9697748851
15.02.2024, aktualisiert um 07:44:15 Uhr
1225
2
0
Bedrohliche Weiterleitung - Herkunft unbekannt
Hallo werte Adminas und Admins,
mir flog soeben ein AV-Bericht ein, dass einer meiner User auf eine schädliche Webseite (Link führt zu Virustotalbericht) besucht hat, der AV den Zugriff aber unterbunden hat.
Nun kann sich die Dame nur daran erinnern, dass Sie im Intranet auf einen noch nicht ausgebauten Link geklickt hat (ich habe dummerweise ht*p:/ /www.de als Platzhalter hinterlegt).
Als ich nun selbst auf ht*p:/ /www.de gebrowsed bin, wurde ich auch auf jene schädliche Seite weitergeleitet.
Nun interessiert mich schwer, wie das Verhalten zu Stande kommt.
Clients zeigen aufs AD, 's AD leitet weiter an AdGuardDNS und der wiederum löst über:
auf.
Das Setup sieht auch in Ordnung aus. Keine unbekannten Einträge, kein "falscher" DNS hinterlegt, bekannte Weiterleitungen (intern), ..
Nun meine Fragen:
Ich freue mich über euer Feedback.
Danke und viele Grüße,
Edit: gleiches Spiel mit ht*ps:/ /www.de
Dann wird die Domain www.de weiterleiten an etwas schadhaftes. In dem Fall bin ich etwas beruhigter und habe dazu gelernt (mieser Link meinerseits).
mir flog soeben ein AV-Bericht ein, dass einer meiner User auf eine schädliche Webseite (Link führt zu Virustotalbericht) besucht hat, der AV den Zugriff aber unterbunden hat.
Nun kann sich die Dame nur daran erinnern, dass Sie im Intranet auf einen noch nicht ausgebauten Link geklickt hat (ich habe dummerweise ht*p:/ /www.de als Platzhalter hinterlegt).
Als ich nun selbst auf ht*p:/ /www.de gebrowsed bin, wurde ich auch auf jene schädliche Seite weitergeleitet.
Nun interessiert mich schwer, wie das Verhalten zu Stande kommt.
Clients zeigen aufs AD, 's AD leitet weiter an AdGuardDNS und der wiederum löst über:
# CloudFlare
https://dns.cloudflare.com/dns-query
tls://1.1.1.1
# Quad9 Servers
https://dns.quad9.net/dns-query
tls://dns.quad9.net
https://dns11.quad9.net/dns-query
tls://dns11.quad9.netDas Setup sieht auch in Ordnung aus. Keine unbekannten Einträge, kein "falscher" DNS hinterlegt, bekannte Weiterleitungen (intern), ..
Nun meine Fragen:
- ist das Verhalten bei euch ebenfalls ein Thema? (ht*p:/ /www.de -> ht*p:/ /qionku.com/)
- Wie debugge ich die Geschichte nun vernünftig? Den Link habe ich bereits rausgenommen aber wie kann ich sicher sein, dass es kein internes Problem ist? (AdGuard befallen?)
- Würde Euch das kalt lassen? AV blockt ja (mich lässt es bislang nicht so kalt) Edit: deutlich erleichtert :D
- Habe ich einen Denkfehler?!
Ich freue mich über euer Feedback.
Danke und viele Grüße,
Edit: gleiches Spiel mit ht*ps:/ /www.de
Dann wird die Domain www.de weiterleiten an etwas schadhaftes. In dem Fall bin ich etwas beruhigter und habe dazu gelernt (mieser Link meinerseits).
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42487306744
Url: https://administrator.de/contentid/42487306744
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
2 Kommentare
Neuester Kommentar
Nuja, nachdem die www.de auf Denic registriert ist, würde ich sagen, da hat eben jemand eine Weiterleitung eingerichtet.
.com/r2.php?e=$document wird von uBlock auch geblockt.
.com/r2.php?e=$document wird von uBlock auch geblockt.
1
So denke ich aktuell auch. Anders kann ichs mir nicht erklären.
Gut, zugegeben: www.de ist jetzt nicht der idealste Link *versteck
uBlock nutzen wir nicht, da AdGuard. Aber ich sehe schon, ich brauche da eine neue Regel (spannend, denn eigentlich prüfe ich gegen 8 Blacklisten).
Gruß
Gut, zugegeben: www.de ist jetzt nicht der idealste Link *versteck
uBlock nutzen wir nicht, da AdGuard. Aber ich sehe schon, ich brauche da eine neue Regel (spannend, denn eigentlich prüfe ich gegen 8 Blacklisten).
Gruß
