert Verbindungen zu 127.0.0.1
Frage von LordGurkeWindows Netzwerk

Olá zusammen, ich habe hier eine Windows 7 Professional (x64)-Workstation, bei der kein Nutzer zu lokalen Diensten per Adresse ...

Erkennung und -Abwehr
Phishing-Webseiten-Sammelstelle
Frage von StefanKittelErkennung und -Abwehr8 Kommentare

Hallo, nachdem eine Freundin in einem Phising-Web-Shop bestohlen wurde habe ich ein bisschen geschaut. Der Shops ist eigentlich ganz ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 6 StundenRouter & Routing2 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 13 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 17 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...