lupo45 10 Geschrieben 28. Februar 2004 Melden Teilen Geschrieben 28. Februar 2004 Hallo zusammen! Nachdem meine Home-Workstation nun ein paar Tage durchläuft habe ich mal spasseshalber IPCONFIG/DISPLAYDNS ausgeführt. Schaut euch bitte mal an, was da für ein MIST drinsteht, habe ich unten angehangen. Ich war nie auf irgendeine dieser Seiten und habe auch keine Werbepopups bekommen. Was ich hauptsächlich abgerufen habe waren z.B. Hotmail, MSCEBoard, MRTG-Homepage, PC-Experience, Siemens-Homepage, eBay, Babylon-Translator, DrayTek-Homepage, ICQ-Homepage und all so Sachen. Kann mir bitte mal einer erklären, warum von den aufgerufenen Seiten da überhaupt nichts angegeben ist, stattdessen eine ellenlange Liste mit so einem Schrott: ------------- Windows-IP-Konfiguration http://www.porno-dream.com'>http://www.porno-dream.com ---------------------------------------- Eintragsname. . . . . : http://www.porno-dream.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 6906 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 66.159.20.80 http://www.pornhive.com'>http://www.pornhive.com ---------------------------------------- Eintragsname. . . . . : http://www.pornhive.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 6906 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 66.159.20.80 thumbzilla.com ---------------------------------------- Eintragsname. . . . . : thumbzilla.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 6906 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 66.159.20.80 masterbates.com ---------------------------------------- Eintragsname. . . . . : masterbates.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 6906 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 66.159.20.80 gayhost4free.com ---------------------------------------- Eintragsname. . . . . : gayhost4free.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 6906 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 66.159.20.80 http://www.teencoreclub.com'>http://www.teencoreclub.com ---------------------------------------- Eintragsname. . . . . : http://www.teencoreclub.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 6906 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 66.159.20.80 http://www.anyamateur.com'>http://www.anyamateur.com ---------------------------------------- Eintragsname. . . . . : http://www.anyamateur.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 6906 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 66.159.20.80 movies.vaginalcumshots.com ---------------------------------------- Eintragsname. . . . . : movies.vaginalcumshots.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 6906 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 66.159.20.80 wildcouple.net ---------------------------------------- Eintragsname. . . . . : wildcouple.net Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 6906 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 66.159.20.80 http://www.sex-toy-teen-gallery.com'>http://www.sex-toy-teen-gallery.com ---------------------------------------- Eintragsname. . . . . : http://www.sex-toy-teen-gallery.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 6906 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 66.159.20.80 .......usw......usw... -------- Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. Februar 2004 Melden Teilen Geschrieben 28. Februar 2004 Verweisen alle auf die selbe IP und haben die selbe Gültigkeitsdauer. Schau doch mal in die Datei Hosts, in %systemroot%\system32\drivers\etc ob da was anderes drin steht als der loacalhost. Was passiert bei einem ipconfig /flushdns, sind die Einträge dann weg? grizzly999 Zitieren Link zu diesem Kommentar
lupo45 10 Geschrieben 28. Februar 2004 Autor Melden Teilen Geschrieben 28. Februar 2004 Übrigens: von den Seiten, die ich tatsächlich aufgerufen habe wird KEINE EINZIGE im DNS-Cache angezeigt!! Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. Februar 2004 Melden Teilen Geschrieben 28. Februar 2004 Auch nicht das mcseboard, da warst du ja gerade drauf? Arbeitest du mit irgend einem Proxy-Server? grizzly999 Zitieren Link zu diesem Kommentar
lupo45 10 Geschrieben 28. Februar 2004 Autor Melden Teilen Geschrieben 28. Februar 2004 hi grizzly! schön mal wieder von dir zu lesen... ;) also: flushdns bringt nix, der schrott wird bei anschliessendem displaydns wieder angezeigt. beim blick in meine host-tabelle habe ich allerdings einen schock bekommen! ich häng sie einfach mal an, dann kannst du dir wohl am besten ein bild davon machen. aber wie bitte kann sowas passieren?! und wenn die sachen in der hosts drinstehen sollten sie doch nicht im dns-cache sein, oder besteht eine beziehung zwischen dns-cache und dem hosts-file?? hosts.zip Zitieren Link zu diesem Kommentar
lupo45 10 Geschrieben 28. Februar 2004 Autor Melden Teilen Geschrieben 28. Februar 2004 Original geschrieben von grizzly999 Auch nicht das mcseboard, da warst du ja gerade drauf? Arbeitest du mit irgend einem Proxy-Server? Ich benutze keinen Proxy (wenn aber einer einen guten Anonymous kennt immer her damit! ;) ). Und NEIN, auch das MCSEBoard wird nicht angezeigt! Wie gesagt, nix, wo ich gerade drauf war. Habe folgendes gemacht: 1. flushdns 2. ebay-Seite aufgerufen 3. displaydns => immer noch der komplette mega-schrott... Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. Februar 2004 Melden Teilen Geschrieben 28. Februar 2004 Alles, was in der Hosts drin ist, wird direkt und dauerhaft in den DNS-Cache geschrieben. Du bist Opfer von Malware geworden, ich nenne das mal Hosts-Hijacking. Hatten wir auch schon ein paar mal hier Board, da haben dann meist einige Seiten nicht mehr funktioniert. Vorgehen: als erstes diese Hosts löschen und neue erstellen (oder nur Inhalt löschen). Einziger Eintrag: 127.0.0.1 localhost Dann unbedingt mit Ad-Aware oder Spybot S&D nach Malware suchen. Virenscanner uptodate haben. Vielleicht auch mal einen Tend-Micro Housecall machen und scannen lassen: http://de.trendmicro-europe.com/enterprise/products/housecall_launch.php grizzly999 Zitieren Link zu diesem Kommentar
lupo45 10 Geschrieben 28. Februar 2004 Autor Melden Teilen Geschrieben 28. Februar 2004 hi grizzly! vielen dank für die info, werd das mal überprüfen! eigentlcih komisch, da ich immer sehr genau drauf achte, was hier an soft installiert und ausgeführt wird... würde es helfen, das (aufgeräumte) hosts-file auf read-only zu setzen, bzw. das ding per ntfs-rights zu vernageln? ich habe übrigens noch eine seite gefunden wo jemand empfiehlt mit einer ABSICHTLICH fehlerhaften hosts-tabelle werbeschrott zu verhindern. und zwar in dem man den namen des werbeservers angibt, aber mit der 127.0.0.1 ;) hatte mir überlegt das einzusetzen. was hälst du davon? hier die page: http://www.sweb.cz/grima.worm/hosts.html mit dem risenschrott in meinem host-file kann man das ding natürlich gut ergänzen... ;) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. Februar 2004 Melden Teilen Geschrieben 28. Februar 2004 Naja, im Prinzip waren die einträge in der Hosts nicht "schädlich", lagen halt da rum und haben eine Namensauflösung erspart. Kritisch wird es erst, wenn solche Malware einträge über eine Hosts Datei verbiegt, so daß man auf irgendeiner Seite landet, wenn man zu google möchte oder so. Mit der angesprochenen Methode Werbeschrott zu verhindern, das würde funktionieren, ist aber wie mit Spam verhindern auch: wo anfangen und wo aufhören, bei abermillionen Seiten :rolleyes: grizzly999 Zitieren Link zu diesem Kommentar
lupo45 10 Geschrieben 28. Februar 2004 Autor Melden Teilen Geschrieben 28. Februar 2004 Original geschrieben von grizzly999 Naja, im Prinzip waren die einträge in der Hosts nicht "schädlich", lagen halt da rum und haben eine Namensauflösung erspart. Kann es sein, dass die DNS-Cache-Einträge irgendwie begrenzt sind? Ich hatte ja wie gesagt bei ipconfig/displaydns eigentlich nur den Müll aus der HOSTS bekommen. Von den 'seriösen' Servern (wie bspw. MCSEBoard) war nix zu sehen. Das würde bedeuten, dass eine derart gefüllte HOSTS-Datei dazu führt, dass keine weiteren Einträge mehr gecacht werden und somit immer wieder eine Namensauflösung von Nöten ist... :mad: Original geschrieben von grizzly999 Mit der angesprochenen Methode Werbeschrott zu verhindern, das würde funktionieren, ist aber wie mit Spam verhindern auch: wo anfangen und wo aufhören, bei abermillionen Seiten :rolleyes: Naja, besser so als gar nicht. Vielleicht gibt es ja schon eine Community im Netz, wo derart zweifelhafte Werbeserver-Namen zusammengetragen werden. Ich hab langsam jedenfalls die Schnauze voll von diesem ganzen Kommerz- und Abzock-Dreck... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.