Staendige ungueltige DNS lookups von Clients am FW

#0
01.02.2003, 12:23
Member
Avatar framp

Beiträge: 326
#1 Hallo,

an meinem FW sehe ich staendig DNS Anfragen nach nicht existierenden Domains von einem meiner lokalen Rechner. Gibt es eine Moeglichkeit herauszufinden welche Application auf dem Client diese staendigen Anfragen vornimmt? Die Domainnamen kann ich mit ethereal sehen. Es waere also moeglich einen scan ueber alle Dateien des Clients nach diesem String zu machen - wuerde allerdings schon sehr lange dauern ;) und setzt voraus,d ass der String im Klartext vorliegt. Gibt es da vielleicht eine bessere Moeglichkeit? Ach ja, der Client hat WIN98.

Die Adresse ist uebrigens yahveh.etowns.org und .net und yahshua.etowns.org und .net und der Request regelmaessig alle 3 Sekunden ;).
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Dieser Beitrag wurde am 01.02.2003 um 15:17 Uhr von framp editiert.
Seitenanfang Seitenende
01.02.2003, 15:41
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#2 Alos Google wusste mal wieder nichts davon, aber alltheweb hat mir verraten, daß etwons.org/net ein Provider für dynamische DNS Dienste ist bzw wohl eher war.

Ich weiß, daß hilft nicht wirklich weiter ;)


Also na dann schließe doch nacheinander mal alle Programme und Tasks auf Deinem Rechner und dann schau ob die Anfragen weg sind oder nicht - wenn sie weg sind, dann weißt DU zumindest welcher Prozess dafür verantwortlich war - nun kannst Du die Dateien ja von der Platte fegen bzw. uns mal sagen was es war.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
01.02.2003, 20:23
Member

Themenstarter
Avatar framp

Beiträge: 326
#3 Kill von kernel32.exe beendete die DNS lookups. Google Suche nach kernel32.exe gibt 'ne Menge Hits in Bezug auf Viren bzw Backdoors. AV SW laeuft auf den Clients - leider auf einem aelteren Stand ;).

So wie sich das liest hat der Ersteller sich die o.g. DNS Adresse reservieren lassen und den Virus irgendwelche (Keystrokes?) Infos dahinschicken lassen. ;).

Bislange habe ich meine FW nur von aussen dicht gemacht - sieht so aus als sollte ich das auch von innen tun ;). Allerdings ist dieses nicht einfach wenn diese einen normalen HTTP Port benutzen ...
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Dieser Beitrag wurde am 01.02.2003 um 20:38 Uhr von framp editiert.
Seitenanfang Seitenende
01.02.2003, 20:59
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#4 nun denn - ich denke mal löschen sollte helfen.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
07.02.2003, 20:25
Member

Themenstarter
Avatar framp

Beiträge: 326
#5 FYI

War backdoor.sdbot (IRC Trojaner) ...
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: