[fli4l] re-bind was ist das?

[Helmut Sieckmann]

Am 16.01.2012 19:34, schrieb Robert Resch:
> Am 16.01.2012 18:49, schrieb Helmut Sieckmann:
>> Ich sehe gerade in meinem log folgendes:
>>
>> dnsmasq[3104]: possible DNS-rebind attack detected: www.0dx.de
>>
>> Die denic Abfrage ergab, das die Adresse jemandem aus Rudolstadt gehört.
>> Eine Webseite scheint nicht hinterlegt zu sein...
> 
> Jemand hat sowas wie 192.168.178.1 für eine subdomain hinterlegt. Somit
> umgeht der Anbieter die sonst von Browsern verhängte Sperre von
> Cross-Site-Scripting, die Site ist ja noch die selbe, aber eine
> subdomain (die aber auf die interne Fritz!Box zeigt).
> 
> Damit kann man einen Browser locker fernsteuern, eine Fritte von außen
> zu knacken.
> 
> Noch gemeiner ist, daß die Angreifer teils den DNS-Eintrag mit einer
> kleinen TTL versehen und im Betrieb ändern. Damit ist es noch
 nichteinmail ein Subdomain-Wechsel.
 Der Browser meint, noch immer auf
> die externe Seite zu gehen, aber durch den DNS-IP-Wechsel gehts jetzt
> doch auf deinen Router los.
> 

wie kann man das checken?

> Also: Erstaufruf von www.feind.domain geht auf 1.2.3.4 - der web-server
> leitet diesen zugriff ganz ohne scripte auf 4357fgdhfj78.feind.domain um.
> Hier ist erstmal auch 1.2.3.4 im DNS hinterlegt, aber mit einer TTL von
> z.B. 5 Sekunden. Beim Zugriff auf diese Domain registriert das der
> Web-Server, und gibt dem DNS sogleich das Signal, auf eine bekannte
> interne IP - z.B. 192.168.178.1 - umzustellen und gibt somit dem script
> auf der Webseite nach einer Wartezeit von 5 Sekunden die möglichkeit,
> ungeniert an deiner Fritz!Box rumzufummeln.
> Wenn du dann da keines oder ein bekanntes/hackbares Passwort hinterlegt
> hast, ist der Spaß groß, denn er kann dir einen anderen DNS unterjubeln
> um dich zum Fishing-Opfer zu machen oder deinen Router so knacken, daß
> er darüber prima seinen Spam loswird. Macht alles höllisch Spaß.
> 
> Auf welche interne IP umzustellen ist, kann ein vorher gelaufenes script
> bereits dem Webserver mitgeteilt haben, damit der Angriff gezielter
> geht. Javascript sieht ja so einiges...
> 
> Gruß, Robert

Erst mal vielenDank fü diese ausführliche Auskunft, die ich aber erstmal
für mich "übersetzen" muß. Ich hoffe, dass das mit der *.*.178.1 nur ein
Beispiel war, denn gerade gestern habe ich einen fli4l bei einem Kunden
mit dieser Adresse upgedatet; vorher war da auch ne Fritzbox dran. Um
nicht das ganze Netzwerk umzustellen habe ich diese Adresse gelassen.
Meine eigene Adresse ist aber eine *.*53.25 und eine *.*.100.254 für
WLAN....

Muss ich mir jetzt ernsthafte Gedanken machen, ob da einer bei mir auf
dem Rechner war, oder besagt diese Meldung, dass es geblockt wurde?
Kurz nachdem ich diese Meldung (3mal)sah und ich das Posting geschrieben
hatte, habe ich den Router getrennt und wieder neu anwählen lassen; ca
18:50. Um ca 20:00 und 21:00 kam diese Meldung wieder (2mal).

Was kann ich machen um dahinter zu kommen ob ich kompromitiert bin?
Hier läuft Suse 12.1 und darauf XP und Win 7 in Vbox plus zwei
weitere XP PC's. ssh Zugriff auf den Router gibt es, aber nur mit
Schlüssel ohne Passwort und anderem Port.

Gruss Helmut