|
unbekannte Bedrohung am DC /W2K3
Liebe Forumsmitglieder,
ich habe seit gestern auf einem Kundenserver folgendes Problem: W2K3, alle Patches & SP's, alle updates von Adobe/Java, etc - Heise check sagt alles up-to-date Server ist der Domänencontroller... IP manuell vergeben: 10.23.1.1/255.255.0.0 GW 10.23.254.1 (Firewall) Als DNS habe ich bei der lokalen Netzwerkkarte am Server eingetragen: 1. DNS: 10.23.1.1 2. DNS public DNS-Server vom Internetprovider Sobald ich IE öffne, erscheint statt der Startseite (hier Google) die Seite www.rackspot.com Da auch die DNS-Settings für meine Client-PC's ident sind, habe ich das Problem auf allen Clients :-( Lösung: Vertausche ich die Reihenfolge der DNS-Server (zuerst public, dann 10.23.1.1), mache dann ipconfig/flushdns öffnet der IE wieder korrekt. Detto gilt bei den Clients Nun ist das zwar eine erste Abhilfe, doch scheint mein System verseucht zu sein. Google-Suche zu www.rackspot.com war leider nicht erfolgreich... Was habe ich noch gemacht: kompletten Virenscan mit aktueller Signatur mittels bordseitig installiertem TM WFB 6 (Firmenlösung) - NULL Weiters den Server heute abends mittels Boot-CD gestartet (c't mit AVK) - dies mit neuester Signatur auf rootkits, trojaner & viren gecheckt - NULL Malwarebyte Anti-Malware mit aktueller Signatur - NULL Natürlich auch HiJackthis und Autoruns - NULL Process exploer - NULL Spybot S&D mit aktueller Signatur - NULL Temporäre Verzeichnisse ausgemistet, sowie C:\windows und C:\windows\system32 auf neu hinzugekommene Dateien kontrolliert - NULL Registry nach www.rackspot.com durchsucht - NULL Kennt zufällig jemand dieses Phänomen? Danke! |
Server ist auch DNS?
Irgendwie dürfte der DNS falsch befüttert werden. Probier mal beide DNS von Google: http://code.google.com/intl/de-DE/speed/public-dns/ |
Also folgender Fehler ist mal:
Es dürfte nur ein DNS Server eingestellt sein in der Netzwerkconfig ... und dass ist localhost also: 10.23.1.1 oder 127.0.0.1 Die anderen settings findest du im DNS Manager. Dort gibt es irgendwo die Option die DNS Server einzutragen, welche verwendet werden sollen, wenn es sich um keinen lokalen Namen handelt. Vermutlich ist dort ein falscher Eintrag. http://www.petri.co.il/install_and_c...dns_server.htm Suche nach: "Enable DNS Forwarding for Internet connections" Dort die Namesserver vom Internetprovider eintragen oder die von google ... oder die von openDNS |
Zitat:
Auch dort habe ich das Problem, dass wenn die Reihenfolge im DNS-Eintrag umgedreht ist und der public server NACH dem localhost als secundary eingetragen ist, er sofort meinen IE nach www.rackspot.com umleitet! --> Somit ist für mich doch klar, dass die Maschine verseucht ist |
Zitat:
Sobald ich (wie es sich gehört) als meinen 1.DNS den localhost habe, wird meine Webseite auf www.rackspot.com umgeleitet :-( |
Hai,
hast schon mal nachgesehen was am Server in der Hosts-datei steht? lg |
Zitat:
|
ein öffentlicher dns hat in einer domäne nichts verloren da gehört ausschliesslich der domaininteren rein, und zwar auf allen rechnern im netz.
Ich vermute mal das der domain dns server die falsche ip von google gecached hat, vielleicht eine db fehler vielleicht hat sich die ip wirklich geändert, was auch immer. Lösch den cache vom dns server, starte in neu und alles sollte passen. /flushdns löscht den client cache, nicht den vom dns server. |
Zitat:
Teil 2 habe auch sowohl ipconfig /flushdns am Server & Clients ausgeführt, als auch direkt den Cache am DNS-Server unterm dnsmgmt.msc gelöscht UND: Ich habe es mit verschiedenen öffentlichen DNS-Servern getestet - es leitet mich immer zur selben Seite um www.rackspot.com :mad: Ich werde am Abend noch testweise die DNS-Einträge für Client und Server auf den lokalen DC reduzieren und den Server komplett durchstarten - mal sehen... |
welche ip bekommst wennst nslookup www.google.com machst?
|
| Alle Zeitangaben in WEZ +2. Es ist jetzt 20:19 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag