Wie arbeitet dns-ok.de?

Dieses Thema im Forum "Domains & DNS" wurde erstellt von italia, 13. Januar 2012.

  1. italia

    italia Erfahrener Benutzer

    Registriert seit:
    11. Februar 2005
    Beiträge:
    680
    Hallo zusammen,

    vielleicht habe ich auch nur ein Denkfehler, aber wie kann ich über einen URL-Aufruf prüfen ob meine DNS-Einstellungen durch den Virus "DNSChanger" manipuliert worden ist oder nicht?

    Wenn mein Rechner infiziert sein sollte, dann geht doch jede Anfrage doch auch über die gefälschten DNS-Server raus, also auch bei dns-ok.de (85.214.11.195). Die Seite selbst schneit keine Prüfung zu machen.

    Interessant ist auch, das unter 85.214.11.194 die gleiche Seite erscheint, nur eben mit der roten Meldung :)

    Wo und wie wird dann sowas geprüft?

    Gruß
    italia
     
  2. RobHost GmbH

    RobHost GmbH Eingetragener Provider

    Registriert seit:
    3. Mai 2010
    Beiträge:
    93
    Ort:
    Dresden
    Firmenname:
    RobHost GmbH
    Anbieterprofil:
    Klick
    AW: Wie arbeitet dns-ok.de?

    Ich glaube die checken einfach nur eine Liste, die sie aus den Logs der bekannten Schad-DNS haben, siehe http://blog.botfrei.de/2012/01/dns-manipulation-prufen-sie-ihren-anschluss-unter-www-dns-changer-eu/

     
  3. italia

    italia Erfahrener Benutzer

    Registriert seit:
    11. Februar 2005
    Beiträge:
    680
    AW: Wie arbeitet dns-ok.de?

    Danke für die Antwort.


    Das ist aber eine, sagen wir mal, sehr bescheidene Art zur Prüfung.
    Mal angenommen, ich höre in den Nachrichten von der Geschichte, mache mein Rechner an und die erste Seite die ich aufrufe ist diese "dns-ok.de"-Seite. Da ich in den letzten fünf Stunden nicht online war, tauche ich nicht in diesen Logfiles auf und bekomme eine grüne Meldung angezeigt. Danach werde ich vielleicht niemehr diese Prüfung machen und fühle mich eigentlich auf der sicheren Seite trotz infizerten Rechner.
    Ich glaube nämlich nicht das diese Logfiles beim ersten Aufruf bereits schon aktualisiert sind.

    Dann noch das Problem mit der dynamischen IP-Vergabe durch den Provider.
    Ich erhalte eine IP die gerade noch ein infizierte User hatte und bekomme dann eine rote Warnung, obwohl bei mir alles ok ist?

    Also dafür das diese Prüfung in den Medien so hochgelobt wird ist das doch schon laienhaft.

    Ich wundere mich eigentlich das dieses Thema noch nicht hier in der WHL diskutiert wurde. ;-)
     
  4. Optimate-Server

    Optimate-Server Eingetragener Provider

    Registriert seit:
    10. Juni 2004
    Beiträge:
    3.646
    Geschlecht:
    männlich
    Ort:
    Heusenstamm
    Firmenname:
    Optimate-Server
    Anbieterprofil:
    Klick
    AW: Wie arbeitet dns-ok.de?

    Ist doch ganz einfach.
    Wenn dein PC nicht betroffen ist, liefern die Nameserver, die in der DENIC bei der Domain dns-ok.de hinterlegt sind, die korrekte IP-Adresse des Webservers aus, wo du dann siehst "alles ok".
    Wenn dein PC befallen ist, fragt dein PC ja die fremden Nameserver des Schädlings ab und diese liefern eine andere IP-Adresse als die originalen Nameserver. Da das FBI die Kontrolle über die Nameserver des Schädlings haben, hat das FBI eine IP eingetragen, wo der Webserver dann eine entsprechende Warnmeldung für dich als User ausgibt.
     
  5. qnsupport2

    qnsupport2 Erfahrener Benutzer

    Registriert seit:
    26. April 2010
    Beiträge:
    839
    AW: Wie arbeitet dns-ok.de?

    Das sind zwei verschiedene Paar Stiefel. Dieser "DNSChanger-Check" mag auf ein Logfile zugreifen. Allerdings verbirgt sich hinter www.dns-ok.de eine andere Idee.

    Die Schadsoftware, um die es sich hier handelt, hat u.a. auch die DNS-Einträge auf dem Client verändert. Das Resultat: alle DNS Abfragen laufen über einen "bösen DNS Server". Von dort könnten falsche Ergebnisse ausgeliefert werden, beispielweise eine falsche IP zum Online-Banking. Landet man dann auf einer nachgebildeten Webseite des Online-Bankings, könnte man Opfer eines Phishing-Betrugs werden. Diese bösen DNS-Server sind nun unter der Kontrolle des FBI und liefern zumindest vorübergehend wieder richtige Ergebnisse aus. Das Surfen mit diesen ehemals bösen DNS Servern ist also eigentlich kein Sicherheitsproblem mehr, aber: die Nameserver werden natürlich nicht immer weiter betrieben. Im März oder irgendwann werden die DNS Server abgeschaltet. Ab dem Zeitpunkt hätten diejeniegen, die diese Server noch unbewusst in ihren lokalen DNS-Einstellungen gespeichert haben, keinen Zugriff mehr auf weite Teile des Internet, weil die Domains dann nicht mehr aufgelöst werden können. Außerdem ist das natürlich ein Symptom dafür, dass man sich diese Schadsoftware überhaupt erst eingefangen hat.

    Jetzt möchte man darauf aufmerksam machen, dass die Betroffenen diesen Zustand beheben. Die Domain dns-ok.de wird von allen regulären DNS-Servern auf eine IP-Adresse aufgelöst, hinter der sich ein grüner Hinweis darauf, dass alles in Ordnung ist, verbirgt. Lediglich die ehemals "bösen" DNS Server lösen auf eine IP-Adresse auf, hinter der sich ein roter Warnhinweis verbirgt.

    Meiner Meinung nach ist es zwar eine effektive Idee, aber ob sie besonders effizient ist, ist eine andere Frage.


    Gruß,
     
    Zuletzt bearbeitet: 13. Januar 2012
  6. RobHost GmbH

    RobHost GmbH Eingetragener Provider

    Registriert seit:
    3. Mai 2010
    Beiträge:
    93
    Ort:
    Dresden
    Firmenname:
    RobHost GmbH
    Anbieterprofil:
    Klick
    AW: Wie arbeitet dns-ok.de?

    Interessant, das wusste ich noch gar nicht. Wäre es nicht vielleicht sinnvoller, wenn die gängigen Antiviren-Programme die lokalen DNS-Einstellungen prüfen würden? Oder tun sie das schon?

    Mir ist auch ein Rätsel, wie das DNS-Problem auch Macs betreffen kann, denn ohne Eingabe des Kennworts hat der Browser oder eine App definitiv keinen Zugriff auf derartige Systemeinstellungen wie die "/etc/resolv.conf".
     
  7. qnsupport2

    qnsupport2 Erfahrener Benutzer

    Registriert seit:
    26. April 2010
    Beiträge:
    839
    AW: Wie arbeitet dns-ok.de?

    Das Frage ich mich in dem Zusammenhang auch. Vor allem aber frage ich mich auch, warum man nicht direkt darauf hinweist, die entsprechenden Einstellungen selbst zu überprüfen. Das wäre zumindest transparent. Eine entsprechende Dokumentation hätte man schnell erstellen können. (Allerdings muss ich dazu sagen, kenne ich die Funktionsweise der Schadsoftware auch nicht)
     
  8. Optimate-Server

    Optimate-Server Eingetragener Provider

    Registriert seit:
    10. Juni 2004
    Beiträge:
    3.646
    Geschlecht:
    männlich
    Ort:
    Heusenstamm
    Firmenname:
    Optimate-Server
    Anbieterprofil:
    Klick
    AW: Wie arbeitet dns-ok.de?

    Ich würde behaupten wollen, dass diejenigen, die ein Virenprogramm im Einsatz haben, erst gar nicht den Virus installiert hätten, weil sich sofort der Virenscanner gemeldet hätte :)
    Entsprechend unterstelle ich einfach mal, dass die betroffenen PCs gar kein Virenscanner laufen haben.
     
  9. dnienhaus

    dnienhaus Eingetragener Provider

    Registriert seit:
    11. Dezember 2000
    Beiträge:
    1.911
    Ort:
    FFM
    Firmenname:
    Concept 69
    Anbieterprofil:
    Klick
  10. qnsupport2

    qnsupport2 Erfahrener Benutzer

    Registriert seit:
    26. April 2010
    Beiträge:
    839
    AW: Wie arbeitet dns-ok.de?

    Hier übrigens die Warnseite. Informationsflut...

    http://85.214.11.194/

    (die zeigt natürlich immer eine Warnung an! - bevor wir jetzt noch andere Besucher verunsichern ;-) )
     
    Zuletzt bearbeitet: 13. Januar 2012
  11. qnsupport2

    qnsupport2 Erfahrener Benutzer

    Registriert seit:
    26. April 2010
    Beiträge:
    839
    AW: Wie arbeitet dns-ok.de?

    Diese Verschwörungen entstehen auch wegen dieser andauernden Intransparenz. Man denke nur an das E10-Debakel.
     
  12. RobHost GmbH

    RobHost GmbH Eingetragener Provider

    Registriert seit:
    3. Mai 2010
    Beiträge:
    93
    Ort:
    Dresden
    Firmenname:
    RobHost GmbH
    Anbieterprofil:
    Klick
    AW: Wie arbeitet dns-ok.de?

    Davon ist wohl auszugehen ;-)
    Immer wieder erstaunt mich allerdings allerdings, dass .exe Files aus Mailanhängen offenbar immernoch unbedenklich angeklickt werden. Oder wie hat sich dieser Schadsoftware verbreitet?
     
  13. Mr. Brain

    Mr. Brain Erfahrener Benutzer

    Registriert seit:
    13. Mai 2005
    Beiträge:
    2.289
    Ort:
    Frankfurt am Main
    Firmenname:
    Welcome 2 Inter.Net
    Anbieterprofil:
    Klick
    AW: Wie arbeitet dns-ok.de?

    Der DHCP-Client deines OSX-Rechner benötigt auch keine Kennwort und setzt trotzdem entsprechende Nameserver.
     
  14. RobHost GmbH

    RobHost GmbH Eingetragener Provider

    Registriert seit:
    3. Mai 2010
    Beiträge:
    93
    Ort:
    Dresden
    Firmenname:
    RobHost GmbH
    Anbieterprofil:
    Klick
    AW: Wie arbeitet dns-ok.de?

    Initial muss man für die Netzwerk-Settings schon das Kennwort angeben, da diese Aktion Root-Rechte erfordert. Zumindest ist das bei mir unter Lion hier so.
     
  15. qnsupport2

    qnsupport2 Erfahrener Benutzer

    Registriert seit:
    26. April 2010
    Beiträge:
    839
    AW: Wie arbeitet dns-ok.de?

    Offenbar handelt es sich um einen vermeintlichen Codec, der während der Installation zur Kennworteingabe auffordert. Alles andere erklärt sich dann natürlich von selbst. Und wenn man mal auf das Veröffentlichungsdatum des Eintrags schaut, irgendwie auch kalter Kaffee :-D.

    http://isc.sans.edu/diary.html?storyid=3595

    Es handelt sich aber tatsächlich um die "bösen" DNS Server:

    85.214.11.194 ist nämlich die Warnseite von der Telekom. 85.214.11.195 die grüne.


    Gruß,
     
    Zuletzt bearbeitet: 14. Januar 2012
  16. Mr. Brain

    Mr. Brain Erfahrener Benutzer

    Registriert seit:
    13. Mai 2005
    Beiträge:
    2.289
    Ort:
    Frankfurt am Main
    Firmenname:
    Welcome 2 Inter.Net
    Anbieterprofil:
    Klick
    AW: Wie arbeitet dns-ok.de?

    root- und Administrator-Rechte sind unter OSX zwei paar verschiedene Schuhe.
     
  17. italia

    italia Erfahrener Benutzer

    Registriert seit:
    11. Februar 2005
    Beiträge:
    680
    AW: Wie arbeitet dns-ok.de?

    Das bringt wieder Licht ins Dunkel bei mir.
    Dann hoffen wir doch bis zum 08. März auf eine gute deutsch-amerikanische Zusammenarbeit ;-)
     

Diese Seite empfehlen