Nicht existente Weburls werden auf nic.de.hn umgeleitet

[mcdaniels 33]

Hey!

Hab da mal ne wahrscheinlich doofe Frage. Jedoch ist mir grad aufgefallen, dass wenn ich irgendeine url (ausser mit Ländercode .at) in den Webbrowser tippe (kann auch zb blubbbbbbb.net sein oder .de sein) kommt automatisch diese Seite http://www.nic.info4all.de/index2.php

 

Ist anscheinend ein Domain Reg. Service -- kommt mir aber etwas spanisch vor das Ganze...

 

Per NSLOOKUP von allen Clients erhalte ich (wenn es den Rechner im LAN nicht gibt bzw. die URL nicht existent ist) auch immer eine nicht authorisierte Antwort von 82.198.85.17. Das ist server82-198-85-17.static.placenetwork.net

 

Da ich im Moment ziemlich aufn Schlauch stehe.. Kann mir wer sagen was hier läuft?!

 

Es müsste ja , wenn es die Seite gar nicht gibt, eigentlich sowas kommen wie "die Seite kann nicht angezeigt werden" bzw. per Nslookup eine Fehlermeldung dass es keinen Eintrag gibt.

 

Hab ich hier evtl. ein Problem mit meinem DNS Server (2K SRV)?

 

EDIT: Hab jetzt zusätzlich n Tracert versucht... beim 12ten Hop gehts in Richtung placenetwork.net... also wahrscheinlich doch kein internes Problem?

[Dr.Melzer 191]

Hast du dir irgendetwas eingefangen was deien hosts Datei verbogen hat?

 

Die Domain info4all.de ist laut Denic auf jemanden in Zypern registriert. Ich denke dass du dir einen Browser Hijacker eingefangen hast.

[mcdaniels 33]

Hi!

Müsst ich mir dann eigentlich auch am Server eingefangen haben. Dort wird aber grundsätzlich nicht gesurft.

 

Auch am PC eines Kollegen -> selbes Verhalten...

 

Allgemein Frage: Ist es überhaupt möglich, über ne verbogene hosts sämtliche nicht existierende Domains auf besagten Host umzuleiten?

 

Vielleicht noch jemand ne Idee was das sein könnte... Macht mich schon ein wenig nervös...

 

Kann momentan nur sagen ... SOS!!!

[thorgood 10]

Welchen öffentlichen DNS Server benutzt du ?

 

Es gibt "nette" Provider die liefern dir bei einem nicht vorhandenen DNS Namen gleich einmal ihre Suchseite als Antwort zurück.

 

thorgood

[mcdaniels 33]

Hey!

Ich hab als Provider Tele2Uta > Österreich. Also die Dns Server unsres Provider...

 

u.a. ist einer 195.96.0.4

 

Kann man irgendwie checken ob der Provider DNS dran schuld ist. Evtl. nen öffentlichen DNS verwenden ???

[thorgood 10]

Probier doch. In der Eingabeaufforderung:

 

nslookup blubbbbbbb.de 208.48.81.43

sollte ais Antwort soetwas wie Non-existent domain liefern.

 

Und dann

nslookup blubbbbbbb.de 195.96.0.4

liefert was ?

[mcdaniels 33]

Hey

Also das erste nslookup liefert non existent domain.

 

das zweite über 195.96.0.4 liefert dann die IP die zu oben genannter ominöser seite führt...

 

Was ich noch dazu sagen muss ist, dass ich als antwort immer

Nicht authorisierte Antort:

blubbb.de.meinedomäne.at

adress 82.198.85.17

 

Er hängt also immer .meinedomain.at an Irgendetwas stimmt hier ned. ...

[thorgood 10]

Dann ist dein Provider so "nett" und schickt dich auf diese Suchseite.

 

Testen kannst du es mit DNS Servern von:

Arcor (DE) 145.253.2.203

Speed-Web (AT) 213.157.128.34

 

Du solltest dir dann aber auf Dauer DNS Server suchen die in deiner Region liegen.

 

thorgood

[thorgood 10]

"Nicht authorisierte Antort" ist OK.

Oder du benutzt durch Zufall den DNS Server im Internet der die angefragte Zone hosted.

 

Das wäre wie fünf Richtige im Lotto. :D

[mcdaniels 33]

Hoi!

Soweit ists mir klar...

 

Edit: Hab jetzt einiges versucht.

 

Fazit ist, dass wenn der Rechner zur Domäne gehört (Domänen-Member ist) also über den internen W2K DNS auflöst dann tritt das obenbeschriebene Verhalten anschienend auf.

 

Gehört der Rechner nicht zur Domäne und löst direkt über die Provider-DNS auf tritt das Verhalten nicht auf. Also fällt der Provider anscheinend als Schuldiger weg...

 

Hab mir jetzt per ipconfig /all die config des Rechners angeschaut (client xp) auf dem ich grade teste und gesehen dass unter DNS Suffix Search List 2 Einträge vorhanden sind.

 

erster ist: meine.domäne.at

zweiter: domäne.at

 

Irgendwo hab ich anscheinend ein Problem im System dass bislang allerdings nicht aufgetreten ist...

mal gucken.

[mcdaniels 33]

Update:

Mein Vorgänger hat die interne Domäne domäne.intern.at genannt (name ist geändert ;)

 

Nun ist anscheinend die Domäne intern.at offiziell registriert.

 

Irgendwie dürfte sich dadurch das Problem ergeben, dass der Provider-DNS-Server alles was unser interner DNS nicht kennt als Subdomain von intern.at handelt.

 

Ich muß ihm also klar machen, dass er diese Domäne nicht nach extern auflösen soll, oder mir irgendwas andres einfallen lassen.

 

Hoffe auf ein paar Ideen von euch :)

[IThome 10]

Wofür Dein interner DNS nicht authoritativ ist, schickt er z.B. an die Root oder einen konfigurierten Forwarder. Alles, wofür er zuständig ist, löst er aus der Zonendatei und nicht aus dem Cache auf ... Wen meinst Du eigentlich mit "er" ?

[mcdaniels 33]

Hey ITHOME!

ER -> hab ich jetzt mal ausgebessert.

 

Kannst du dir vorstellen was da bei mir schräg läuft? bzw. wieso mir mein interner DNS-Server bei allem, das nicht in meiner internen Domäne registriert ist ein Suffix dranhängt.

 

also immerwieder .intern.at

 

Mach ich ein lookup auf Google kommt retour

non-autohritative-answer:

http://www.google.at.intern.at

adress: 82.198.85.17

 

Steh im Wald :(

[mcdaniels 33]

Hallo nochmal!

Bin leider noch immer nicht schlauer. Problem besteht noch immer.

 

Ich muß meinem Server irgendwie dazu bringen, dass er nicht bei allen nicht selbst verwalteten DNS Einträgen .intern.at anhängt, was dann ja schlußendlich zur Auflösung der IP Adresse > siehe ein Post weiter oben führt.

 

Da ich erst am Montag wieder zum Server komme, hilft wohl nur abwarten.

[IThome 10]

Von welchem Client aus führst Du NSLOOKUP aus ? Tritt das Verhalten bei jedem Client auf ? Poste bitte mal IPCONFIG /ALL eines solchen Clients . Sind diese Clients alle DHCP-Clients ? Hast Du an einem Client! mal einen Sniffer installiert um zu sehen, ob er diese Query erzeugt ?