DSN-Server-Hijacking to sedoparking.com

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

DSN-Server-Hijacking to sedoparking.com

Beitragvon hardliner » Mo 28 Jan, 2008 09:32

Dass manchmal am Client-Rechner MalWare die DNS-Auflösung umbiegt ist mir bekannt. Dafür gibts ja CWShredder.
Dass aber im DSN-Server (!!) die Auflösung nach sedoparking.com verbogen wird ist mir neu. Alle Client-Rechner hatten daraufhin dasselbe Problem.
Betriebssystem: Server W2K

Auch ein Leeren des DNS-Cache samt DNS-Restart brachte nur kurzzeitig Erleichterung. Nach einigen Minuten wurde wieder alls zu sedoparking.com umgeleitet.
Ist dieser Exploit bekannt? Konnte im Netz auf die Schnelle nichts "servermäßiges" finden.
hardliner
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4056
Registriert: Mo 23 Jun, 2003 21:24

Beitragvon medice » Mo 28 Jan, 2008 09:46

ist es denn ausgeschlossen dass die fragliche Domain von sedo gehamstert wurde?
Soll ja schonmal vorkommen dass jemand die regelmäßige Zahlung vergisst...

edit: abgesehen davon gibts regelmäßig Meldungen dass $irgendwer $irgendwelche DNS-Server beinträchtigt, sei es weil veraltete Software oder fehlerhafte Konfiguration vorliegen.
(nicht ganz passendes beispiel fĂĽr letzeres, aber dennoch interessant: http://www.heise.de/newsticker/meldung/102076/)
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon hardliner » Mo 28 Jan, 2008 10:11

Nöö! So isses nich!

Der DNS-Server lieferte auf alle Anfragen betreffs irgendwelcher Domains (z.B conrad.at, orf.at, derstandard.at) usw. immer die IP von sedoparking.com, unabhängig von welchem PC aus.
Updates und Fixes gibts fĂĽr W2K-Server leider keine mehr. :cry:
hardliner
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4056
Registriert: Mo 23 Jun, 2003 21:24

Beitragvon medice » Mo 28 Jan, 2008 10:39

wessen dns-server isses denn?

nachtrag:
achja: online-banking und sonstige Ăśbermittlung empfindlicher Daten wĂĽrd ich inzwischen unterlassen
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon hardliner » Sa 26 Jul, 2008 11:27

Jetzt wurde mein Verdacht "offiziell" bestätigt:
http://futurezone.orf.at/hardcore/stories/295224/
Ist nur seltsam, dass mit der "öffentl. Warnung" so lange zugewartet wurde!
h.
hardliner
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4056
Registriert: Mo 23 Jun, 2003 21:24

Beitragvon jutta » Sa 26 Jul, 2008 11:35

wahrscheinlich urlaubszeit ...

bekannt war es schon laenger:
https://www.kb.cert.org/CERT_WEB%5Cserv ... /id/800113
und siehe auch http://www1.netzwerklabor.at/news/artic ... vider#1478
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon lordpeng » Sa 26 Jul, 2008 11:39

>Ist nur seltsam, dass mit der "öffentl. Warnung" so lange zugewartet wurde!
das problem is schon länger bekannt, wurde aber erst vor kurzem von den herstellern wirklich als potentielles problem realisiert ...
lordpeng
Moderator
Moderator
 
Beiträge: 10199
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon hardliner » Sa 26 Jul, 2008 11:45

Das "viel größere Problem" sehe ich darin, dass der Enduser dagegen persönlich nicht unternehmen kann.
Man ist damit quasi entweder dem SW-Hersteller (M$) bzw ISP im Falle von UNIX ausgeliefert und auf "goodwill" angewiesen.
.. und die pikante Sauerei dabei ist, dass eigentlich gegen so gut wie nichts unternommen wird!
h.
hardliner
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4056
Registriert: Mo 23 Jun, 2003 21:24

Beitragvon jutta » Sa 26 Jul, 2008 11:46

in der nanog mailingliste wird auch schon seit wochen drueber diskutiert
http://mailman.nanog.org/pipermail/nano ... hread.html
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon lordpeng » Sa 26 Jul, 2008 11:47

was das ganze mit unix zu tun hat musst ma erklären, entweder wird das problem gefixt oder ned - das betriebssystem spielt da keine rolle ...
lordpeng
Moderator
Moderator
 
Beiträge: 10199
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon jutta » Sa 26 Jul, 2008 11:59

> dass der Enduser dagegen persönlich nicht unternehmen kann.

wenn meinst du jetzt mit "enduser"? den nameserver-betreiber? der kann die gefahren durch auswahl der passenden software, sorgfaeltige konfiguration und regelmaessige security-updates zumindest in ertraeglichen grenzen halten.

der heim-user kann sich nur passende name-server suchen, wenn sein provider nicht in der lage ist, den seinigen richtig zu warten (und dem betreffenden provider ein paar boese mails schicken, die er in dem fall sogar ehrlich verdient hat).
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon penguinforce » Sa 26 Jul, 2008 13:34

> Man ist damit quasi entweder dem SW-Hersteller (M$) bzw ISP im Falle von UNIX ausgeliefert
> und auf "goodwill" angewiesen.

wie lordpeng schon schrieb: was hat das mit unix zu tun?

http://www.cve.mitre.org/cgi-bin/cvenam ... =2008-1447

hier ist - neben div. linux-distributionen - vor allem cisco vorhanden, und cisco ist nicht unix, sondern ist in die sparte proprietär einzustufen.

die wahl, etwas proprietäres einzusetzen, schränkt des öfteren alternativen.

und ja, es gab alternativen, die diese lücke aufgrund der konzeption her nicht anfällig waren, wie man auch aus der cert.at-meldung[1] entnehmen kann:

[1] http://www.cert.at/warnings/warnings/20080708.html

zitat:
>Aktuelle Versionen von Nameserversoftware minimieren die Chancen eines Angreifers.
> Ein Upgrade und das Aktivieren von Source Port Randomization ist daher dringend angeraten.
> [...]
> Bei PowerDNS, MaraDNS und Unbound ist das schon jetzt Standard, es sind keine Updates nötig.

---

> dass der Enduser dagegen persönlich nicht unternehmen kann.

doch. auf einen sicheren nameserver-dienst wechseln, wie z.b. http://www.opendns.com/

wenn du selbst ein nameserver admin bist:
software patchen.
wenn es keine patches gibt:
alternativen einsetzen.
wenn es nicht möglich ist, alternativen einzusetzen:
nachdenken, ob der eingeschlagene weg in punkto sicherheit der richtige ist.

:diabolic:
penguinforce
 

Beitragvon jutta » Sa 26 Jul, 2008 15:29

hardliner hat geschrieben:Updates und Fixes gibts fĂĽr W2K-Server leider keine mehr. :cry:

ich weiss ja nicht, welche version du genau hast, aber ein paar aktuelle haette ich schon gefunden:
http://www.microsoft.com/downloads/deta ... layLang=en
http://www.microsoft.com/downloads/deta ... layLang=en
http://www.microsoft.com/downloads/deta ... layLang=en
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon al » Sa 26 Jul, 2008 16:37

FĂĽr besagtes DNS-Problem gibt's Fixes bis hinunter zu Win2k SP4
http://www.microsoft.com/technet/securi ... 8-037.mspx

Zweitens muß der rekursive NS auch von außen zugänglich sein, damit man seinen Cache manipulieren kann. Wer sowas tut, ohne drüber nachzudenken und ohne zu patchen... naja, SSKM.

Der 0815-User, der einfach die vom Provider zur Verfügung gestellten Resolver verwendet, muß natürlich drauf vertrauen, daß dieser sie auch wartet. Ja, sollte es da noch immer Traummännlein geben, die das bisher verschlafen haben, dann sollte man diese "wachrütteln"...

/al
Wer entbĂĽndelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Beitragvon hardliner » Sa 26 Jul, 2008 16:52

jutta hat geschrieben:
hardliner hat geschrieben:Updates und Fixes gibts fĂĽr W2K-Server leider keine mehr. :cry:

ich weiss ja nicht, welche version du genau hast, aber ein paar aktuelle haette ich schon gefunden:
http://www.microsoft.com/downloads/deta ... layLang=en
http://www.microsoft.com/downloads/deta ... layLang=en
http://www.microsoft.com/downloads/deta ... layLang=en

Hat sich in der Zwischenzeit wegen Produktupgrade erledigt. :ok:
Immerhin war zum damaligen Zeitpunkt der Server auf dem letzten Update-Stand und war trotzdem irgendwie "infiziert", obwohl der DNS von auĂźen nicht erreichbar und Rekursion abgedreht war.!
Genau lässt sich das Problem heute leider nicht mehr rekonstruieren.
Erst ein Löschen des Cache behob damals das Problem!
Irgendwie hab ich das Gefühl dass "Sedo-Parking" irgendwie dahintersteckt, da alle kompromitierten Seiten dahin umgeleitet wurden. Diese seltsame "Firma" mit den merkürdigen Geschäftspraktiken ist mir schon seit längerem mehr als suspekt!
h.
hardliner
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4056
Registriert: Mo 23 Jun, 2003 21:24

Nächste

ZurĂĽck zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: Trendiction [Crawler] und 2 Gäste