xDSL.at

[hardliner]

Dass manchmal am Client-Rechner MalWare die DNS-Auflösung umbiegt ist mir bekannt. Dafür gibts ja CWShredder.
Dass aber im DSN-Server (!!) die Auflösung nach sedoparking.com verbogen wird ist mir neu. Alle Client-Rechner hatten daraufhin dasselbe Problem.
Betriebssystem: Server W2K

Auch ein Leeren des DNS-Cache samt DNS-Restart brachte nur kurzzeitig Erleichterung. Nach einigen Minuten wurde wieder alls zu sedoparking.com umgeleitet.
Ist dieser Exploit bekannt? Konnte im Netz auf die Schnelle nichts "servermäßiges" finden.

[medice]

ist es denn ausgeschlossen dass die fragliche Domain von sedo gehamstert wurde?
Soll ja schonmal vorkommen dass jemand die regelmäßige Zahlung vergisst...

edit: abgesehen davon gibts regelmäßig Meldungen dass $irgendwer $irgendwelche DNS-Server beinträchtigt, sei es weil veraltete Software oder fehlerhafte Konfiguration vorliegen.
(nicht ganz passendes beispiel für letzeres, aber dennoch interessant: http://www.heise.de/newsticker/meldung/102076/)

[hardliner]

Nöö! So isses nich!

Der DNS-Server lieferte auf alle Anfragen betreffs irgendwelcher Domains (z.B conrad.at, orf.at, derstandard.at) usw. immer die IP von sedoparking.com, unabhängig von welchem PC aus.
Updates und Fixes gibts für W2K-Server leider keine mehr.

[medice]

wessen dns-server isses denn?

nachtrag:
achja: online-banking und sonstige Übermittlung empfindlicher Daten würd ich inzwischen unterlassen

[hardliner]

Jetzt wurde mein Verdacht "offiziell" bestätigt:
http://futurezone.orf.at/hardcore/stories/295224/
Ist nur seltsam, dass mit der "öffentl. Warnung" so lange zugewartet wurde!
h.

[jutta]

wahrscheinlich urlaubszeit ...

bekannt war es schon laenger:
https://www.kb.cert.org/CERT_WEB%5Cserv ... /id/800113
und siehe auch http://www1.netzwerklabor.at/news/artic ... vider#1478

[lordpeng]

>Ist nur seltsam, dass mit der "öffentl. Warnung" so lange zugewartet wurde!
das problem is schon länger bekannt, wurde aber erst vor kurzem von den herstellern wirklich als potentielles problem realisiert ...

[hardliner]

Das "viel größere Problem" sehe ich darin, dass der Enduser dagegen persönlich nicht unternehmen kann.
Man ist damit quasi entweder dem SW-Hersteller (M$) bzw ISP im Falle von UNIX ausgeliefert und auf "goodwill" angewiesen.
.. und die pikante Sauerei dabei ist, dass eigentlich gegen so gut wie nichts unternommen wird!
h.

[jutta]

in der nanog mailingliste wird auch schon seit wochen drueber diskutiert
http://mailman.nanog.org/pipermail/nano ... hread.html

[lordpeng]

was das ganze mit unix zu tun hat musst ma erklären, entweder wird das problem gefixt oder ned - das betriebssystem spielt da keine rolle ...

[jutta]

> dass der Enduser dagegen persönlich nicht unternehmen kann.

wenn meinst du jetzt mit "enduser"? den nameserver-betreiber? der kann die gefahren durch auswahl der passenden software, sorgfaeltige konfiguration und regelmaessige security-updates zumindest in ertraeglichen grenzen halten.

der heim-user kann sich nur passende name-server suchen, wenn sein provider nicht in der lage ist, den seinigen richtig zu warten (und dem betreffenden provider ein paar boese mails schicken, die er in dem fall sogar ehrlich verdient hat).

[penguinforce]

> Man ist damit quasi entweder dem SW-Hersteller (M$) bzw ISP im Falle von UNIX ausgeliefert
> und auf "goodwill" angewiesen.

wie lordpeng schon schrieb: was hat das mit unix zu tun?

http://www.cve.mitre.org/cgi-bin/cvenam ... =2008-1447

hier ist - neben div. linux-distributionen - vor allem cisco vorhanden, und cisco ist nicht unix, sondern ist in die sparte proprietär einzustufen.

die wahl, etwas proprietäres einzusetzen, schränkt des öfteren alternativen.

und ja, es gab alternativen, die diese lücke aufgrund der konzeption her nicht anfällig waren, wie man auch aus der cert.at-meldung[1] entnehmen kann:

[1] http://www.cert.at/warnings/warnings/20080708.html

zitat:
>Aktuelle Versionen von Nameserversoftware minimieren die Chancen eines Angreifers.
> Ein Upgrade und das Aktivieren von Source Port Randomization ist daher dringend angeraten.
> [...]
> Bei PowerDNS, MaraDNS und Unbound ist das schon jetzt Standard, es sind keine Updates nötig.

---

> dass der Enduser dagegen persönlich nicht unternehmen kann.

doch. auf einen sicheren nameserver-dienst wechseln, wie z.b. http://www.opendns.com/

wenn du selbst ein nameserver admin bist:
software patchen.
wenn es keine patches gibt:
alternativen einsetzen.
wenn es nicht möglich ist, alternativen einzusetzen:
nachdenken, ob der eingeschlagene weg in punkto sicherheit der richtige ist.

[jutta]

Updates und Fixes gibts für W2K-Server leider keine mehr.

ich weiss ja nicht, welche version du genau hast, aber ein paar aktuelle haette ich schon gefunden:
http://www.microsoft.com/downloads/deta ... layLang=en
http://www.microsoft.com/downloads/deta ... layLang=en
http://www.microsoft.com/downloads/deta ... layLang=en

[al]

Für besagtes DNS-Problem gibt's Fixes bis hinunter zu Win2k SP4
http://www.microsoft.com/technet/securi ... 8-037.mspx

Zweitens muß der rekursive NS auch von außen zugänglich sein, damit man seinen Cache manipulieren kann. Wer sowas tut, ohne drüber nachzudenken und ohne zu patchen... naja, SSKM.

Der 0815-User, der einfach die vom Provider zur Verfügung gestellten Resolver verwendet, muß natürlich drauf vertrauen, daß dieser sie auch wartet. Ja, sollte es da noch immer Traummännlein geben, die das bisher verschlafen haben, dann sollte man diese "wachrütteln"...

/al

[hardliner]

Updates und Fixes gibts für W2K-Server leider keine mehr.

ich weiss ja nicht, welche version du genau hast, aber ein paar aktuelle haette ich schon gefunden:
http://www.microsoft.com/downloads/deta ... layLang=en
http://www.microsoft.com/downloads/deta ... layLang=en
http://www.microsoft.com/downloads/deta ... layLang=en

Hat sich in der Zwischenzeit wegen Produktupgrade erledigt.
Immerhin war zum damaligen Zeitpunkt der Server auf dem letzten Update-Stand und war trotzdem irgendwie "infiziert", obwohl der DNS von außen nicht erreichbar und Rekursion abgedreht war.!
Genau lässt sich das Problem heute leider nicht mehr rekonstruieren.
Erst ein Löschen des Cache behob damals das Problem!
Irgendwie hab ich das Gefühl dass "Sedo-Parking" irgendwie dahintersteckt, da alle kompromitierten Seiten dahin umgeleitet wurden. Diese seltsame "Firma" mit den merkürdigen Geschäftspraktiken ist mir schon seit längerem mehr als suspekt!
h.