[fli4l] re-bind was ist das?

[Robert Resch]

Am 16.01.2012 18:49, schrieb Helmut Sieckmann:
> Ich sehe gerade in meinem log folgendes:
> 
> dnsmasq[3104]: possible DNS-rebind attack detected: www.0dx.de
> 
> Die denic Abfrage ergab, das die Adresse jemandem aus Rudolstadt gehört.
> Eine Webseite scheint nicht hinterlegt zu sein...

Jemand hat sowas wie 192.168.178.1 für eine subdomain hinterlegt. Somit
umgeht der Anbieter die sonst von Browsern verhängte Sperre von
Cross-Site-Scripting, die Site ist ja noch die selbe, aber eine
subdomain (die aber auf die interne Fritz!Box zeigt).

Damit kann man einen Browser locker fernsteuern, eine Fritte von außen
zu knacken.

Noch gemeiner ist, daß die Angreifer teils den DNS-Eintrag mit einer
kleinen TTL versehen und im Betrieb ändern. Damit ist es noch
nichteinmail ein Subdomain-Wechsel. Der Browser meint, noch immer auf
die externe Seite zu gehen, aber durch den DNS-IP-Wechsel gehts jetzt
doch auf deinen Router los.

Also: Erstaufruf von www.feind.domain geht auf 1.2.3.4 - der web-server
leitet diesen zugriff ganz ohne scripte auf 4357fgdhfj78.feind.domain um.
Hier ist erstmal auch 1.2.3.4 im DNS hinterlegt, aber mit einer TTL von
z.B. 5 Sekunden. Beim Zugriff auf diese Domain registriert das der
Web-Server, und gibt dem DNS sogleich das Signal, auf eine bekannte
interne IP - z.B. 192.168.178.1 - umzustellen und gibt somit dem script
auf der Webseite nach einer Wartezeit von 5 Sekunden die möglichkeit,
ungeniert an deiner Fritz!Box rumzufummeln.
Wenn du dann da keines oder ein bekanntes/hackbares Passwort hinterlegt
hast, ist der Spaß groß, denn er kann dir einen anderen DNS unterjubeln
um dich zum Fishing-Opfer zu machen oder deinen Router so knacken, daß
er darüber prima seinen Spam loswird. Macht alles höllisch Spaß.

Auf welche interne IP umzustellen ist, kann ein vorher gelaufenes script
bereits dem Webserver mitgeteilt haben, damit der Angriff gezielter
geht. Javascript sieht ja so einiges...

Gruß, Robert