9697748851
Feb 15, 2024, updated at 06:44:15 (UTC)
1177
2
0
Bedrohliche Weiterleitung - Herkunft unbekannt
Hallo werte Adminas und Admins,
mir flog soeben ein AV-Bericht ein, dass einer meiner User auf eine schädliche Webseite (Link führt zu Virustotalbericht) besucht hat, der AV den Zugriff aber unterbunden hat.
Nun kann sich die Dame nur daran erinnern, dass Sie im Intranet auf einen noch nicht ausgebauten Link geklickt hat (ich habe dummerweise ht*p:/ /www.de als Platzhalter hinterlegt).
Als ich nun selbst auf ht*p:/ /www.de gebrowsed bin, wurde ich auch auf jene schädliche Seite weitergeleitet.
Nun interessiert mich schwer, wie das Verhalten zu Stande kommt.
Clients zeigen aufs AD, 's AD leitet weiter an AdGuardDNS und der wiederum löst über:
auf.
Das Setup sieht auch in Ordnung aus. Keine unbekannten Einträge, kein "falscher" DNS hinterlegt, bekannte Weiterleitungen (intern), ..
Nun meine Fragen:
Ich freue mich über euer Feedback.
Danke und viele Grüße,
Edit: gleiches Spiel mit ht*ps:/ /www.de
Dann wird die Domain www.de weiterleiten an etwas schadhaftes. In dem Fall bin ich etwas beruhigter und habe dazu gelernt (mieser Link meinerseits).
mir flog soeben ein AV-Bericht ein, dass einer meiner User auf eine schädliche Webseite (Link führt zu Virustotalbericht) besucht hat, der AV den Zugriff aber unterbunden hat.
Nun kann sich die Dame nur daran erinnern, dass Sie im Intranet auf einen noch nicht ausgebauten Link geklickt hat (ich habe dummerweise ht*p:/ /www.de als Platzhalter hinterlegt).
Als ich nun selbst auf ht*p:/ /www.de gebrowsed bin, wurde ich auch auf jene schädliche Seite weitergeleitet.
Nun interessiert mich schwer, wie das Verhalten zu Stande kommt.
Clients zeigen aufs AD, 's AD leitet weiter an AdGuardDNS und der wiederum löst über:
# CloudFlare
https://dns.cloudflare.com/dns-query
tls://1.1.1.1
# Quad9 Servers
https://dns.quad9.net/dns-query
tls://dns.quad9.net
https://dns11.quad9.net/dns-query
tls://dns11.quad9.net
Das Setup sieht auch in Ordnung aus. Keine unbekannten Einträge, kein "falscher" DNS hinterlegt, bekannte Weiterleitungen (intern), ..
Nun meine Fragen:
- ist das Verhalten bei euch ebenfalls ein Thema? (ht*p:/ /www.de -> ht*p:/ /qionku.com/)
- Wie debugge ich die Geschichte nun vernünftig? Den Link habe ich bereits rausgenommen aber wie kann ich sicher sein, dass es kein internes Problem ist? (AdGuard befallen?)
- Würde Euch das kalt lassen? AV blockt ja (mich lässt es bislang nicht so kalt) Edit: deutlich erleichtert :D
- Habe ich einen Denkfehler?!
Ich freue mich über euer Feedback.
Danke und viele Grüße,
Edit: gleiches Spiel mit ht*ps:/ /www.de
Dann wird die Domain www.de weiterleiten an etwas schadhaftes. In dem Fall bin ich etwas beruhigter und habe dazu gelernt (mieser Link meinerseits).
Please also mark the comments that contributed to the solution of the article
Content-ID: 42487306744
Url: https://administrator.de/contentid/42487306744
Printed on: October 16, 2024 at 01:10 o'clock
2 Comments
Latest comment