Ist mein Internetzugang Heimnetz / Computer gehackt?

|RaBtEr|

Lieutenant
Registriert
März 2008
Beiträge
651
Hallo

Ich frage mich gerade ob mein Computer von einer Art DNS Changer befallen ist oder jemand meinen Internettraffic abfängt.
Wisst ihr, wie ich das am besten überprüfen kann?

Wie komme ich darauf?:
Also ich mich eben bei meiner Bank einloggen wollte, fiel mir bei der 2FA auf, dass die IP Adresse nicht stimmt.
Ich habe eine feste IP Adresse (öffentlich) bei mir zuhause und die, die bei 2FA genannt wurde war mir nicht bekannt.

Was habe ich bereits gemacht / geprüft?:
Ich habe daraufhin an meinem PC wieistmeineip aufgerufen.
Und tatsächlich... mir wird die Adresse angegeben, die mir auch in 2FA auf dem Handy angezeigt wurde.
Das kann aber eigentlich nicht sein, da ich wie gesagt eine andere feste IP habe.

Wenn ich wieistmeineip auf meinem Handy - gleiches Netzwerk/WLAN!!!! aufrufe, kommt die richtige IP!
Daraus schließe ich, dass meine FritzBox i.O. ist und ich nachwievorr meine feste IP vom Anbeiter bekomme aber ggf. mein Internettraffic am PC umgeleitet wird?

Proxy ist deaktiviert
VPN ist deaktiviert


Wenn ich in der Eingabeaufforderung
Code:
tracert (meine eigentliche IP)
eingebe bekomme ich nur meine Fritzbox angezeigt und danach wird das Ziel erreicht. Dieser Fakt und der, dass mein Handy die korrekte IP hat, zeigt mir, dass meine IP von meinem Internetanbieter noch an mich vergeben wird.

Wie kann ich meinen Internetanschluss debuggen um zu prüfen ob hier etwas faul ist.
Mir fehlt leider das Wissen, wie ich die Situation debuggen kann.

Oder gibt es eine ganz normale Erklärung für meine Beobachtung?
 
Zuletzt bearbeitet:
Du weist schon das deine interne IP NICHT die nach außen ist?
 
  • Gefällt mir
Reaktionen: Engaged, cyberpirate und Aduasen
Welchen Browser nutzt du?
Irgendwelche Erweiterungen dort installiert?
Proxy Einstellungen im Browser + IE/Edge gecheckt?
 
|RaBtEr| schrieb:
Also ich mich eben bei meiner Bank einloggen wollte, fiel mir bei der 2FA auf, dass die IP Adresse nicht stimmt.
Ich habe eine feste IP Adresse bei mir zuhause und die, die bei 2FA genannt wurde war mir nicht bekannt.
Du redest aber jetzt nicht von deiner internen festen IP, oder?
Die 192.168.x oder 10.x.x.x ist nur Netzwerk-Intern. Nach außen Hin tritt dein Netzwerk bei IPv4 unter einer einzigen öffentlichen IP-Adresse auf. (Je nach Provider nutzt du die IPv4-Adresse alleine, oder bei DS-Lite/CGNAT mit dutzenden Kunden eine gemeinsame.)
(Diese kann auch fest sein, ist es aber i.d.r. nur bei Geschäftskunden-Internetanschlüssen)

Falls du tatsächlich eine anderen öffentliche IP mit deinem PC nutzt, dann schaue mal, wem (welchem Internetanbieter) diese IP gehört. (Stichwort Google: IP whois)
 
Was passiert denn, wenn du den die DNS Namen aus der URL deiner Bank auflöst? Bekommst du denn über mobilfunk und deinen Hausanschluss die selbe IP?
Wenn sie die IPs unterscheiden, was sagt dir ne whois Abfrage? Also Geo-Location, Besitzer, etc...
 
Diese Information war nicht gegeben im Startpost.

Wie sieht es aus wenn du in der Kommandozeile CMD mal arp -a eingibst?
 
  • Gefällt mir
Reaktionen: mae1cum77
Ich weiß nicht, wie ich auf meine Handy (iPhone) die IP Adresse einer Domain herausfinden kann...

Aber auf meinem Handy gehe ich ja mit meiner ganz normalen öffentlichen IP auch ins Internet.
Nur mein PC wird über eine andere IP Adresse erkannt (von Bank oder wieIstMeineIP)

Wenn ich diese fremde öffentliche IP checke, steht, dass diese von der Telekom wäre und aus Köln ist.

Wenn ich meine eigentliche öffentlich IP checke steht, da mein eigentlicher Internetanbieter und meine Stadt, oder Städte die sehr naha bei mir liegen.
Köln liegt 200km entfernt von mir
 
Erstmal einen anderen Browser testen und schauen was dann bei wieistmeineip rauskommt. Es kann schon sein, dass eine Malware deinen Traffic umleitet und du dann von einer anderen IP aus surfst (Proxy).
arp hilft dir nicht viel, da müsste der Angreifer ja im gleichen Netz sein und du würdest ja trotzdem direkt über deine Fritzbox rausgehen.

Die Namensauflösung der Domain ist erstmal nicht so wichtig, das tritt ja nicht nur bei der Bank auf sondern auch auf wieistmeineip und gerade bei der Bank müssten die Angreifer dann ja auch ein passendes Zertifikat gefälscht haben etc.

Es liegt eher nahe, dass ein Browser Addon oder andere Malware eine Art Proxy / VPN eingerichtet hat.
 
Handelt es sich bei der anderen IP-Adresse am Rechner auch um IPv4?
Entspricht die Ausgabe von
Code:
nslookup myip.opendns.com. resolver1.opendns.com
(im CMD eingeben) einer der IP-Adressen?
 
Ansonsten auch sehr einfach: Live-Linux am PC starten und vergleichen, um zumindest den PC bzw. dessen Software aus dem Spiel zu nehmen. Dann kann man weiter gezielter vorgehen.
 
  • Gefällt mir
Reaktionen: TorenAltair, cyberpirate und Falc410
Ich komme gar nicht so schnell hinterher die Dinge zu prüfen wie vorgeschlagen werden.

arp -a wirft eigentlich nur lokale IPs aus...und Subnetzmasken oder so ähnlich...
Ich weiß nicht was ich da sehe...

Wenn ich
Code:
nslookup myip.opendns.com. resolver1.opendns.com
eingebe, dann kommen IPv6 Adressen... da muss ich kurz schauen und vergleichen

EDIT:
Die IpV6 die angezeigt wird, entspricht der von wieistmeineip.de und unterscheidet sich von der, die ich auf meinem Handy bekomme. (nicht Mobilfunk sondern gleiches Netzwerk)

EDIT2: Die Ipv6 entspricht NICHT meiner eigentlichen öffentlichen IPv6. Mein Handy zeigt die korrekte IP, mein PC nicht!

EDIT3: Edge, Chrome und Firefox zeigen alle die falschen IPs geprüft auf wieistmeineip.de
 
Zuletzt bearbeitet:
Moin

Bitte Mal myip.is auf dem Handy und am PC aufrufen , und vergleichen.

Achte auch Mal drauf was unten noch für ne extra IP da steht. !!

Mfg.
 
Autokiller677 schrieb:
Was sagen denn die Proxy-Settings auf dem PC?
Wie ganz oben erwähnt.
Die Proxy und VPN settings sind alle deaktiviert.

Bitte Mal myip.is auf dem Handy und am PC aufrufen , und vergleichen.
Das ist interessant.
Denn hier bekomme ich meine korrekte öffentliche IPv6 angezeigt.

Unten der Text:
The IP used to connect to this webserver is 162.XXX.XX.XXX[unbekannte IP] which is your proxy server's address. You connect to the proxy server using [meine öffentliche IPv6]

Wie muss ich das jetzt deuten?
 
Zuletzt bearbeitet:
@|RaBtEr|

Also auf beiden Geräten identisch ?

Die 162. , Ist eine Cloudflare IP Adresse , weil myip.is über Cloudflare läuft bzw. Die echte IP versteckt wird.

Mfg.
 
Ich habe jetzt mit Hilfe einer App die DNS auflösungen der Websites geprüft.

computerbase.de wird beides gleich aufgelöst.

meine bank wird verschieden aufgelöst.
ich bekomme zwei IPs für die domain holvi.com

Auf meinem Handy: 34.253.103.7
Auf meinem PC: 34.250.12.160

EDIT:
Also auf beiden Geräten identisch ?
Ja (soweit die IPv6 gleich sein kann) das Ende ist ja meines Wissens nach pro Gerät unterschiedlich
 
|RaBtEr| schrieb:
ich bekomme zwei IPs für die domain holvi.com
Völlig normal, einer Domain können mehrere IPs zugeordnet sein. Roundrobin über DNS.
Siehe:


Code:
$ dig holvi.com

; <<>> DiG 9.16.15-Debian <<>> holvi.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28765
;; flags: qr rd ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;holvi.com.                     IN      A

;; ANSWER SECTION:
holvi.com.              0       IN      A       34.250.12.160
holvi.com.              0       IN      A       52.209.119.224
holvi.com.              0       IN      A       34.253.103.7

;; Query time: 110 msec
;; SERVER: 172.22.160.1#53(172.22.160.1)
;; WHEN: Tue Oct 12 10:36:40 CEST 2021
;; MSG SIZE  rcvd: 84

Was macht der Live-Linux Test? :)
 
@|RaBtEr|

Die 34er sind beides Amazon Tech Ip's , und werden bei Utrace.me bzw. Auch als holvi.com so aufgelöst. !!

Ipleak.net und dnsleaktest.com bitte auch Mal auf beiden Geräten vergleichen. !


Mfg.
 
Zurück
Oben