accessviolation
Goto Top

Bedrohliche Weiterleitung - Herkunft unbekannt

Hallo werte Adminas und Admins,

mir flog soeben ein AV-Bericht ein, dass einer meiner User auf eine schädliche Webseite (Link führt zu Virustotalbericht) besucht hat, der AV den Zugriff aber unterbunden hat.

Nun kann sich die Dame nur daran erinnern, dass Sie im Intranet auf einen noch nicht ausgebauten Link geklickt hat (ich habe dummerweise ht*p:/ /www.de als Platzhalter hinterlegt).

Als ich nun selbst auf ht*p:/ /www.de gebrowsed bin, wurde ich auch auf jene schädliche Seite weitergeleitet.
Nun interessiert mich schwer, wie das Verhalten zu Stande kommt.

Clients zeigen aufs AD, 's AD leitet weiter an AdGuardDNS und der wiederum löst über:

# CloudFlare
https://dns.cloudflare.com/dns-query
tls://1.1.1.1
# Quad9 Servers
https://dns.quad9.net/dns-query
tls://dns.quad9.net
https://dns11.quad9.net/dns-query
tls://dns11.quad9.net
auf.

Das Setup sieht auch in Ordnung aus. Keine unbekannten Einträge, kein "falscher" DNS hinterlegt, bekannte Weiterleitungen (intern), ..

Nun meine Fragen:
  • ist das Verhalten bei euch ebenfalls ein Thema? (ht*p:/ /www.de -> ht*p:/ /qionku.com/)
  • Wie debugge ich die Geschichte nun vernünftig? Den Link habe ich bereits rausgenommen aber wie kann ich sicher sein, dass es kein internes Problem ist? (AdGuard befallen?)
  • Würde Euch das kalt lassen? AV blockt ja (mich lässt es bislang nicht so kalt) Edit: deutlich erleichtert :D
  • Habe ich einen Denkfehler?!

Ich freue mich über euer Feedback.

Danke und viele Grüße,

Edit: gleiches Spiel mit ht*ps:/ /www.de

Dann wird die Domain www.de weiterleiten an etwas schadhaftes. In dem Fall bin ich etwas beruhigter und habe dazu gelernt (mieser Link meinerseits).

Content-Key: 42487306744

Url: https://administrator.de/contentid/42487306744

Printed on: May 26, 2024 at 06:05 o'clock

Member: kpunkt
kpunkt Feb 15, 2024 at 06:25:07 (UTC)
Goto Top
Nuja, nachdem die www.de auf Denic registriert ist, würde ich sagen, da hat eben jemand eine Weiterleitung eingerichtet.
.com/r2.php?e=$document wird von uBlock auch geblockt.
Member: accessViolation
accessViolation Feb 15, 2024 at 06:26:59 (UTC)
Goto Top
So denke ich aktuell auch. Anders kann ichs mir nicht erklären.

Gut, zugegeben: www.de ist jetzt nicht der idealste Link *versteck

uBlock nutzen wir nicht, da AdGuard. Aber ich sehe schon, ich brauche da eine neue Regel (spannend, denn eigentlich prüfe ich gegen 8 Blacklisten).

Gruß