ComputerBase Menü
Aktuelles

DNS Cache Poisoning Angriff auf paypal!

K

kronen

Lieutenant
Registriert
Aug. 2012
Beiträge
901
Ich glaub jetzt gehts los!
Ich bin eben auf paypal um mein Konto zu checken und plötzlich ein rotes Warnfenster von Eset mit der Meldung DNS Cache Poisoning Angriff! WTF!!!?!?! :eek::eek::eek::eek:
Was soll das denn? Und was bedeutet das jetzt?

24.10.2012 09:59:13
DNS Cache-Poisoning-Angriff erkannt 192.168.0.1:53
192.168.0.2:55246 UDP

Die 192.168.0.1 ist die Adresse von meinem Router. Ich weiß nicht was das bedeuten soll.

Hat das was mit Pishing zu tun? Hat jetzt irgendjemand meine Daten?
Ergänzung ()

Ich lass jetzt grad Eset nen Scan machen, bisher keine Funde. Aber das beweist ja trotzdem nicht, dass da nicht irgendwelche Daten/Passwörter gestohlen wurden.
 
DNS Cache Spoofing hat eigentlich rel. wenig mit deinem PC zu tun.
Würde mal auf Fehlalarm tippen, aber sicherheitshalber mal mit dem Einloggen auf Paypal warten. Wenn die Einträge von Paypal auf den gängigen DNS-Servern gefälscht werden, dann sollte das bald irgendwo in den News stehen.

Hier ist die Form des Angriffs einigermaßen kurz erklärt:
http://de.wikipedia.org/wiki/Cache_Poisoning
 
Hui, da bin ich beruhigt.
Aber diese Meldung ist 1 Jahr alt. Da steht was davon dass man updaten sollte. Wieso passiert dann sowas jetzt noch? Ich hab doch die neuste Version von Eset. :/

@ cr4y

Ich hatte mich aber schon eingeloggt!
Ist das jetzt ne Gefahr? Auf meinem Account hab ich nur paar Euro. Aber selbst wenn da jemand rangehen sollte müsste Paypal das doch auch ganz einfach wieder zurückholen können oder? Immerhin haben die ja die Kontrolle über alle Paypal Konten.
 
Lies mal hier: http://de.wikipedia.org/wiki/Cache_Poisoning. Es ist in der Tat eine Angriffsmethode mit dem Ziel Phishing zu betreiben - indem Du auf einen gefälschten DNS Eintrag (richtiger Domainname - aber falsche IP Adresse) umgeleitet werden sollst.

Gegenmassnahme: In einer Konsole mit Adminrechten (Cmd rechte Maustaste und "Als Administrator ausführen") Ipconfig /flushdns ausführen um den lokalen DNS Cache zu entleeren und C:\Windows\System32\drivers\etc\hosts auf Umleitungen kontrollieren. Ausserdem am besten eine E-Mail an Paypal schicken, in der Du denen die Situation schilderst.

Mehr wirst Du wohl von Deiner Seite aus nicht tun können.
 
Zuletzt bearbeitet:
Hallo, dns flush hab ich schon gemacht mit so nem Tool von eset. Ist das okay so?

Das regt mich echt auf. :mad:
 
kronen schrieb:
@ cr4y
Ich hatte mich aber schon eingeloggt!
Ist das jetzt ne Gefahr? Auf meinem Account hab ich nur paar Euro. Aber selbst wenn da jemand rangehen sollte müsste Paypal das doch auch ganz einfach wieder zurückholen können oder? Immerhin haben die ja die Kontrolle über alle Paypal Konten.
Zum Vergrößern anklicken....
Es wäre eine Gefahr, wenn die DNS-Einträge tatsächlich manipuliert worden wären, und deine "www.paypal.com"-Anfrage nicht an die tatsächlichen Paypal-Server weitergeleitet worden wären, sondern an fremde/feindliche Server.

Wie gesagt, es ist eher unwahrscheinlich, dass das so passiert ist. Du könntest durch ne Google-Recherche versuchen eine IP-Adresse der Paypal-Server herauszufinden, die direkt in die Adresszeile des Browsers kopieren (damit umgehst du nach meinem Verständnis nach die evtl. fehlerhafte/manipulierte DNS-Abfrage) und dann dein Passwort ändern.
 
@ cr4y

Ich weiß nicht ob ich das hinbekomme. Das klingt etwas kompliziert.
 
kronen schrieb:
@ cr4y

Ich weiß nicht ob ich das hinbekomme. Das klingt etwas kompliziert.
Zum Vergrößern anklicken....

Probier mal die IP-Adresse in die Adresszeile zu kopieren:
66.211.169.3

Sollte laut dieser Seite eine IP eines Paypal-Servers sein.
http://www.ip-adress.com/whois/paypal.com

Kann das nicht überprüfen, da ich grad auf der Arbeit sitze und Paypal wohl gesperrt ist :freaky:
 
Mein aktueller Ping auf www.paypal.com gibt folgende IP aus: 23.45.98.234

Gib diese in die Adresszeile deines Browsers ein, dann kommst du auf die Paypal Seite und kannst das Passwort ändern.
 
Visceroid schrieb:
Mein aktueller Ping auf www.paypal.com gibt folgende IP aus: 23.45.98.234

Gib diese in die Adresszeile deines Browsers ein, dann kommst du auf die Paypal Seite und kannst das Passwort ändern.
Zum Vergrößern anklicken....

Aber mal angenommen der DNS-Server-Eintrag wurde manipuliert, und du nutzt den selben wie er: Damit würde er doch wieder auf dem feindlichen/falschen Server landen!?
 
Keine Ahnung woher kronen ist, aber die Chance dass wir den selben DNS benutzen ist gering, es sei den einer der Hauptdns wurde manipuliert ;)

Aber Grundsätzlich: ja würde so sein.
 
Hallo ich hab bei pp angerufen aber da meinten man was diese Meldung jetzt genau heißt wisse man dort auch nicht aber das Konto sähe unverdächtig aus. Weiß jetzt nicht was ich davon halten soll.
Angenommen die hätten da was umgeleitet hätte ich mich dann überhaupt bei pp einloggen können oder wäre das dann eine unechte pp seite gewesen? Weil meine Daten und Kontostand usw stimmen ja und ich hab ja auch von der pp Seite meinen Pincode angezeigt bekommen den man braucht wenn man bei pp anruft.
 
Bei einer Umleitung ist es der Sinn dich auf eine Fremdseite zu leiten um eben deinen Usernamen und Passwort der echten Seite zu bekommen.
Es kann sein dass die Fremdseite dich dann an die echte Seite weiterleitet um keinen Verdacht zu schöpfen.

z.B. www.paypal.com --> wird durch DNS Poisoning auf www.russenhacker.com umgeleitet. Dort gibts du Usernamen/Passwort ein --> www.russenhacker.com leitet dich auf --> www.paypal.com um keine Verdacht zu erwecken.

@Cr4y laut whois ist meine IP bei Akamai auf den Servern. Von Paypal/Ebay wird nichts angezeigt.
Akamai ist aber auch einer der größten Hoster und wird von vielen Firmen benutzt, schwer zu sagen ;)
 
Zuletzt bearbeitet:
Aber müsste ich dann das korrekte Passwort nicht 2 mal eingeben einmal für die Hackerseite und dann ein 2. Mal bei Paypal? Was mach ich denn jetzt? Aber eigentlich sollte da doch nicht viel passieren können selbst wenn einer Geld stiehlt kann PP das doch zurückholen.
 
Die gefälschte Seite könnte das Passwort durchaus an die PayPalabfrage weiterreichen, so dass Du es nur einmal eingeben musst.
 
Toll. Dann hab ich ja gar keine Chance rauszufinden was da los war. Würden die Typen von paypal davon was mitbekommen wenn da was wäre?
 
kronen schrieb:
Toll. Dann hab ich ja gar keine Chance rauszufinden was da los war. Würden die Typen von paypal davon was mitbekommen wenn da was wäre?
Zum Vergrößern anklicken....
Ja, weil auf einmal eine Anfrage auf dein Konto über eine ganz andere IP-Adresse gekommen wäre. Selbst Facebook achtet darauf von wo LogIn-Versuche herkommen.
Du hast ja angerufen, und die hätten das bestimmt gesehen, wenn auf einmal eine russiche IP auf dein Konto zugegriffen hätte.
 
Das stimmt. Aber was ist wenn die erstmal die Daten sammeln und der Zugriff erfolgt dann später? Oder wäre ein Zugriff direkt dann bereits erfolgt wenn die so ne Pishing Aktion durchführen so dass Paypal direkt gesehen hätte wenn da ne IP aus Russland zugreift?
 
Visceroid schrieb:
@Cr4y laut whois ist meine IP bei Akamai auf den Servern. Von Paypal/Ebay wird nichts angezeigt.
Zum Vergrößern anklicken....
Würde mich jetzt schwer wundern, wenn grade ein Angriff auf die großen DNS-Server läuft und diese Anfragen dann an die Akamai-Infrastruktur umgeleitet werden würden.
Da wär doch schneller das Licht aus, als das man paypal.com eingetippt hat.
Ergänzung ()

kronen schrieb:
Das stimmt. Aber was ist wenn die erstmal die Daten sammeln und der Zugriff erfolgt dann später? Oder wäre ein Zugriff direkt dann bereits erfolgt wenn die so ne Pishing Aktion durchführen so dass Paypal direkt gesehen hätte wenn da ne IP aus Russland zugreift?
Zum Vergrößern anklicken....
Mit der Weiterleitung und der Weitergabe deiner Logindaten von der feindlichen Seite direkt auf Paypal wäre es ja schon eine komplett andere IP-Adresse übermittelt worden (also so, dass du dich kein zweites Mal einloggen musst).

Sicherlich gibt es auch dafür Möglichkeiten der Manipulation. Aber irgendwo endet dann auch der Kosten/Nutzen-Faktor für Angreifer.


Schreib nochmal ESET an, was die dazu sagen. Würde mir da jetzt keinen großen Kopf drum machen.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

P
Frage zu DNS - Cache Aktualisierung > Domain - Hosting
Antworten
5
Aufrufe
697
Paul7547
P
D
Kein Internetzugriff aufgrund von DNS-Cache
Antworten
19
Aufrufe
4.237
mchawk777
mchawk777
A
komische Seiten im DNS Cache
Antworten
9
Aufrufe
1.016
Ambisonte Nibor
A
B
DNS-Cache: wie kann es passieren, dass Einträge fehlen? Windows 10
Antworten
6
Aufrufe
1.829
can320
C
J
BIND als DNS Cache -> langsam mit DNSSEC
Antworten
2
Aufrufe
1.406
jokakilla
J
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 171 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz