Wie arbeitet dns-ok.de?

[italia]

Hallo zusammen,

vielleicht habe ich auch nur ein Denkfehler, aber wie kann ich über einen URL-Aufruf prüfen ob meine DNS-Einstellungen durch den Virus "DNSChanger" manipuliert worden ist oder nicht?

Wenn mein Rechner infiziert sein sollte, dann geht doch jede Anfrage doch auch über die gefälschten DNS-Server raus, also auch bei dns-ok.de (85.214.11.195). Die Seite selbst schneit keine Prüfung zu machen.

Interessant ist auch, das unter 85.214.11.194 die gleiche Seite erscheint, nur eben mit der roten Meldung :-)

Wo und wie wird dann sowas geprüft?

Gruß
italia

[RobHost GmbH]

Ich glaube die checken einfach nur eine Liste, die sie aus den Logs der bekannten Schad-DNS haben, siehe http://blog.botfrei.de/2012/01/dns-m...ns-changer-eu/

Wie funktioniert der WebService auf www.dns-changer.eu?
Sollten von Ihrer IP-Adresse aus eine Anfrage an die DNS-Server aus der vorgenannten “Operation GhostKlick” gestellt worden sein, werden Sie auf eine Seite mit Angeboten zur Selbsthilfe weitergeleitet.

Wichtig: Der WebService führt keinen Virencheck durch und kann keine Aussage darüber treffen, ob der PC mit welchem Sie die Seite ansurfen – virenfrei bzw. ob dieser infiziert ist! Vielmehr greift er dabei auf historische Daten (der letzten 5 Stunden) aus den Logfiles der Rouge DNS Server aus der “Operation GhostKlick” zurück, die zurückmelden, ob die derzeit von Ihnen verwendete IP-Adresse als “manipulierter Anschluss” bekannt ist!

[italia]

Danke für die Antwort.

Wichtig: Der WebService führt keinen Virencheck durch und kann keine Aussage darüber treffen, ob der PC mit welchem Sie die Seite ansurfen – virenfrei bzw. ob dieser infiziert ist! Vielmehr greift er dabei auf historische Daten (der letzten 5 Stunden) aus den Logfiles der Rouge DNS Server aus der “Operation GhostKlick” zurück, die zurückmelden, ob die derzeit von Ihnen verwendete IP-Adresse als “manipulierter Anschluss” bekannt ist!

Das ist aber eine, sagen wir mal, sehr bescheidene Art zur Prüfung.
Mal angenommen, ich höre in den Nachrichten von der Geschichte, mache mein Rechner an und die erste Seite die ich aufrufe ist diese "dns-ok.de"-Seite. Da ich in den letzten fünf Stunden nicht online war, tauche ich nicht in diesen Logfiles auf und bekomme eine grüne Meldung angezeigt. Danach werde ich vielleicht niemehr diese Prüfung machen und fühle mich eigentlich auf der sicheren Seite trotz infizerten Rechner.
Ich glaube nämlich nicht das diese Logfiles beim ersten Aufruf bereits schon aktualisiert sind.

Dann noch das Problem mit der dynamischen IP-Vergabe durch den Provider.
Ich erhalte eine IP die gerade noch ein infizierte User hatte und bekomme dann eine rote Warnung, obwohl bei mir alles ok ist?

Also dafür das diese Prüfung in den Medien so hochgelobt wird ist das doch schon laienhaft.

Ich wundere mich eigentlich das dieses Thema noch nicht hier in der WHL diskutiert wurde. ;-)

[Optimate-Server]

Ist doch ganz einfach.
Wenn dein PC nicht betroffen ist, liefern die Nameserver, die in der DENIC bei der Domain dns-ok.de hinterlegt sind, die korrekte IP-Adresse des Webservers aus, wo du dann siehst "alles ok".
Wenn dein PC befallen ist, fragt dein PC ja die fremden Nameserver des Schädlings ab und diese liefern eine andere IP-Adresse als die originalen Nameserver. Da das FBI die Kontrolle über die Nameserver des Schädlings haben, hat das FBI eine IP eingetragen, wo der Webserver dann eine entsprechende Warnmeldung für dich als User ausgibt.

[domainfriends]

Das sind zwei verschiedene Paar Stiefel. Dieser "DNSChanger-Check" mag auf ein Logfile zugreifen. Allerdings verbirgt sich hinter www.dns-ok.de eine andere Idee.

Die Schadsoftware, um die es sich hier handelt, hat u.a. auch die DNS-Einträge auf dem Client verändert. Das Resultat: alle DNS Abfragen laufen über einen "bösen DNS Server". Von dort könnten falsche Ergebnisse ausgeliefert werden, beispielweise eine falsche IP zum Online-Banking. Landet man dann auf einer nachgebildeten Webseite des Online-Bankings, könnte man Opfer eines Phishing-Betrugs werden. Diese bösen DNS-Server sind nun unter der Kontrolle des FBI und liefern zumindest vorübergehend wieder richtige Ergebnisse aus. Das Surfen mit diesen ehemals bösen DNS Servern ist also eigentlich kein Sicherheitsproblem mehr, aber: die Nameserver werden natürlich nicht immer weiter betrieben. Im März oder irgendwann werden die DNS Server abgeschaltet. Ab dem Zeitpunkt hätten diejeniegen, die diese Server noch unbewusst in ihren lokalen DNS-Einstellungen gespeichert haben, keinen Zugriff mehr auf weite Teile des Internet, weil die Domains dann nicht mehr aufgelöst werden können. Außerdem ist das natürlich ein Symptom dafür, dass man sich diese Schadsoftware überhaupt erst eingefangen hat.

Jetzt möchte man darauf aufmerksam machen, dass die Betroffenen diesen Zustand beheben. Die Domain dns-ok.de wird von allen regulären DNS-Servern auf eine IP-Adresse aufgelöst, hinter der sich ein grüner Hinweis darauf, dass alles in Ordnung ist, verbirgt. Lediglich die ehemals "bösen" DNS Server lösen auf eine IP-Adresse auf, hinter der sich ein roter Warnhinweis verbirgt.

Meiner Meinung nach ist es zwar eine effektive Idee, aber ob sie besonders effizient ist, ist eine andere Frage.


Gruß,

[RobHost GmbH]

Jetzt möchte man darauf aufmerksam machen, dass die Betroffenen diesen Zustand beheben. Die Domain dns-ok.de wird von allen regulären DNS-Servern auf eine IP-Adresse aufgelöst, hinter der sich ein grüner Hinweis darauf, dass alles in Ordnung ist, verbirgt. Lediglich die ehemals "bösen" DNS Server lösen auf eine IP-Adresse auf, hinter der sich ein roter Warnhinweis verbirgt.

Interessant, das wusste ich noch gar nicht. Wäre es nicht vielleicht sinnvoller, wenn die gängigen Antiviren-Programme die lokalen DNS-Einstellungen prüfen würden? Oder tun sie das schon?

Mir ist auch ein Rätsel, wie das DNS-Problem auch Macs betreffen kann, denn ohne Eingabe des Kennworts hat der Browser oder eine App definitiv keinen Zugriff auf derartige Systemeinstellungen wie die "/etc/resolv.conf".

[domainfriends]

Interessant, das wusste ich noch gar nicht. Wäre es nicht vielleicht sinnvoller, wenn die gängigen Antiviren-Programme die lokalen DNS-Einstellungen prüfen würden? Oder tun sie das schon?

Das Frage ich mich in dem Zusammenhang auch. Vor allem aber frage ich mich auch, warum man nicht direkt darauf hinweist, die entsprechenden Einstellungen selbst zu überprüfen. Das wäre zumindest transparent. Eine entsprechende Dokumentation hätte man schnell erstellen können. (Allerdings muss ich dazu sagen, kenne ich die Funktionsweise der Schadsoftware auch nicht)

[Optimate-Server]

Interessant, das wusste ich noch gar nicht. Wäre es nicht vielleicht sinnvoller, wenn die gängigen Antiviren-Programme die lokalen DNS-Einstellungen prüfen würden? Oder tun sie das schon?

Ich würde behaupten wollen, dass diejenigen, die ein Virenprogramm im Einsatz haben, erst gar nicht den Virus installiert hätten, weil sich sofort der Virenscanner gemeldet hätte :)
Entsprechend unterstelle ich einfach mal, dass die betroffenen PCs gar kein Virenscanner laufen haben.

[dnienhaus]

Für die Verschwörer unter euch: http://blog.fefe.de/?ts=b1f19b0c ;)

[domainfriends]

Hier übrigens die Warnseite. Informationsflut...

http://85.214.11.194/

(die zeigt natürlich immer eine Warnung an! - bevor wir jetzt noch andere Besucher verunsichern ;-) )