Computerbeveiliging - Hoe je bad guys buiten de deur houdt

DNS Virus?

13-11-2016, 13:20 door Patrick_st, 9 reacties
Bij elke MX lookup krijg ik onderstaand bericht:

C:\Windows\system32>nslookup -q=mx nu.nl
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Non-authoritative answer:
nu.nl.fritz.box MX preference = 10, mail exchanger = your-dns-needs-immediate-attention.box

DNS stond op automatisch, naar het IP van mijn Fritzbox, ik dacht eerst dat daar het probleem zou liggen maar na het handmatig aangepast te hebben naar 8.8.8.8 krijg ik dezelfde melding.

Ik heb alle processen die me niet zo veel zeggen afgesloten. Een paar keer opnieuw opgestart, het systeem gescand met Malwarebytes en mijn eigen virusscanner F-Secure. Niets gevonden.

Iemand een idee wat er hier aan de hand is? Alles werkt prima alleen dat maffe antwoord als ik een MX lookup doe.
Reacties (9)
13-11-2016, 13:53 door Anoniem
gusto@fx8150:~$ nslookup -q=mx nu.nl
Server: 192.168.88.1
Address: 192.168.88.1#53

Non-authoritative answer:
nu.nl mail exchanger = 0 nu-nl.mail.protection.outlook.com.

Authoritative answers can be found from:
nu.nl heeft geen mx-record. ;)
13-11-2016, 13:56 door Anoniem
Door Patrick_st: Bij elke MX lookup krijg ik onderstaand bericht:

C:\Windows\system32>nslookup -q=mx nu.nl
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Non-authoritative answer:
nu.nl.fritz.box MX preference = 10, mail exchanger = your-dns-needs-immediate-attention.box

DNS stond op automatisch, naar het IP van mijn Fritzbox, ik dacht eerst dat daar het probleem zou liggen maar na het handmatig aangepast te hebben naar 8.8.8.8 krijg ik dezelfde melding.

Ik heb alle processen die me niet zo veel zeggen afgesloten. Een paar keer opnieuw opgestart, het systeem gescand met Malwarebytes en mijn eigen virusscanner F-Secure. Niets gevonden.

Iemand een idee wat er hier aan de hand is? Alles werkt prima alleen dat maffe antwoord als ik een MX lookup doe.

Waarom meteen een virus? Het is bijna altijd veel logischer dat de techniek faalt.

En te zien is dit gewoon user error. Je MX lookup wordt gedaan met je default domain name suffix, welke via DHCP uitgedeeld wordt. Als je goed kijkt krijg je ook antwoord van nu.nl.fritz.box . Ofwel je hebt een Fritz Box als router.

Doe eens: nslookup -q=mx nu.nl. (dus met een punt er achter nu.nl).
Je krijgt dan een goed antwoord.

https://en.wikipedia.org/wiki/Fully_qualified_domain_name
Many DNS resolvers process a domain name that contains a dot in any position as being fully qualified or add the final dot needed for the root of the DNS tree. Resolvers process a domain name without a dot as unqualified and automatically append the system's default domain name and the final dot.

Zoals je ziet, een user error of technische storing is meestal veel logisch als je niets niet kan verklaren.
13-11-2016, 16:20 door Anoniem
Door Anoniem: gusto@fx8150:~$ nslookup -q=mx nu.nl
Server: 192.168.88.1
Address: 192.168.88.1#53

Non-authoritative answer:
nu.nl mail exchanger = 0 nu-nl.mail.protection.outlook.com.

Authoritative answers can be found from:
nu.nl heeft geen mx-record. ;)
die verwijst naar nu.nl, maar naar outlook.com.
13-11-2016, 18:02 door Anoniem
Door Anoniem: gusto@fx8150:~$ nslookup -q=mx nu.nl
Server: 192.168.88.1
Address: 192.168.88.1#53

Non-authoritative answer:
nu.nl mail exchanger = 0 nu-nl.mail.protection.outlook.com.

Authoritative answers can be found from:
nu.nl heeft geen mx-record. ;)

Goed lezen wat er staat, de Email wordt gewoon bij Office 365 afgeleverd. Ofwel nu.nl geeft gewoon een MX record.
13-11-2016, 18:14 door Anoniem
Door Anoniem:
Door Patrick_st: Bij elke MX lookup krijg ik onderstaand bericht:

C:\Windows\system32>nslookup -q=mx nu.nl
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Non-authoritative answer:
nu.nl.fritz.box MX preference = 10, mail exchanger = your-dns-needs-immediate-attention.box

DNS stond op automatisch, naar het IP van mijn Fritzbox, ik dacht eerst dat daar het probleem zou liggen maar na het handmatig aangepast te hebben naar 8.8.8.8 krijg ik dezelfde melding.

Ik heb alle processen die me niet zo veel zeggen afgesloten. Een paar keer opnieuw opgestart, het systeem gescand met Malwarebytes en mijn eigen virusscanner F-Secure. Niets gevonden.

Iemand een idee wat er hier aan de hand is? Alles werkt prima alleen dat maffe antwoord als ik een MX lookup doe.

Waarom meteen een virus? Het is bijna altijd veel logischer dat de techniek faalt.

En te zien is dit gewoon user error. Je MX lookup wordt gedaan met je default domain name suffix, welke via DHCP uitgedeeld wordt. Als je goed kijkt krijg je ook antwoord van nu.nl.fritz.box . Ofwel je hebt een Fritz Box als router.

Doe eens: nslookup -q=mx nu.nl. (dus met een punt er achter nu.nl).
Je krijgt dan een goed antwoord.

https://en.wikipedia.org/wiki/Fully_qualified_domain_name
Many DNS resolvers process a domain name that contains a dot in any position as being fully qualified or add the final dot needed for the root of the DNS tree. Resolvers process a domain name without a dot as unqualified and automatically append the system's default domain name and the final dot.

Zoals je ziet, een user error of technische storing is meestal veel logisch als je niets niet kan verklaren.

Een ander verschil is dat .box als TLD nu geregistreerd is .
AVM gebruikte het altijd als 'niet bestaand intern domein' (fritz.box ) en nu bestaat .box opeens wel.


fritz.box is nog niet geregistreerd.
13-11-2016, 18:44 door Patrick_st
Op iedere lookup kreeg ik dit antwoord: mail exchanger = your-dns-needs-immediate-attention.box
Ik kon/kan dit niet verklaren. Ook bij het instellen van een andere DNS server kreeg ik hetzelfde antwoord.

Nu werkt alles wel goed. Geen idee wat het probleem is geweest.
13-11-2016, 19:11 door Anoniem
AVM, de producent van Fritz!Box, heeft de box top level domain (tld) gebruikt die niet van hen was. Dat is waarschijnlijk de hoofdoorzaak van het probleem. box is nu een officieel tld, zoals nl dat is.

https://www.iana.org/domains/root/db/box.html

De box tld beheerder (uit Hong Kong) waarschuwt gebruikers van fritz.box:

Een dig op fritz.box laat dit zien:
fritz.box. 3600 IN SRV 10 10 0 your-dns-needs-immediate-attention.box.
fritz.box. 3600 IN TXT "Your DNS configuration needs immediate attention see https://icann.org/namecollision"
fritz.box. 3600 IN MX 10 your-dns-needs-immediate-attention.box.
fritz.box. 3600 IN A 127.0.53.53

Lees https://icann.org/namecollision voor meer info.
14-11-2016, 14:21 door Anoniem
Door Anoniem: AVM, de producent van Fritz!Box, heeft de box top level domain (tld) gebruikt die niet van hen was. Dat is waarschijnlijk de hoofdoorzaak van het probleem. box is nu een officieel tld, zoals nl dat is.

https://www.iana.org/domains/root/db/box.html

De box tld beheerder (uit Hong Kong) waarschuwt gebruikers van fritz.box:

Een dig op fritz.box laat dit zien:
fritz.box. 3600 IN SRV 10 10 0 your-dns-needs-immediate-attention.box.
fritz.box. 3600 IN TXT "Your DNS configuration needs immediate attention see https://icann.org/namecollision"
fritz.box. 3600 IN MX 10 your-dns-needs-immediate-attention.box.
fritz.box. 3600 IN A 127.0.53.53

Lees https://icann.org/namecollision voor meer info.

Inderdaad, men was daar in een vroeg stadium al achter dat die collision zich niet zou beperken tot reeds uitgeven wildcard certification voor intranet - onder namen die nu ineens TLD werden.
Dit is wat er in detail gebeurde op de "fritz.box"


laptop> $ dig +trace whateverblabla.box txt

; <<>> DiG 9.8.3-P1 <<>> +trace whateverblabla.box txt
;; global options: +cmd
. 754 IN NS a.root-servers.net.
. 754 IN NS b.root-servers.net.
. 754 IN NS c.root-servers.net.
. 754 IN NS d.root-servers.net.
. 754 IN NS e.root-servers.net.
. 754 IN NS f.root-servers.net.
. 754 IN NS g.root-servers.net.
. 754 IN NS h.root-servers.net.
. 754 IN NS i.root-servers.net.
. 754 IN NS j.root-servers.net.
. 754 IN NS k.root-servers.net.
. 754 IN NS l.root-servers.net.
. 754 IN NS m.root-servers.net.
;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 37 ms

box. 172800 IN NS d.nic.box.
box. 172800 IN NS b.nic.box.
box. 172800 IN NS a.nic.box.
box. 172800 IN NS c.nic.box.
;; Received 280 bytes from 192.36.148.17#53(192.36.148.17) in 4 ms

whateverblabla.box. 3600 IN TXT "Your DNS configuration needs immediate attention see https://icann.org/namecollision"
;; Received 133 bytes from 37.209.192.10#53(37.209.192.10) in 136 ms

15-11-2016, 02:46 door Anoniem
Het lijkt momenteel inderdaad geimplementeerd als een *.box wildcard.

Hier staat een bespreking en voorspelling uit december 2015 over fritz.box:
https://lists.fedoraproject.org/archives/list/devel@lists.fedoraproject.org/message/4XIDBJ7UD5HSGJ2BSC2BRBR3N6QPB7H2/

Een mogelijke oplossing (override via lokale confirguratie) wordt ook gegeven. fritz.box is niet meer ok, gebruik je lokale IP (beste) in plaats daarvan of gebruik een domein dat je legaal kunt gebruiken (niet zo goed, want publiek).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.