Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ständige DNS Zugriffe - woher kommt das?!

Frage Netzwerke DNS

Mitglied: mofomulo

mofomulo (Level 1) - Jetzt verbinden

25.11.2013, aktualisiert 09:19 Uhr, 2204 Aufrufe, 11 Kommentare

Hallo,

ich hab hier einen Rechner im Netzwerk der ständig per Port 53 auf diverse IPs verbinden möchte!
Das probiert er über jeden internen Port auf völlig willkürliche IP Adressen. Ich kann die Quelle nicht ausfindig machen..
Habe schon einen Virenscan durchlaufen lassen (Sophos) ohne Ergebnis..
Habe mal mit nmap und wireshark geschaut ob ich einen Prozess ausfindig machen kann.. nichts..
Im Taskmanager werde ich sowieso nicht fündig..

Hab mal einen Ausschnitt aus dem Firewall Log beigefügt.. ich hoffe jemand kann mir helfen. Das Teil ballert den ganzen Log zu.

4d7d9c719ccf514bee464f69eccbd833 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Lochkartenstanzer
25.11.2013, aktualisiert um 09:17 Uhr
Moin,

Du hast da einen DNS-Server auf der Kiste, der die root-Server erreichen will. Eigentlich logisch. Ein einfaches Nachschauen des Hostnames, der zu der IP-Adresse gehört, hätte Dir da Auskunft gegeben, z.B.:

lks@roku:~$ host 198.41.0.4 
4.0.41.198.in-addr.arpa domain name pointer a.root-servers.net. 
lks@roku:~$ host 128.63.2.53 
53.2.63.128.in-addr.arpa domain name pointer h.root-servers.net.
lks
Bitte warten ..
Mitglied: aqui
25.11.2013 um 09:27 Uhr
Der Taskmanager sicherlich nicht aber die Sysinternal Tools pcexplorer und tcpview führen fast immer zum Erfolg den Prozess ausfindig zu machen:
http://technet.microsoft.com/de-de/sysinternals/bb896653
bzw.
http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
Bitte warten ..
Mitglied: mofomulo
25.11.2013 um 09:34 Uhr
Hmm.. verstehe das nicht ganz.. Es handelt sich um einen XP-Rechner.. ich wüsste nicht das man den als DNS-Server ohne spezielle Software einsetzen kann..
Hinter den IPs verbergen sich bspw. Rootserver der Universitiy of Maryland oder der NASA..?! Ganz logisch erscheint mir das nicht gerade..
Bitte warten ..
Mitglied: aqui
25.11.2013 um 09:38 Uhr
@mofomulo
Lies dir bitte den Thread genau durch !! Der XP Client macht diese DNS Requests ist selber kein Server. Das sieht man auch am geposteten Wireshark Trace….
Bitte warten ..
Mitglied: mofomulo
25.11.2013 um 09:38 Uhr
Zitat von aqui:

Der Taskmanager sicherlich nicht aber die Sysinternal Tools pcexplorer und tcpview führen fast immer zum Erfolg den
Prozess ausfindig zu machen:
http://technet.microsoft.com/de-de/sysinternals/bb896653
bzw.
http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx

tcpview hatte ich auch schon drüber.. okay ich muss gestehen halbherzig. Ich werds nochmal probieren, auch mit pcexplorer
Bitte warten ..
Mitglied: Lochkartenstanzer
25.11.2013, aktualisiert um 12:33 Uhr
Zitat von mofomulo:

Hmm.. verstehe das nicht ganz.. Es handelt sich um einen XP-Rechner.. ich wüsste nicht das man den als DNS-Server ohne
spezielle Software einsetzen kann..

Dann hast Du auf Deiner Kiste eine Software, die Ihren eigenen Resolver hat.

Hinter den IPs verbergen sich bspw. Rootserver der Universitiy of Maryland oder der NASA..?! Ganz logisch erscheint mir das nicht
gerade..

Wieso unlogisch? Wenn man etwas im DNN-Baum nachschauen will, muß man für die TLDs als erstes die root-server anfragen. Auf jeden Fall hast D auf der Kiste mit der IP-Adresse 192.168.78.188 eine Software, die DNS-Anfragen an die Root-Server schickt. Warum sie das macht, ob das zum normalen Verhalten dieser software gehört oder ob Du Dir Malware eingefangen hast, die Deine DNS-Anfragen umleiten will oder nur Ihren C&C-Server sucht könne wir per Kristallkugel nicht sagen.

Vielleicht ist es ja hilfreich, wenn Du mit Wireshark oder tcpdump schaus, was der Inhalt dieser Anfragen ist.

lks
Bitte warten ..
Mitglied: Alchimedes
25.11.2013 um 12:41 Uhr
Hallo ,

auf der XP Moehre oeffne eine CMD als Admin und dann mach mal ein netstat -ab.
Dann siehst Du den Prozess/Anwendung welche die DNS Anfrage stellt.

Gruss
Bitte warten ..
Mitglied: mofomulo
25.11.2013 um 14:45 Uhr
Also ich gehe mal stark davon aus das es irgendeine Malware ist..
tcpview oder pcexplorer halfen nicht weiter.. es handelt sich bei allen Prozessen um bekannte..

Ich habe mal ein Screen von Whireshark gemacht.. ich werd daraus leider nicht schlau. Gibts keine möglichkeit hieraus die Quelle zu finden?

e0083d311c7936d2794edb37112aad55 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: mofomulo
25.11.2013 um 15:05 Uhr
Zitat von Alchimedes:

Hallo ,

auf der XP Moehre oeffne eine CMD als Admin und dann mach mal ein netstat -ab.
Dann siehst Du den Prozess/Anwendung welche die DNS Anfrage stellt.

Gruss

Kein Prozess stellt DNS Anfragen... könnte es sein das es ein Dienst ist?
Bitte warten ..
Mitglied: Alchimedes
25.11.2013, aktualisiert um 15:45 Uhr
Hallo,

Benutze bei Wireshark ein Filter. z.B ip.addr == <Rechneradresse> && dns und schau mal auf das UserDataprotokoll.
Ansonsten wie Aqui geschrieben hat, mit den prozessexplorer von sysinternals solltest Du dem auf den Grund gehen koennen.

Ausserdem wuerde ich Sophos alleine nicht trauen. Ich schick dem Sophoslabs regelmaessig neue Samples die unbekannt sind.
Hier also auch mal mit anderen Scanner ran.
Auch koenntest Du unter den Netzwerkeinstellungen des Rechnersschauen ob dort ein Fremder DNS Server eingetragen ist.
Auch auf die system32/etc/hosts Datei schauen ob dort eine Manipulation stattgefunden hat.

Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
25.11.2013, aktualisiert um 18:35 Uhr
Zitat von mofomulo:

Ich habe mal ein Screen von Whireshark gemacht.. ich werd daraus leider nicht schlau. Gibts keine möglichkeit hieraus die
Quelle zu finden?


einfach mal auf das + beim DNS-Query klicken und schon solltest Du sehen, welche Domain angefragt wird. Und das sollte Dir einen Hinweis geben, was dahinterstecken könnte. Welche Domain das ist, überlasse ich Dir mal zur Übrung, auch wenn man das direkt aus den Daten sieht.

lks

PS: Laß mal einen Malwaresan von einer rescue-CD (desinfect, kaspersky-Rescue, Avira-escue,. etc.) laufen.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

DNS
gelöst DNS Weiterleitung ohne www (4)

Frage von simonsays zum Thema DNS ...

Windows Netzwerk
gelöst DNS - Weiterleitung zu DNS-Server in anderer Domain (5)

Frage von Schauer zum Thema Windows Netzwerk ...

DNS
IPv6 und dynamisches DNS (3)

Frage von ukulele-7 zum Thema DNS ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...