DNS storing VDX |
Voogeltje Administrator
WMRindex: 1.751 OTindex: 3.684 T S |
Quote VDX:
We onderzoeken de oorzaak achter de problemen die afgelopen nacht zijn ontstaan, nadat de nameservers zijn aangepast. Om 03.30 uur vannacht is de zone van de nameservers binnen het DRS systeem van SIDN (door derden) voorzien van externe nameservers. Hierdoor kwamen alle DNS verzoeken niet bij ons uit, maar bij de nameservers van deze derden. Deze wijziging is vanaf 06.00 uur door ons opgemerkt, waarna onderzoek is gestart en wij de zone ook weer hebben hersteld. Deze wijziging is door de SIDN opgepakt vanaf 08.00 uur, het moment waarop SIDN haar zones ververst.
Hoewel de aanpassingen snel na constatering zijn hersteld, is het gevolg minder snel op te lossen. De onbekende nameservers hebben op alle DNS verzoeken een standaard zone gegeven met als doel alle website bezoeken door te zetten naar een website met daarop Malware. Elke zone is hierbij voorzien van een DNS Time To Live van 24 uur. Dit heeft als effect dat veel Internet Service Providers deze foutieve DNS zone tot 24 uur vasthouden en blijven serveren. Ondanks dat de zone bij SIDN snel hersteld is en ook spoedig daarna door SIDN is ververst komen er nog steeds websites uit op het verkeerde IP. Met de Service Provider achter het IP is contact gelegd en zij hebben direct de benodigde actie ondernomen om het IP, welk was voorzien van malware, offline te halen. Op dit moment worden de juiste DNS zones door de meeste publieke resolving nameservers goed opgepakt.
Hoewel er geen wijzigingen hebben plaatsgevonden op onze nameservers zijn deze toch onderhevig aan een intensief onderzoek. Dit intensieve onderzoek loopt nog. Samen met SIDN wordt dit incident verder onderzocht waarbij nauw contact onderhouden wordt.
Wij betreuren het ten zeerste dat deze problemen zich hebben voorgedaan en dat hierdoor klanten zijn gedupeerd. Wij bieden de getroffen klanten onze oprechte excuses aan. Wij zullen naar aanleiding van de uitkomsten van het onderzoek de benodigde maatregelen nemen om eventuele herhaling te voorkomen. Quote Update vandaag om 19:09: We raden u aan om uw PC met uw virusscanner te scannen om er zeker van te zijn dat alles met uw computer in orde is. Heeft u geen virusscanner, dan kunt u gebruik maken van deze gratis virusscanner Avira link of Kaspersky link. |
|
|
nietmeer
|
Lijkt wel een verhaal van post.nl, die bezorgen onze post regelmatig ook op een verkeerd adres |
|
|
heraux Oudgediende
WMRindex: 9.537 OTindex: 27.258 T S |
DNS Poisinging - ARP-Watch ! arpwatch is a computer software tool for monitoring Address Resolution Protocol traffic on a computer network. It generates a log of observed pairing of IP addresses with MAC addresses along with a timestamp when the pairing appeared on the network. It also has the option of sending an email to an administrator when a pairing changes or is added. Network administrators monitor ARP activity to detect ARP spoofing. arpwatch was developed by Lawrence Berkeley National Laboratory, Network Research Group, as open-source software and is released under the BSD license. move the spoof |
|
|
nietmeer
|
@Voogeltje: Het is misschien aardig om bovenstaande in lekentermen te vertalen, aangezien het voor mij een beetje abracadabra is. |
|
|
VliegendeGeit Erelid
WMRindex: 1.112 OTindex: 65
|
Het is dus malware die door middel van Java uitgevoerd wordt. Heb je geen Java op je computer of gebruik je Google Chrome, dan zit je goed. Gebruik je Internet Explorer of Firefox en heb je Java geinstalleerd, doe een virusscan op je computer (met een virusscanner die deze malware kan vinden, op dit moment zijn dat er 8: linkAndere virusscanners zullen waarschijnlijk binnenkort een update krijgen en de malware ook kunnen vinden. @Voogeltje: Misschien handig om deze link ook even op de homepage te zetten zodat iedereen 'm kan zien (zonder op het forum te kijken). |
|
|
heraux Oudgediende
WMRindex: 9.537 OTindex: 27.258 T S |
Er is omleiding aangelegd door verzoeken van gebruikers te sturen naar een andere server waarbij deze malware injecteert - daarna is het verzoek wel of niet terecht gekomen bij de goede servers.
Er is dus aan een wegwijzer (DNS server) gedraaid - een DNS server houd een lijst bij van wegwijzers naar dienst-aanbieders (servers) - als deze niet meer klopt worden de verzoeken van gebruikers naar andere dienst-aanbieders gestuurd (middle-man-attack) dit kunnen servers zijn waarop malware staat.
Door een switch te bestoken met foute MAC addressen via een geprepareerd pakketje - zullen sommige switches er op reageren door hun lijst met addressen te wissen - hierdoor wordt er een nieuwe ARP-lijst aangemaakt - hiermee kunnen ongenode gasten meer inzicht krijgen in het netwerk.
De betere switch zal alle MAC addressen die vanuit de WAN zone komen niet zien als veilige MAC data en elk verzoek tot verandering uitsluiten.
Met een ARP-watch kunnen veranderingen gedocumenteerd en doorgestuurd worden die oneigelijke veranderingen inhouden.
Zodoende kan men vroegtijdig worden gewaarschuwd.
|
|
|
nietmeer
|
@heraux: Bedankt voor de toelichting! Op dit moment is AVG mijn computer aan het scannen op malware en andere rotzooi |
|
|
omabep Oudgediende
WMRindex: 10.886 OTindex: 3.187
|
Ik vond het al vreemd dat ik 1,5 dag niet hierop kon komen, ik kreeg de melding "website is under construction". Maar ik maak regelmatig alles schoon omdat ik nogal eens iets download en er weer afgooi. Dus ook de registers worden netjes opgeruimd wat door de andere schoonmaakprogramma's vaak wordt vergeten. Ccleaner is voor dit doel al heel handig, zeker voor diegene die niet weten hoe ze dit moeten doen. Hiermee wordt al heel veel opgeruimd en het is gratis. Dus eerst zoals hier geschreven is schoonmaken met antivirusscanners en dan nog een keertje met ccleaner erover de (meeste) restjes verwijderen. Mag ook andersom hoor, scheelt scanwerk klik hier op de groene knop Klik alles uit bij het downloaden en laat staan wat je wilt hebben. Ik bedoel dus dat je goed moet lezen of je de ASK toolbar wil of dat je icoontjes bij je prullenbak enz. Ik klik alles uit op de update na en een icoon op mijn bureaublad. Dan heb je ook nergens rotzooi van. |
|
|
Sjaak Moderator
WMRindex: 21.457 OTindex: 55.569
|
WMR was niet de enige getroffen website. Artikeltje |
|
|
Sjaak Moderator
WMRindex: 21.457 OTindex: 55.569
|
@omabep: Goeie tip over CCleaner. Om dat programma nog gemakkelijker te kunnen downloaden, klikke men op deze link. |
|
|
DoccieDraaiorgel Erelid
WMRindex: 151 OTindex: 5.767 S |
In FX krijg je automatisch zo'n pijl rechtsboven die laat zien dat er iets gedownload is. Is dit hier ook het geval? Ik kreeg namelijk continu een time-out (Wat dat ook moge wezen ...) |
|
|
Sjaak Moderator
WMRindex: 21.457 OTindex: 55.569
|
@DoccieDraaiorgel: De pagina's werden gewoon niet geladen. De browser geeft verder niet aan of er iets in de browsercache is bijgekomen, dus die kun je het beste even legen en daarna voor alle zekerheid je hele computer scannen met Malwarebytes en een bijgewerkt antivirusprogramma. |
|
|
Giovanni Oudgediende
WMRindex: 3.218 OTindex: 72.766
|
Daarom weg met Java |
|
|
DoccieDraaiorgel Erelid
WMRindex: 151 OTindex: 5.767 S |
|
|
|
heraux Oudgediende
WMRindex: 9.537 OTindex: 27.258 T S |
Wie gebruikt Hitman Pro? maar dat is weer een ander topic.. |
|
|
Giovanni Oudgediende
WMRindex: 3.218 OTindex: 72.766
|
Quote @heraux: Wie gebruikt Hitman Pro? maar dat is weer een ander topic.. Niet, maar wel Hitmanpro alert |
|
|