Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ip 127.0.0.1 ist nicht der eigene Host? stamdie.com ist 127.0.0.1 ? - Phishing-mail

Frage Sicherheit Viren und Trojaner

Mitglied: john30

john30 (Level 1) - Jetzt verbinden

25.09.2014 um 17:31 Uhr, 1848 Aufrufe, 4 Kommentare

Hallo,

heute erhielt ich gleich zwei Phishing mails - ich solle mich in mein PayPal Kto einloggen.
Tatsächlich existieren zu den beiden e-mail Adressen 2 PayPal-Konten - aber das ist eher nebensächlich.
Die erste mail habe ich gleich gelöscht, bei der zweiten mail hat mich dann interessiert, wohin ich eigentlich gelenkt werden sollte. Und da ist mir etwas merkwürdiges aufgefallen, dass ich mir nicht so einfach erklären kann.
Die Verlinkte adresse lautet ähnlich dieser:
http://paypalkontoeinloggen.53430.login.stamdie.com/de/login.php?a2lhcm ...

(tatsächlich habe ich diese aus dem Internet - durch google gefunden - im letzten parameter ist vermutlich die e-mail adresse verschlüsselt und ich wollte nicht meine nehmen...)

meine lautet:
http://ingcw97uru.a38.stamdie.com/de/?ZGllc29rb0BhcmNv.....

der springende Punkt ist stamdie.com :

ping stamdie.com
Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128
(unter windows 7)

Wie geht das? Kann es wirklich einen Server im Internet geben der diese IP hat? - Ist das bei euch auch so?
Ich habe in VMware ubuntu laufen - dasselbe ergebnis. Und um sicherzugehen, das in meiner Fritzbox über die die Internetanbindung läuft nicht irgendwelche DNS-Einträge verfälscht sind, habe ich das Internet über mein Handy getethered - dasselbe ergebnis.
Ich habe auch noch meine host-dateien überprüft - die sind sauber.

Drauf gekommen bin ich, weil ich auf meinem Rechner zu testzwecken einen Webserver laufen lasse. Und als ich dann in die adresszeile "stamdie.com" eingegeben habe, wurde mein lokaler webserver angesprochen. Wenn ich aber die komplette Adresse wie oben eingebe, wird nicht mein lokaler webserver angesprochen, sondern die Phishing-Website.

Also, kann das jemand von Euch erklären?

Mitglied: Lochkartenstanzer
25.09.2014 um 17:40 Uhr
Moin,

wenn man nachschaut sieht man:

lks@roku:~$ dig stamdie.com 
 
; <<>> DiG 9.8.1-P1 <<>> stamdie.com 
;; global options: +cmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64720 
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 
 
;; QUESTION SECTION: 
;stamdie.com.			IN	A 
 
;; ANSWER SECTION: 
stamdie.com.		4652	IN	A	127.0.0.1 
 
;; Query time: 16 msec 
;; SERVER: 192.168.178.1#53(192.168.178.1) 
;; WHEN: Thu Sep 25 17:35:26 2014 
;; MSG SIZE  rcvd: 45
d.h. der A-record dafür ist auf localhost umgebogen worden.

Daher antowrtet dir dein eigener rechner auf Dein Ping.

vermutlich hat man die domain stamdie.com "abgehängt" - denn die anderen Hostadressen unterhalb von stamdie.com lösen nicht auf - um das phishing zu unterbinden. Oder die Mail spekuliert darauf, das sich malware bei Dir eingenistet hat und das über einen lokalen proxy geschickt wird,

lks
Bitte warten ..
Mitglied: john30
25.09.2014 um 23:43 Uhr
Danke für die Antwort! Ich gebe zu mein Wissen um ide Thematik ist etwas rudimentär. So war mir "dig" nicht bekannt, nslookup hätte mit noch was gesagt.

Egal, was ich nicht verstehe: Es kann doch eigentlich niemand irgendwo eine domain mit der IP 127.0.0.1 anmelden, oder?
Oder ist das hier doch geschehen

Woher kommt den tatsächlich diese Information, die dig hier ausgibt? Die kommt doch von einem DNS-Server, oder? Wurde der dann gehackt, oder was ist hier passiert?

Mir sagt der Begriff "A record" nichts - villeicht erklärt sich damit meine Verwirrtheit.

Übrigens hier mal das Ergebnis zu whois stamdie.com:
(ich persönlich kann da leider auch nicht jede Zeile deuten)

Domain Name: STAMDIE.COM
Registry Domain ID: 1877120288_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.nic.ru
Registrar URL: http://www.nic.ru
Creation Date: 2014-09-23T16:23:05Z
Registrar Registration Expiration Date: 2015-09-22T20:00:00Z
Registrar: Regional Network Information Center, JSC dba RU-CENTER
Registrar IANA ID: 463
Registrar Abuse Contact Email: tld-abuse@nic.ru
Registrar Abuse Contact Phone: +7.4959944601
Domain Status: clientTransferProhibited
Registry Registrant ID:
Registrant Name: Martins Inc
Registrant Organization: Martins Inc
Registrant Street: Feldstrasse 14
Registrant City: Tangermunde
Registrant Postal Code: 39586
Registrant Country: DE
Registrant Phone: +49.393229164
Registrant Phone Ext:
Registrant E-mail: martin.schroeder@yandex.com
Registry Admin ID:
Admin Name: Martins Inc
Admin Organization: Martins Inc
Admin Street: Feldstrasse 14
Admin City: Tangermunde
Admin Postal Code: 39586
Admin Country: DE
Admin Phone: +49.393229164
Admin Phone Ext:
Admin E-mail: martin.schroeder@yandex.com
Registry Tech ID:
Tech Name: Martins Inc
Tech Organization: Martins Inc
Tech Street: Feldstrasse 14
Tech City: Tangermunde
Tech Postal Code: 39586
Tech Country: DE
Tech Phone: +49.393229164
Tech Phone Ext:
Tech E-mail: martin.schroeder@yandex.com
Name Server: na1.stamdie.com 109.163.239.229
Name Server: ns.stamdie.com 109.163.239.229
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
Last update of WHOIS database: 2014.09.25T00:28:27Z <<<
% By submitting a query to RU-CENTER's Whois Service
% you agree to abide by the following terms of use:
% http://www.nic.ru/about/servpol.html (in Russian)
% http://www.nic.ru/about/en/servpol.html (in English).
Bitte warten ..
Mitglied: rana-mp
26.09.2014 um 00:24 Uhr
Offiziell kann tatsaechlich niemand eine solche Domain anmelden auf die IP 127.0.0.1.
Wenn man aber an den "Schalthebeln der Macht" sitzt, also die Kontrolle ueber den root DNS der entsprechenden Zone hat, und aus welchen Gründen auch immer eine Domain totschalten will, ist das umbiegen dieser Domain auf die IP 127.0.0.1 ein probates Mittel.
Gemacht wird das offiziell natürlich nur um die User zu schützen, also zB bekannte Malware-Domains umzuleiten, aber das Missbrauchspotential sollte offensichtlich sein.


Gruß,

rana-mp
Bitte warten ..
Mitglied: Lochkartenstanzer
26.09.2014, aktualisiert um 07:31 Uhr
Zitat von rana-mp:

Offiziell kann tatsaechlich niemand eine solche Domain anmelden auf die IP 127.0.0.1.

Blödsinn,

es ist nicht schlimm, wenn man etwas nicht weiß, aber man sollte dann das spekulieren lassen.

Tatsache ist:

Man registriert eine Domain, indem man Kontakdaten angibt und läßt sie sich delegieren, indem man die IP-Adresse des Primary Nameservers angibt. Die Kontakdaten bekommt man mit whois (s.o.) heraus, die Nameserver mit dns-tools:

In diesem Fall:

dig stamdie.com ns
; <<>> DiG 9.8.1-P1 <<>> stamdie.com ns 
;; global options: +cmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17555 
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0 
 
;; QUESTION SECTION: 
;stamdie.com.			IN	NS 
 
;; ANSWER SECTION: 
stamdie.com.		38400	IN	NS	ns.stamdie.com. 
stamdie.com.		38400	IN	NS	ns1.stamdie.com. 
 
;; Query time: 20 msec 
;; SERVER: 192.168.178.1#53(192.168.178.1) 
;; WHEN: Fri Sep 26 07:21:24 2014 
;; MSG SIZE  rcvd: 64
dig ns.stamdie.com
; <<>> DiG 9.8.1-P1 <<>> ns.stamdie.com 
;; global options: +cmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12281 
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 
 
;; QUESTION SECTION: 
;ns.stamdie.com.			IN	A 
 
;; ANSWER SECTION: 
ns.stamdie.com.		37823	IN	A	109.163.239.229 
 
;; Query time: 11 msec 
;; SERVER: 192.168.178.1#53(192.168.178.1) 
;; WHEN: Fri Sep 26 07:21:33 2014 
;; MSG SIZE  rcvd: 48
dig ns1.stamdie.com
; <<>> DiG 9.8.1-P1 <<>> ns1.stamdie.com 
;; global options: +cmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23761 
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 
 
;; QUESTION SECTION: 
;ns1.stamdie.com.		IN	A 
 
;; ANSWER SECTION: 
ns1.stamdie.com.	11498	IN	A	109.163.239.229 
 
;; Query time: 12 msec 
;; SERVER: 192.168.178.1#53(192.168.178.1) 
;; WHEN: Fri Sep 26 07:21:37 2014 
;; MSG SIZE  rcvd: 49

Wie Ihr seht, hat alles seine Ordnung.

Woher komtm nun die 127.0.0.1? Ganz einfach. Der nameserver darf auf Anfragen mit jeder beliebigen IP-Adresse antworten, die er lustig findet. Also auch mit der 127.0.0.1. Da kann dem Eigentümer auch niemand reinreden oder etwas verbieten. es kann durchaus sinnvoll sein, auch mal 127.0.0.1 zurückzleifern. ich tippe mal, da hat einafch jeamand die domain "kurzgeschlossen", um das phishing zu unterbinden. oder die Mail hatte malware, die einen lokalen webserver auf localhost betreibt. um nicht auf irgendwelche internet-Server angewiesen zu sein.

Also Jungs: lest euch in die Materie ein, bevor Ihr wild herumspekuluiert.

lks

PS:

http://wiki.hetzner.de/index.php/DNS_delegieren
https://www.google.de/search?q=domain+delegieren
usw.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
KVM
gelöst Virt MAnager VM eigene IP (4)

Frage von denndsd zum Thema KVM ...

KVM
gelöst KVM- VM eigene IP Adresse (8)

Frage von denndsd zum Thema KVM ...

Router & Routing
gelöst Pfsense, Virtual IP mit NAT und DMZ Host (7)

Frage von LordXearo zum Thema Router & Routing ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...