Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 19 replies
  • Answers 1 answer
  • Subscribers 30 subscribers
  • Views 34294 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Dauernde Advanced Threat Protection Meldungen - gehackter Werbeanbieter in D?

StephanG

Hallo zusammen,

seit 2 Tagen bekomme ich im Stundentakt die Emailmeldungen wegen geblockter DNS Abfragen und Aufrufen von Seiten.

Diese Meldungen stimmen mit Zeiten überein als der User sich auf sueddeutsche.de oder linguee befunden hat. Mit der Süddeutschen konnte ich die Meldung sogar nachstellen (als ich den Adblocker deaktiviert habe)

Daher die Frage. Bekommt ihr das auch dauernd? Welcher Anbieter ist denn das?

Grüße

Stephan



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Stephan,

    ich kann Dir leider nicht helfen, aber ich bekomme auch Emailmeldungen wegen geblockter DNS Abfragen.

    Nicht im Stundentakt sondern nur ab und an mit der IP 45.33.9.234 und lookingprovide.com.

    Gruß

    Oliver

     

  • 0 in reply to Oliver Behnsen

    Hallo Oliver,

     

    bist du schon weitergekommen?

    Das sind wohl Downloadlokationen für Locky. Aber wie wo was und welches Programm dies verursacht ist nicht zu greifen.

    Bei einer Kollegin, bei der dies nun aufgetreten ist, hatte sich quasi seit 6h am Rechner nix getan. Trotzdem wurde 5 mal versucht diese IP anzusteuern.

    Analyse mit Hitman Pro (Symantec ist drauf) hat nichts ergeben.

    Sie hatte nur die Marriott Seite auf und da ist keine Werbung drauf.

    Grüße

    Stephan

  • 0 in reply to Oliver Behnsen

    Danke für den Link. Dann forsche ich mal mit Leidensgenossen weiter.

     

    Die Süddeutsche war eine Ausnahme. Hier wird ein Startup mit einer Ringuhr vorgestellt. Die Seite des Startups wurde aber gehackt, das Bild direkt eingebunden. Daher der Block.

     

    Grüße

    Stephan

  • 0 in reply to StephanG

    Hi Stephan,

     

    hast Du schon etwas rausfinden können?

     

    Gruß

    Oliver

  • 0 in reply to Oliver Behnsen

    Hi Oliver,

    ja  das Problem ist auf einen falsch konfigurierten VPN Client eines Kunden zurückzuführen. Dieser löst bei jedem Start einer Internetverbindung einen Namen aus der zu dieser IP gehört.

    Also generell keine Gefahr. Meldung an Kunden ging raus.

     

    Grüße

    Stephan

  • 0 in reply to StephanG

    Hi Stephan,

     

    danke für die schnelle Rückmeldung.

    Leider ist das bei mir nicht so.

    Die Meldungen hier bei mir werden ausschließlich durch DNS Anfragen von unseren DNS Servern ausgelöst.

    Die Seiten die von den Clients in diesem Zeitraum angefragt werden gehören aber nicht zu dieser IP.

    Die Seiten die von den DNS Servern angefragt werden, gehören laut DNS Log, auch nicht zu der IP.

    Kann es sein, dass die Anfragen im Log nicht erscheinen, da diese IP ja von der UTM geblockt werden?

     

    Langsam bin ich ratlos..

     

    Gruß

    Oliver

  • 0 in reply to Oliver Behnsen

    Hallo Oliver,

     

    das Logging hast du wie im englischen Thread aktiviert?

    Ich habe es auch nur durch den "Zeitstempel" rausbekommen. Einfach schauen was +-2s vom DNS Server versucht wurde aufzulösen.

    Dann einfach ein DNS Eintrag nach dem anderen "anpingen" (am besten mit 5s Abstand).

     

    Wenn du dann eine Meldung von deinem Rechner bekommst. Hast du deine Seite :) (also so wars bei mir)

     

    Grüße

    Stephan

  • 0 in reply to StephanG

    Hi Stephan,

    Du meinst das Looging mit Sysmon?

    Nein ich habe die Debugprotkollierung am DNS Server eingeschaltet.

    Hatte gehofft das dies ausreicht, da ich mich mit Sysmon nicht auskenne.

     

    Gruß

    Oliver

  • 0 in reply to Oliver Behnsen

    Hallo Oliver,

    nein Debug DNS reicht.

    Dann einfach nach DNS Namen im dem Zeitraum schauen. Erst dann kannst du wsl weiter mit Sysmon machen ;) Falls es nicht so offentlich sein sollte wie bei mir.

     

    Grüße

    Stephan

  • 0 in reply to Oliver Behnsen

    Ich habe gerade ein DNS Eintrag gefunden der diese IP benutzt wineplan.net.

    Ein Client hat versucht sich damit zu verbinden.

    Weiß nur nicht warum der Client dies tut...

  • 0 in reply to Oliver Behnsen

    Na dann gehts weiter mit SysMon. Ist eigentlich easy wenn man erstmal weiß wonach man sucht :)

     

    Die Anleitung im englischen Thread ist sehr hilfreich.

  • 0 in reply to StephanG

    Hi Stephan,

     

    ich glaube ich habe mein Problem gefunden.

    Es handelt sich bei wineplan.net um Werbung die durch die Seite www.linguee.de abgerufen wird.

    Rekonstruieren konnte ich das durch Suchen nach "wineplan.net" und öffnet einer der angezeigten Seiten linquee.de Seite aus dem Cache.

    Jetzt wird diese IP gesperrt und gut ist.

     

    Hoffe das mein Problem damit gelöst ist. :-)

    Danke für Deine Hilfe

     

    Gruß

    Oliver

Reply
  • 0 in reply to StephanG

    Hi Stephan,

     

    ich glaube ich habe mein Problem gefunden.

    Es handelt sich bei wineplan.net um Werbung die durch die Seite www.linguee.de abgerufen wird.

    Rekonstruieren konnte ich das durch Suchen nach "wineplan.net" und öffnet einer der angezeigten Seiten linquee.de Seite aus dem Cache.

    Jetzt wird diese IP gesperrt und gut ist.

     

    Hoffe das mein Problem damit gelöst ist. :-)

    Danke für Deine Hilfe

     

    Gruß

    Oliver

Children