Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DNS "Spam"

Mitglied: emeriks

emeriks (Level 5) - Jetzt verbinden

08.06.2016 um 18:52 Uhr, 1162 Aufrufe, 5 Kommentare

Hi,
wir haben 2 Computer bei uns im Haus (mindestens, bin noch am recherchieren, ob es noch mehr sind), welche hunderte, vielleicht gar tausende von Anfragen an unserer DNS-Server senden, wie im Screenshot dargestellt.

Kennt das jemand und weiß, wer oder was diese Anfragen verursacht?

Die bertreffenden Computer sind Windows Server 2008 R2 Terminalserver mit Citrix XenApp und diversen Applikationen.

dns - Klicke auf das Bild, um es zu vergrößern

E.
Mitglied: catachan
08.06.2016 um 19:19 Uhr
Hi

Du hast wohl eine Malware auf den betreffenden Servern die sich jetzt über DNS ihre C&C Server suchen.

LG
Bitte warten ..
Mitglied: Lochkartenstanzer
08.06.2016 um 19:28 Uhr
Moin,

So wie es ausschaut, tippe ich drauf, daß die Kisten sich mit Malwrae infiziert haben udn jetzt nah Ihrem C&C-Server suchen.

Ich würde die sofort vom netz nehmen und desinfizieren. ggf. auch erhöhte Aufmerksamkeit auf Backups legen, insbesodnere darauf achten, daß diese weit genug zurückreichen um ggf. beim scharfschalten des Erpressungstrojaners imemr noch "saubere" Exemplare vorhanden sind.

lks
Bitte warten ..
Mitglied: Kraemer
09.06.2016 um 08:09 Uhr
Moin,

ich ich tippe hier auch ganz klar auf Malware. Und selbst wenn es keine ist, würde ich die Kisten so lange vom Netz nehmen, bis ich weiß, was das ist. Normal ist das nämlich nicht!

Gruß Krämer
Bitte warten ..
Mitglied: Valexus
09.06.2016 um 16:08 Uhr
Moin,

ich kann mich den Kollegen nur anschließen, bei den Adresse denke ich da auch sofort an ein infiziertes System!

VG
Val

PS: Wie komm ich denn bei meinen 2012R2 DCs zu so einer schönen anzeige?
Bitte warten ..
Mitglied: emeriks
09.06.2016, aktualisiert um 16:30 Uhr
PS: Wie komm ich denn bei meinen 2012R2 DCs zu so einer schönen anzeige?
Programmieren mit .Net

Ich bin da noch nicht weiter.
Was ich über dieses "Suchen" nach einem C&C-Server bisher lesen konnte, sind das ja gar keine Suchvorgänge sondern gezielte Anfragen an die betreffenden DNS-Server. Diese DNS-Server können diese Namen dann dekodieren und entsprechend antworten. Die Namen, welche dabei angefragt werden, enden dabei mit einer oder mehreren fixen Domains, welche tatsächlich existieren und von solchen C&C-Servern oder DNS-Servern aus deren Infrastruktur gehostet werden.
In unserem Fall sind das aber alles Namen aus den internationalen TLDs. Ich mag nicht glauben, dass die Namensserver dieser TLDs zu dieser Infrastruktur gehören sollen .... Obwohl - CIA, NSA und Konsorten ...
Oder die Bots gehen davon aus, dass ein interner DNS-Server infiziert sein könnte und deshalb diese Anfragen "versteht", sprich diese gar nicht erst an die NS der TLDs weiterleitet sondern selbst "richtig" beantwortet. Ich glaube aber nicht, dass solche Antworten dann über das DNS-Protokoll zurückgesendet werden würden. Ich müsste mir also die Antworten des Servers mit Wireshark o.ä. ansehen ...
Bitte warten ..
Ähnliche Inhalte
E-Mail
Spam-Check über DNS
Frage von Philipp711E-Mail7 Kommentare

Hallo Leute, ich habe eine kurze Frage zur Überprüfung eines SMTP-Kommunikationspartners mittels DNS. Ein externer Mailserver möchte uns eine ...

E-Mail
SPAM Nachrichten
Frage von ir-systemlineE-Mail3 Kommentare

Hallo zusammen, ich würde für folgendes Thema erneut Eure Hilfe, Rat und Unterstützung benötigen. Es geht mal wieder und ...

E-Mail
Server versendet SPAM
Frage von taschaueE-Mail19 Kommentare

Hallo, ich habe folgendes Problem: unser ISP hat mich kontaktiert, dass anscheinend von einer unserer öffentlichen IP (80.90.100.x) SPAM ...

Exchange Server
Exchange SPAM-Schutz
Frage von padimonuExchange Server11 Kommentare

Hallo Zusammen, wir sind auf der Suche nach einem neuen SPAM Schutz für den MS Exchange. Hier die Eckdaten: ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 19 StundenHumor (lol)3 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 1 TagSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 1 TagWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 2 TagenGrafik2 Kommentare

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
Ubuntu
Ubuntu-Putty hilfe
gelöst Frage von Nickolas.GroheUbuntu53 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 729 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...

LAN, WAN, Wireless
10G Netzwerk konfigurieren für maximalen Datendurchsatz
Frage von hukimanLAN, WAN, Wireless29 Kommentare

Guten Morgen, in unserem Betrieb wurde das Netzwerk auf 10G (Kupfer) umgerüstet. Grund dafür sind große Laserscandaten die sehr ...

Microsoft Office
Abfrage ist beschädigt. Error-Code 3340 in Access2013
gelöst Frage von RomualdMicrosoft Office16 Kommentare

Hallo Foren-Mitglieder, ich hätte da mal ein Problem Seit heute am Morgen (13.11.2019) erhalte ich die Fehlermeldung "Abfrage '' ...