2
Bedrohliche Weiterleitung - Herkunft unbekannt
Hallo werte Adminas und Admins,
mir flog soeben ein AV-Bericht ein, dass einer meiner User auf eine schädliche Webseite (Link führt zu Virustotalbericht) besucht hat, der AV den Zugriff aber unterbunden hat.
Nun kann sich die Dame nur daran erinnern, dass Sie im Intranet auf einen noch nicht ausgebauten Link geklickt hat (ich habe dummerweise ht*p:/ /www.de als Platzhalter hinterlegt).
Als ich nun selbst auf ht*p:/ /www.de gebrowsed bin, wurde ich auch auf jene schädliche Seite weitergeleitet.
Nun interessiert mich schwer, wie das Verhalten zu Stande kommt.
Clients zeigen aufs AD, 's AD leitet weiter an AdGuardDNS und der wiederum löst über:
auf.
Das Setup sieht auch in Ordnung aus. Keine unbekannten Einträge, kein "falscher" DNS hinterlegt, bekannte Weiterleitungen (intern), ..
Nun meine Fragen:
Ich freue mich über euer Feedback.
Danke und viele Grüße,
Edit: gleiches Spiel mit ht*ps:/ /www.de
Dann wird die Domain www.de weiterleiten an etwas schadhaftes. In dem Fall bin ich etwas beruhigter und habe dazu gelernt (mieser Link meinerseits).
mir flog soeben ein AV-Bericht ein, dass einer meiner User auf eine schädliche Webseite (Link führt zu Virustotalbericht) besucht hat, der AV den Zugriff aber unterbunden hat.
Nun kann sich die Dame nur daran erinnern, dass Sie im Intranet auf einen noch nicht ausgebauten Link geklickt hat (ich habe dummerweise ht*p:/ /www.de als Platzhalter hinterlegt).
Als ich nun selbst auf ht*p:/ /www.de gebrowsed bin, wurde ich auch auf jene schädliche Seite weitergeleitet.
Nun interessiert mich schwer, wie das Verhalten zu Stande kommt.
Clients zeigen aufs AD, 's AD leitet weiter an AdGuardDNS und der wiederum löst über:
# CloudFlare
https://dns.cloudflare.com/dns-query
tls://1.1.1.1
# Quad9 Servers
https://dns.quad9.net/dns-query
tls://dns.quad9.net
https://dns11.quad9.net/dns-query
tls://dns11.quad9.netDas Setup sieht auch in Ordnung aus. Keine unbekannten Einträge, kein "falscher" DNS hinterlegt, bekannte Weiterleitungen (intern), ..
Nun meine Fragen:
- ist das Verhalten bei euch ebenfalls ein Thema? (ht*p:/ /www.de -> ht*p:/ /qionku.com/)
- Wie debugge ich die Geschichte nun vernünftig? Den Link habe ich bereits rausgenommen aber wie kann ich sicher sein, dass es kein internes Problem ist? (AdGuard befallen?)
- Würde Euch das kalt lassen? AV blockt ja (mich lässt es bislang nicht so kalt) Edit: deutlich erleichtert :D
- Habe ich einen Denkfehler?!
Ich freue mich über euer Feedback.
Danke und viele Grüße,
Edit: gleiches Spiel mit ht*ps:/ /www.de
Dann wird die Domain www.de weiterleiten an etwas schadhaftes. In dem Fall bin ich etwas beruhigter und habe dazu gelernt (mieser Link meinerseits).
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 42487306744
Url: https://administrator.de/contentid/42487306744
Printed on: April 27, 2024 at 09:04 o'clock
2 Comments
Latest comment
Nuja, nachdem die www.de auf Denic registriert ist, würde ich sagen, da hat eben jemand eine Weiterleitung eingerichtet.
.com/r2.php?e=$document wird von uBlock auch geblockt.
.com/r2.php?e=$document wird von uBlock auch geblockt.
1
So denke ich aktuell auch. Anders kann ichs mir nicht erklären.
Gut, zugegeben: www.de ist jetzt nicht der idealste Link *versteck
uBlock nutzen wir nicht, da AdGuard. Aber ich sehe schon, ich brauche da eine neue Regel (spannend, denn eigentlich prüfe ich gegen 8 Blacklisten).
Gruß
Gut, zugegeben: www.de ist jetzt nicht der idealste Link *versteck
uBlock nutzen wir nicht, da AdGuard. Aber ich sehe schon, ich brauche da eine neue Regel (spannend, denn eigentlich prüfe ich gegen 8 Blacklisten).
Gruß