unbekannte Bedrohung am DC /W2K3

[MUCH]

Liebe Forumsmitglieder,

ich habe seit gestern auf einem Kundenserver folgendes Problem:
W2K3, alle Patches & SP's, alle updates von Adobe/Java, etc - Heise check sagt alles up-to-date

Server ist der Domänencontroller...


IP manuell vergeben:
10.23.1.1/255.255.0.0
GW 10.23.254.1 (Firewall)
Als DNS habe ich bei der lokalen Netzwerkkarte am Server eingetragen:
1. DNS: 10.23.1.1
2. DNS public DNS-Server vom Internetprovider

Sobald ich IE öffne, erscheint statt der Startseite (hier Google) die Seite www.rackspot.com

Da auch die DNS-Settings für meine Client-PC's ident sind, habe ich das Problem auf allen Clients :-(

Lösung: Vertausche ich die Reihenfolge der DNS-Server (zuerst public, dann 10.23.1.1), mache dann ipconfig/flushdns öffnet der IE wieder korrekt.
Detto gilt bei den Clients

Nun ist das zwar eine erste Abhilfe, doch scheint mein System verseucht zu sein.

Google-Suche zu www.rackspot.com war leider nicht erfolgreich...

Was habe ich noch gemacht:
kompletten Virenscan mit aktueller Signatur mittels bordseitig installiertem TM WFB 6 (Firmenlösung) - NULL

Weiters den Server heute abends mittels Boot-CD gestartet (c't mit AVK) - dies mit neuester Signatur auf rootkits, trojaner & viren gecheckt - NULL

Malwarebyte Anti-Malware mit aktueller Signatur - NULL
Natürlich auch HiJackthis und Autoruns - NULL
Process exploer - NULL
Spybot S&D mit aktueller Signatur - NULL
Temporäre Verzeichnisse ausgemistet, sowie C:\windows und C:\windows\system32 auf neu hinzugekommene Dateien kontrolliert - NULL

Registry nach www.rackspot.com durchsucht - NULL

Kennt zufällig jemand dieses Phänomen?

Danke!

[J@ck]

Server ist auch DNS?

Irgendwie dürfte der DNS falsch befüttert werden.
Probier mal beide DNS von Google: http://code.google.com/intl/de-DE/speed/public-dns/

[ZombyKillah]

Also folgender Fehler ist mal:
Es dürfte nur ein DNS Server eingestellt sein in der Netzwerkconfig ...
und dass ist localhost also:
10.23.1.1 oder 127.0.0.1

Die anderen settings findest du im DNS Manager.
Dort gibt es irgendwo die Option die DNS Server einzutragen, welche verwendet werden sollen, wenn es sich um keinen lokalen Namen handelt.
Vermutlich ist dort ein falscher Eintrag.
http://www.petri.co.il/install_and_c...dns_server.htm
Suche nach: "Enable DNS Forwarding for Internet connections"

Dort die Namesserver vom Internetprovider eintragen oder die von google ...
oder die von openDNS

[MUCH]

Zitat:

Zitat von ZombyKillah

Also folgender Fehler ist mal:
Es dürfte nur ein DNS Server eingestellt sein in der Netzwerkconfig ...
und dass ist localhost also:
10.23.1.1 oder 127.0.0.1

Die anderen settings findest du im DNS Manager.
Dort gibt es irgendwo die Option die DNS Server einzutragen, welche verwendet werden sollen, wenn es sich um keinen lokalen Namen handelt.
Vermutlich ist dort ein falscher Eintrag.
http://www.petri.co.il/install_and_c...dns_server.htm
Suche nach: "Enable DNS Forwarding for Internet connections"

Dort die Namesserver vom Internetprovider eintragen oder die von google ...
oder die von openDNS

OK - nur wenn es nicht um die clients sondern den Server selbst geht:
Auch dort habe ich das Problem, dass wenn die Reihenfolge im DNS-Eintrag umgedreht ist und der public server NACH dem localhost als secundary eingetragen ist, er sofort meinen IE nach www.rackspot.com umleitet!

--> Somit ist für mich doch klar, dass die Maschine verseucht ist

[MUCH]

Zitat:

Zitat von J@ck

Server ist auch DNS?

Irgendwie dürfte der DNS falsch befüttert werden.
Probier mal beide DNS von Google: http://code.google.com/intl/de-DE/speed/public-dns/

Ich habe schon diverse public DNS-Server versucht - immer das selbe Problem:
Sobald ich (wie es sich gehört) als meinen 1.DNS den localhost habe, wird meine Webseite auf www.rackspot.com umgeleitet :-(

[superuser]

Hai,

hast schon mal nachgesehen was am Server in der Hosts-datei steht?

lg

[MUCH]

Zitat:

Zitat von superuser

Hai,

hast schon mal nachgesehen was am Server in der Hosts-datei steht?

lg

ja - in der hosts ist auch alles jungfräulich und sauber, detto lmhosts :-(

[LouCypher]

ein öffentlicher dns hat in einer domäne nichts verloren da gehört ausschliesslich der domaininteren rein, und zwar auf allen rechnern im netz.

Ich vermute mal das der domain dns server die falsche ip von google gecached hat, vielleicht eine db fehler vielleicht hat sich die ip wirklich geändert, was auch immer. Lösch den cache vom dns server, starte in neu und alles sollte passen.

/flushdns löscht den client cache, nicht den vom dns server.

[MUCH]

Zitat:

Zitat von LouCypher

ein öffentlicher dns hat in einer domäne nichts verloren da gehört ausschliesslich der domaininteren rein, und zwar auf allen rechnern im netz.

Ich vermute mal das der domain dns server die falsche ip von google gecached hat, vielleicht eine db fehler vielleicht hat sich die ip wirklich geändert, was auch immer. Lösch den cache vom dns server, starte in neu und alles sollte passen.

/flushdns löscht den client cache, nicht den vom dns server.

Teil 1 - OK überredet

Teil 2 habe auch sowohl ipconfig /flushdns am Server & Clients ausgeführt, als auch direkt den Cache am DNS-Server unterm dnsmgmt.msc gelöscht

UND: Ich habe es mit verschiedenen öffentlichen DNS-Servern getestet - es leitet mich immer zur selben Seite um www.rackspot.com

Ich werde am Abend noch testweise die DNS-Einträge für Client und Server auf den lokalen DC reduzieren und den Server komplett durchstarten - mal sehen...

[LouCypher]

welche ip bekommst wennst nslookup www.google.com machst?