Merkwürdiges DNS-Verhalten

HH_Maus · 5. August 2009

Hallo,

folgendes ist mir eben aufgefallen:
Ich wollte mich eben über SSH auf den VDR einloggen, da meckert Putty, das der SSH-Key nicht stimmt. Ich habe mir das dann genauer angesehen und gemerkt, das mein lokales "easyvdr" auf easyvdr.home geleitet wird, mit einer IP-Adresse (122.200.86.120 -> führt nach China) statt der lokalen 192.168....

Was ist das? Habe ich mir irgendwas eingefangen?

Sicherheitshalber habe ich das Passwort in easyvdr geändert, auch wenn es eh schon zu spät wäre.

Spinnt mein Router (der den DHCP liefert), oder ist easyvdr verseucht?

Wäre toll, wenn man mir das Verhalten etwas erklären könnte.

Lieben Gruß,
Sandy

tueftler17 · 5. August 2009

Hi!

Welcher DNS-Server wird denn überhaupt verwendet? Loggst Du Dich von einem WIndows- oder einem Linux-Rechner aus (bei ersten: ipconfig /all beim zweiten: cat /etc/resolv.conf) um den dns-Server herauszubekommen. Ich tippe ja auf einen DSL-Router der irgendwie die statischen DNS-Einträge verloren hat...

Tschau
Tueftler17

HH_Maus · 5. August 2009

Vielen dank für Deine Antwort, Tueftler17,

aber meine Paranoia war unberechtigt.
Nachdem ich mich von meinem Herzinfarkt erholt hatte, überlegte ich scharf. Und scheinbar hat das letzte Windowsupdate etwas verbogen.
Windows hatte eine Heimnetzwerkgruppe erstellt, und diese hat wohl alles durcheinander gebracht.

Nun läuft ein ping auf easyvdr auch wieder auf die lokale IP, und nicht auf die chinesische
Bleibt trotzdem die frage, wieso easyvdr.home eine chinesische IP hat. Hätte fast versucht, mich dort als root einzuloggen.

Nochmal, sorry und vielen dank!

Lieben Gruß,
Sandy

tueftler17 · 5. August 2009

Hi!

Eine Abfrage direkt bei den root-name-servern und darunter auf easyvdr.home bringt keine gültige Antwort. Insofern verstehe ich auch nicht wo die IP-Adresse herkommt. Aber wenn es sich für Dich erledigt hat und die Domain auch nicht offiziell vergeben ist sollte es kein Problem sein.

Ich wünsche noch einen schönen Abend,

tschau
Tueftler17

Macavity · 5. August 2009

Zitat

Original von HH_Maus
Hätte fast versucht, mich dort als root einzuloggen.

Hi,

ich sag da nur:

Code

PermitRootLogin no

Alles andere ist fahrlässig!

Den Rest gibt es zu lesen bei: http://blog.koehntopp.de/archi…config-evil.html#extended

Gruss

Macavity

mini73 · 6. August 2009

Moin!

Was steht denn in c:\Windows\System32\drivers\etc\hosts? Da sollte (außer Kommentaren) nur

Code

::1   localhost
127.0.0.1  localhost

drin sein. Wenn es doch ein Schädling war, könnte er da Spuren hinterlassen haben...

mini.

9000H · 6. August 2009

Hi,

vieleicht hat es auch was mit der "Navigationshilfe" von T-Online zu tun.

CU
9000h

HH_Maus · 6. August 2009

Zitat

Original von 9000H
vieleicht hat es auch was mit der "Navigationshilfe" von T-Online zu tun.

ich habe kein T-Online, sondern Hansenet/Alice (aber andere DNS in den Router eingetragen, die vom CCC)

mini73
Die hosts ist komplett ausgeklammert, nichts von bedeutung drin:

Code

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host


# localhost name resolution is handled within DNS itself.
#	127.0.0.1       localhost
#	::1             localhost

Alles anzeigen

Lieben Gruß,
Sandy

9000H · 6. August 2009

Hi,

Alice koennte auch betroffen sein Teletarif

CU
9000h

Razorblade · 7. August 2009

So eine Navigationshilfe leitet aber selten nach China um.

An Deiner Stelle würde ich erstmal kurz zurück in den "Schock" Modus schalten und eine Boot-CD mit aktuellem AV (zB knoppicillin) drüberlaufen lassen. Das wäre nicht das erste Rootkit dass ich sehe, was DNS umdreht OHNE dass man es in der hosts auch sieht...

Das ändern des Passworts hast Du dann hoffentlich an einem ANDEREN PC gemacht? Ich würde nämlich eher vermuten, dass Deine Windows-Kiste etwas hat und nicht der easyvdr. Und das wäre ja dann schade wenn der Keylogger Dein schönes neues Passwort mitgelesen hätte

HH_Maus · 13. August 2009

Okay leider schon wieder. Diesmal hat mich WinSCP gewarnt vor einem Sicherheitsbruch, bzw. Umleitung zu einer anderen IP (der chinesischen).

Ich lade mir jetzt mal Knoppicilin runter und checke sowohl Win als auch den VDR.

Lieben Gruß,
Sandy

wirbel · 13. August 2009

Lösch mal sicherheitshalber alle Cookies (Browsereinstellungen) und ebenso alle Flash-Cookies (leider browserunabhängig, Ordner C:\Dokumente und Einstellungen\<BENUTZERNAME>\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects)

Merkwürdiges DNS-Verhalten

Jetzt mitmachen!

Teilen