DNS/Router Manipuliert ???

Ein Hallo erst mal...

Zum Problem:

Kann mir bitte jemand etwas zur Bedeutung, Funktion etc. von (Host-)A-Einträgen mitteilen.
Alles was ich bisher dazu an Infos finden konnte, hat mich aufgrund mangelnder Kenntnisse nicht weitergebracht

Da ich das Spy-Bot Search n Destroy Programm nutze, habe ich dessen Host Immunisierung angewandt.

Zusätzlich zu den aktuellen SpyBot-Immunisierungs Einträgen habe ich noch ein paar 'Anti-Googles' dazu gefügt,
das ist aber auch alles, was in der Host Datei tatsächlich eingetragen ist.
siehe ->
____________________________________________________________
# Start of entries inserted by .... me !!
# [Google Inc]
127.0.0.1 pagead.googlesyndication.com
127.0.0.1 pagead2.googlesyndication.com
127.0.0.1 adservices.google.com
127.0.0.1 ssl.google-analytics.com
127.0.0.1 www.google-analytics.com
127.0.0.1 imageads.googleadservices.com
127.0.0.1 imageads1.googleadservices.com
127.0.0.1 imageads2.googleadservices.com
127.0.0.1 imageads3.googleadservices.com
127.0.0.1 imageads4.googleadservices.com
127.0.0.1 imageads5.googleadservices.com
127.0.0.1 imageads6.googleadservices.com
127.0.0.1 imageads7.googleadservices.com
127.0.0.1 imageads8.googleadservices.com
127.0.0.1 imageads9.googleadservices.com
127.0.0.1 partner.googleadservices.com
127.0.0.1 www.googleadservices.com
127.0.0.1 apps5.oingo.com
127.0.0.1 www.appliedsemantics.com
127.0.0.1 service.urchin.com
# End of entries inserted by .... me !!
_____________________________________________________________


Im DNS-Cache finden sich im Online Modus
dann allerdings zusätzlich unter anderen z.B.: folgende Einträge
_____________________________________________________________

www.searchfromyourbrowser.net
----------------------------------------
Eintragsname. . . . . : www.searchfromyourbrowser.net
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 601086
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.rosaoalice.it
----------------------------------------
Eintragsname. . . . . : www.rosaoalice.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 601086
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


popstar24.com
----------------------------------------
Eintragsname. . . . . : popstar24.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 601086
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


paginegialler.it
----------------------------------------
Eintragsname. . . . . : paginegialler.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 601086
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


p2p-paradies.com
----------------------------------------
Eintragsname. . . . . : p2p-paradies.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 601086
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.nicecodec.net
----------------------------------------
Eintragsname. . . . . : www.nicecodec.net
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 601086
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.mylimewirenetwork.com
----------------------------------------
Eintragsname. . . . . : www.mylimewirenetwork.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 601086
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
_______________________________________________________________________________

zwar verweisen die alle auf - 127.0.0.1 - also demnach meinen PC, aber ....????

Ich war noch nie auf diesen Seiten - habe keinen Server
bin alleiniger User ( OS - Win XP/SP2)
nutze einen Router mit aktueller FirmWare und Firewall
bin vorrangig als NICHT-Admin mit FireFox, oder gelegentlich OperaTor, unterwegs
und jeglicher Scan nach Schädlingen etc., wie auch ein Blick per TrendMicro-HiJack haben
zu keinem Negativem Ergebnis (Fund) geführt !!

Also, hat jemand eine Idee, was ich davon halten soll ??????

Danke im voraus.

Gruss, janosch

 

AUTSCH - ACHTUNG

Sorry, habe total versäumt die Urls zu bearbeiten - me aculpa.

VORSICHT die genannten HOST-A Seiten sind nicht ungefährlich !!!!!

ALSO möglichst KEINEN Besuch abstatten !!!

auch mit entsprechenden Vorkehrungen ...... be careful !!

Danke.

Vielleicht kann das ja ein Modi entsprechend sicher editieren ? Merci
janosch

 

Mit dem DSL-Router hat das nichts zu tun.
Die hosts ist in Windows und dort wird zuerst geguckt, ob eine URL auf eine bestimmte IP umgeleitet wird.
http://www.netzadmin.org/theorie/hosts-datei.htm
127.0.0.1 ist der Localhost, das eigene System.
Wird hinter der IP eine URL eingetragen, wird die URL auf die IP umgeleitet, die davor steht.
Ist die IP der Localhost, wird die URL auf das eigene System umgeleitet. Da dort normalerweise keine Server laufen, die Werbung einblenden, erscheint auch keine Werbung, die erscheinen würde, wenn die URL über den DNS-Server in ihre IP aufgelöst werden würde.

 

Danke Deo
für die Antwort, war allerdings schon einigermassen klar,
schliesslich hat ein Router-Reset (Werkseinstellung + Neueinrichtung) hat auch nix gebracht.
und ausserdem -> Zitat
"zwar verweisen die alle auf - 127.0.0.1 - also demnach meinen PC"

die Frage ist ja vielmehr woher kommen die Host-A Einträge im DNS Cache - welche sich interessanter Weise auch ändern.....

zu beobachten bei Einwahl - Aufruf des Caches - Einträge vorhanden - Cache leeren - Aufruf eines neuen leeren Tabs (about:blank) !! im Fox / Opera
- Einträge wieder vorhanden,
lässt sich mehrfach wiederholen mit jeweils teilweise veränderten Host-A Einträgen...
insgesamt ca 20 - 25 Stück - hatte ja auch nur einen Auszug gepostet

dies alles bei 'Inaktivität' , da weder irgendeine Webseite aufgerufen wird, noch das Win- oder andere Updates, u.ä.im Hintergrund Url's ansteuert - müsste ich ansonsten ja per TCP-View angezeigt bekommen, oder?

Demnach 'steuert' irgendetwas die Einträge und zwar von innen, nur haben diverse Scans - selbst im abgesicherten Modus, oder auch per Boot CD bisher nichts finden können...
... demnach bin ich sauber - und fühle mich unwohl...
wobei derlei Scans u.U. ja auch nichts finden können, da das Phänomen ja erst im ON-Status auftritt.

Scans von csrss - svchost etc auf www - virustotal - de haben auch nichts ergeben, was allerdings ja auch nicht bedeutet, das die nicht zur Steuerung von ??? gebraucht werden

Das einzige was ich bisher an - für mich - einigermassen verständlicher Erklärung zu HOST-A Einträgen gefunden habe ist von United Domains.
Da heisst es in den FAQs:
___________________________________________________

Als A-Eintrag (oder A-Host) bezeichnet man einen
Nameservereintrag, welcher die IP-Adresse einer Domain angibt.
Wenn Sie also selbst einen eigenen Server betreiben, können Sie
hier die IP-Adresse Ihres Servers in unsere Nameserver
eintragen.
Der A-Eintrag gilt für die komplette Domain (inkl. aller
Subdomains) und für alle Dienste wie z.B. mail, ftp, www.
Bei Nutzung eines eigenen A-Eintrags können die von
united-domains bereitgestellten Web-Weiterleitungen NICHT
mehr genutzt werden.
Der A-Eintrag kann im "Config"-Menü der Domain, unter dem
Menüpunkt "DNS-Control: Eintrag von A-, MX-, CNAME- und
TXT-Einträgen (nur für Administratoren!), gesetzt werden.

Dieses Feature richtet sich vorrangig an Administratoren oder
Serverbetreiber!
____________________________________________________

Nur habe ich weder eine Domain, noch betreibe ich einen Server.

Also, anybody an idea ????
Bitte INPUT - Danke

Gruss, janosch

 

Du kannst ja mal die host mit einem Schreibschutz versehen und gucken, ob eine Fehlermeldung kommt oder in der Ereignisanzeige welche eingetragen werden. Des weiteren kann man auch eine Zugriffsüberwachung einrichten.
http://support.microsoft.com/kb/310399/de

 

Was hast du denn so an Sicherheitsprogrammen laufen? Vermutlich schreibt eines der Programme/Add-ons seine Blacklist in den DNS-Cache.

 

Hallo Deo.
Vorab erst mal Danke dafür, dass Du Dir Gedanken machst und Vorschläge zwecks Problösung unterbreitest.
Finde ich klasse, und ich habe hier auf dem Board ja auch schon so einige hilfreiche Tipps von Dir zu anderen Problemen nachlesen können.
Dafür - Daumen Hoch!!!

Vielleicht holst Du, der sich hier auf dem Board - im Gegesatz zu mir - so gut auskennt, noch ein paar andere Dir bekannte clevere User mit ins Boot???

Dann können wir das DNS - Phänomen ja u. U. gemeinsam lösen und auch anderen damit die Möglichkeit bieten sich vor derlei zu schützen. Was meinst Du dazu?
__________________________________________________________________

Danke für den Link zu MS bezgl. der Überwachung - klappt nur nicht, da ich XP - Home habe und es damit nicht funktioniert - zumindest nicht auf die Art...
Zugegeben mein Fehler hatte nicht angegeben, dass ich mit Home unterwegs bin, trotzdem danke, eine gute Idee.

Nun zu Deinem Vorschlag bzgl. Schreibschutz der HostDatei - ich glaube nicht, das dies was bringt, da die HostDatei ja in keinster Weise verändert wird wenn ich Online

gehe. Habe ich schon beobachtet...

Mhmm - mal eine kleine Faktensammlung -

1.
Die HostDatei ist von SpyBot per Immunisierung - durch Einträge v. vielen nicht ungefährlichen URL' s
per Verweis auf Host 127.0.0.1 - demnach meinen PC, wie Du richtig bemerkt hast, zum Teil geschützt.
Bedeutet, jeder Versuch eine dieser Seiten aufzurufen würde nicht die Seite, sondern meinen PC anrufen....

2.
Die Host Datei wird auf meinem Rechner zusätzlich von der Kaspersky-Suite, dem MS - Windows Defender und von
WinPatrol überwacht.
Bedeutet, dass sich bei einer Änderung derselben mindestens! eines dieser Prg's mit einer Meldung bemerkbar macht.

3.
Die Host Datei wird - um Punkt 1 zu realisieren - in den DNS-Cache geladen und zwar mit allen darin vorhandenen Einträgen, denen von SpyBot und den paar von mir dazugefügten.

4.
Zusätzlich zu diesen Einträgen kommen im ONLINE STATUS - wie von mir erwähnt - noch ca 20 - 25 von mal zu mal unterschiedliche potenziell unangenehme Url's dazu - welche allerdings - wie auch von Dir bemerkt -
wiederum auch auf HOST 127.0.0.1 -> meinen PC - verweisen.

- sich demnach ja eigentlich im Kreis drehen, da sie zwar irgendwie von ?x?x? auf meinem PC in den DNS Cache geschrieben werden, aber dennoch wiederum auf meinen PC verweisen....

Wäre ja eigentlich unsinnig - sollte eine Umleitung von innen nach außen stattfinden!!

ABER es ist ja ein - Wohlgemerkt HOST-A Eintrag !! welcher
- wie wir gelernt haben - durch eine eigene Domain, oder Server - wovon ich nichts besitze - genutzt wird.... Falls ich das richtig verstanden habe *snirg*

ALSO der umgekehrten Fall ??? -> von außen nach innen ???? - von xxx auf meinem PC was abholen ??
Wodurch ja auch der Eintrag ANTWORT im HOST-A Abschnitt erklärbar wäre ???

Dazu passt allerdings nicht:

5.
Es findet - zumindest von mir bis dato nicht feststellbar - bei Online IN-Aktivität!! meinerseits ( kein Aufruf von Seiten, Updates etc.),
bis auf die paar Hellos vom Router übers Modem zum Provider bis zur Abmeldung des Routers beim Provider, kein Netzverkehr statt.

6.
Es wurde bei diversen verschiedenartigen Scans - wie erwähnt/beschrieben - nix gefunden....auch keine Keylogger, o.ä. welche ja z.B. zwecks Abholung Sinn machen würden....

7.
Es bleiben FRAGEN *grummel*

_________________________________________


So, nu bist Du wieder dran - ich merk schon das wird hier noch zum Roman.... *gg*

Wenn noch ein paar andere Spezies mitmachen - zum Krimi???!!!

A propos - Deo - wie siehts den so mit Deinem DNS-Cache aus ???

Erzähl doch mal... ;-)

gruss, janosch

P.S. Ach ja, nur mal so zur Info, falls jemand drüber stolpert, im SpyBot Forum hatte ich auch schon um Infos gebeten - was ja wohl erlaubt sein dürfte - , allerdings hat es ja nun offenbar - wie wir festgestellt haben - auch nix mit der Immunisierung der Host Dats zu tun und dementsprechend waren die Reaktionen dort gleich null.

P.P.S. Kreisen wir ES ein, oder umkreist ES UNS ???? *grmpf*

 

Über die laufenden Programme auf dem PC ist zu wenig bekannt, um Schuldige dingfest zu machen.
Hier wird ein HijackThis-Log gebraucht....

Spybot S&D benutze ich auch und das versieht die hosts mit einem Schreibschutz, der allerdings in einem Adminkonto nicht viel bringt. Ich arbeite in einem Benutzerkonto, wo die hosts aufgrund fehlender Rechte vor Veränderung geschützt ist.
Meines Wissens überwacht Kaspersky die hosts und es gibt Ausnahmen, die nicht registriert werden. Wenn dann einer der ausgenommenen Dienste die Einträge verursacht, würde Kaspersky nicht anschlagen und auch nicht protokollieren. Da kann man ansetzen und die Ausnahmen deaktivieren. Kaspersky reagiert aber auch manchmal seltsam. So kenne ich einen Fall, bei dem Kaspersky eigene Netzwerkzugriffe als DOS-Angriffe gemeldet hat aus dem Kaspersky-Forum.

Ich schließe deshalb Kaspersky nicht von den Schuldigen aus.

 

Wenn das mal Kaspersky nicht ist....

 

Hallo Deo.
Auch an Kalweit ein Welcome,
habe Deinen Comment gestern gar nicht wahrgenommen, sorry.*Brille putz*

Ok -
Die Idee, das sich da was in die Quere kommt hatte ich auch schon, konnte allerdings bis jetzt keine

Unverträglichkeiten feststellen.
Die Tools harmonieren eigentlich ganz gut - hatte da schon mal schlechtere Konstellationen.
Ob Kasps da was reinschreibt? - werd ich morgen mal prüfen, auch das mit den Ausnahmen - hätte nix dagegen - dann wärs ja alles recht harmlos....

Anyway, jetzt lass ich mal - wie gewünscht - die Hosen runter.

Ausser den im beigefügten HiJack Log ersichtlichen Tools sind halt noch ein paar von SysInternals

und SpyBot - wie File, RegAlyzer vorhanden - allerdings mehr zu Analysezwecken.

Im SpyWareTerminator ist die Überwachung der HostDatei bewusst abgeschaltet!! - von wegen in die

Quere kommen...

Gelegentlich lass ich mal MalWareBytes als 2't Scanner laufen, aber auch das nur manuell.
Gmer als AntiRootkit und ähnliches läuft wenn dann, da ohne Install lauffähig, vom Stick.

Aber all das hinterlässt im Höchstfall ein paar TempDats / Logs und hat m.E. mit dem HOST-Cache

nix am Hut.
_________________________

Aha, Kasps meldet eigene Netzwerkzugriffe als DOS-Angriffe - auch nett .....
sind wir nicht alle ein bisschen paranoid?
warum nicht also auch eine SicherheitsSoftware die sich selber Angst macht *g*
- man gönnt sich ja sonst nix - tsss

gruss, janosch

ach ja eins noch @ Deo
- sooo weit her geholt war die Vermutung bzgl. Router Manipulation ja nu auch nicht - musst Dir nur

mal ein paar Sachen zu Cross Site Request Forgery durchlesen - nette Geschichte das ist ....
siehe z.B:

http://www.heise.de/security/Erste-aktive-Angriffe-auf-DSL-Router-Update--/news/meldung/102281

http://www.heise.de/security/Praepa...-Firewall-im-Router-aus--/news/meldung/101641

http://www.heise.de/security/Rechne...ss-Site-Request-Forgery--/news/meldung/106784

 

...doch, ist es. Der User muss den Router erst für die Angriffe öffnen, in dem er entsprechende Dienste aktiviert (z.B. UPnP).

LOL - das liest sich wie eine ausgeprägte Paranoia.

 

Spybot kann man wohl ausschließen, da die im Forum nichts darüber wissen.
http://forums.spybot.info/showthread.php?p=251358
Winpatrol überwacht auch die HOSTS-Datei.

 

Wie gesagt, da die Einträge in der HOSTS nicht auftauchen, macht es keinen Sinn nach Prgrammen zu suchen, die diese beschützen - die Einträge werden von einem Programm direkt in DNS-Cache geschrieben...

 

Ist ja nett, dass ich mit dem Log für Amüsement gesorgt habe - vielleicht später mehr dazu.
Bitte nicht wundern, wenn im Mom nix von mir kommt - hab Stress, werd aber am Ball bleiben soweit zeitl. mögl. und mich auf jeden Fall wieder melden..
Danke
Gruss, janosch

 

Das musst du nicht weiter ausführen. Derlei sehen wir nicht zum ersten mal. Die Lösung steht bereits in #7. Deinstalliere das ganze Zeug und schau dann, ob die Einträge immer noch auftauchen.

 

Hallo, habe endlich mal wieder ein wenig Luft um mich zu melden...

Also lt. Ausschlusssverfahren ist wohl keins der sogenannten Schutzprogramme für die HOST-A Einträge verantwortlich.
Selbst Kaspersky scheidet wohl aus, da die Suite in exact derselben Konfig - wie bei mir - bei einem Bekannten läuft, es bei diesem allerdings keine vergleichbaren Einträge im DNS - Cache gibt.

Die Frage bleibt was zu diesen HOST-A Einträgen führt, da mein Sys ansonsten ja clean zu sein scheint.

Was ich mir als einziges vorstellen kann ist, dass von irgendeiner ehlgeschlagenen/abgewehrten/ bereinigten Infektion kleine 'Reste' auf dem Rechner verblieben sind, welche bei jeder ON-Sitzung starten. Da reicht ja schon ein Script, oder ne Batch, oder so - die nur für die Einträge im DNS-Cache verantwortlich sind und ansonsten keinerlei Funktion (mehr) haben und daher bei einem Scan auch nicht weiter auffallen.

Bin bei Wikiped über einen Artikel gestolpert in dem es unter anderem um 'Reverse Lookup' im DNS geht - werde mir den mal in Ruhe durchlesen.

Zudem soll die neue Version von Sysinternals Process Monitor erweiterte
Netzaktivitätsanalysefunktionen haben - werde ich mir wohl auch mal zu Gemüte führen.(müssen)
Habe ja sonst nix zu tun... hüstel - aber vielleicht hilft mir das ja weiter.
Wäre diesbezüglich dankbar für Tipps bezüglich der Filterung - à la:
Hauptaugenmerk auf 'Prozess a; b; c; - xy' ????

deo?
kalweit ?
- any other ideas??

gruss, janosch

Bitte um Korrektur, sollte ich auf der falschen Fährte sein - danke.

 

Hallo.

Zur Info und um den Thread zu beenden: Keine neuen Erkenntnisse und daher Sys neu aufgesetzt.

Neues Jahr - ' frisches ' Sys *gg* - oder so...

Nochmals danke für die Unterstützung
Cu