5
DNS "Spam"
Hi,
wir haben 2 Computer bei uns im Haus (mindestens, bin noch am recherchieren, ob es noch mehr sind), welche hunderte, vielleicht gar tausende von Anfragen an unserer DNS-Server senden, wie im Screenshot dargestellt.
Kennt das jemand und weiß, wer oder was diese Anfragen verursacht?
Die bertreffenden Computer sind Windows Server 2008 R2 Terminalserver mit Citrix XenApp und diversen Applikationen.
E.
wir haben 2 Computer bei uns im Haus (mindestens, bin noch am recherchieren, ob es noch mehr sind), welche hunderte, vielleicht gar tausende von Anfragen an unserer DNS-Server senden, wie im Screenshot dargestellt.
Kennt das jemand und weiß, wer oder was diese Anfragen verursacht?
Die bertreffenden Computer sind Windows Server 2008 R2 Terminalserver mit Citrix XenApp und diversen Applikationen.
E.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 306557
Url: https://administrator.de/forum/dns-spam-306557.html
Ausgedruckt am: 22.04.2025 um 17:04 Uhr
5 Kommentare
Neuester Kommentar
Hi
Du hast wohl eine Malware auf den betreffenden Servern die sich jetzt über DNS ihre C&C Server suchen.
LG
Du hast wohl eine Malware auf den betreffenden Servern die sich jetzt über DNS ihre C&C Server suchen.
LG
Moin,
So wie es ausschaut, tippe ich drauf, daß die Kisten sich mit Malwrae infiziert haben udn jetzt nah Ihrem C&C-Server suchen.
Ich würde die sofort vom netz nehmen und desinfizieren. ggf. auch erhöhte Aufmerksamkeit auf Backups legen, insbesodnere darauf achten, daß diese weit genug zurückreichen um ggf. beim scharfschalten des Erpressungstrojaners imemr noch "saubere" Exemplare vorhanden sind.
lks
So wie es ausschaut, tippe ich drauf, daß die Kisten sich mit Malwrae infiziert haben udn jetzt nah Ihrem C&C-Server suchen.
Ich würde die sofort vom netz nehmen und desinfizieren. ggf. auch erhöhte Aufmerksamkeit auf Backups legen, insbesodnere darauf achten, daß diese weit genug zurückreichen um ggf. beim scharfschalten des Erpressungstrojaners imemr noch "saubere" Exemplare vorhanden sind.
lks
Moin,
ich ich tippe hier auch ganz klar auf Malware. Und selbst wenn es keine ist, würde ich die Kisten so lange vom Netz nehmen, bis ich weiß, was das ist. Normal ist das nämlich nicht!
Gruß Krämer
ich ich tippe hier auch ganz klar auf Malware. Und selbst wenn es keine ist, würde ich die Kisten so lange vom Netz nehmen, bis ich weiß, was das ist. Normal ist das nämlich nicht!
Gruß Krämer
Moin,
ich kann mich den Kollegen nur anschließen, bei den Adresse denke ich da auch sofort an ein infiziertes System!
VG
Val
PS: Wie komm ich denn bei meinen 2012R2 DCs zu so einer schönen anzeige?
ich kann mich den Kollegen nur anschließen, bei den Adresse denke ich da auch sofort an ein infiziertes System!
VG
Val
PS: Wie komm ich denn bei meinen 2012R2 DCs zu so einer schönen anzeige?
PS: Wie komm ich denn bei meinen 2012R2 DCs zu so einer schönen anzeige?
Programmieren mit .Net 
Ich bin da noch nicht weiter.
Was ich über dieses "Suchen" nach einem C&C-Server bisher lesen konnte, sind das ja gar keine Suchvorgänge sondern gezielte Anfragen an die betreffenden DNS-Server. Diese DNS-Server können diese Namen dann dekodieren und entsprechend antworten. Die Namen, welche dabei angefragt werden, enden dabei mit einer oder mehreren fixen Domains, welche tatsächlich existieren und von solchen C&C-Servern oder DNS-Servern aus deren Infrastruktur gehostet werden.
In unserem Fall sind das aber alles Namen aus den internationalen TLDs. Ich mag nicht glauben, dass die Namensserver dieser TLDs zu dieser Infrastruktur gehören sollen .... Obwohl - CIA, NSA und Konsorten ...
Oder die Bots gehen davon aus, dass ein interner DNS-Server infiziert sein könnte und deshalb diese Anfragen "versteht", sprich diese gar nicht erst an die NS der TLDs weiterleitet sondern selbst "richtig" beantwortet. Ich glaube aber nicht, dass solche Antworten dann über das DNS-Protokoll zurückgesendet werden würden. Ich müsste mir also die Antworten des Servers mit Wireshark o.ä. ansehen ...
