1

Frage

2

Antwort

3

Lösung

Schadsoftware Warnung vom Vodafone DNS Server
kunde24
Netzwerkforscher
Netzwerkforscher

Hallo, habe heute zum ersten Mal eine "Vodafone Sicherheitswarnung" von einem Dienst namens Secure net BASIC bekommen.

ein Gerät im wlan sei mit Schadsoftware infiziert, aus der Kategorie "externe Attacken".

der Kundendienst kann mir keine Details nennen.

ich solle den Windows virenscanner installieren, aber eder Windows pc war schon Wochen nicht mehr an (der Zugriff sei in den letzten 24 Stunden geschehen heißt es in der Warnung) und ansonsten ist eigentlich alles Apple oder 'Internet of things'.

wie kriege ich denn heraus welches DNS da abgefragt wurde um diese Warnung zu triggern?

vielen Dank

 

Edit: @kunde24 Beitrag nach Störungsmeldungen DSL verschoben. Gruss Methusalem1

 

 

10 Antworten 10
Julz2k
Royal-Techie
Royal-Techie

Gar nicht. Die Meldung ist in dieser Art ziemlich nutzlos. IP wechseln sollte die Meldung erstmal nicht mehr aufploppen lassen. 

kunde24
Netzwerkforscher
Netzwerkforscher

So nach einer Woche kam es gestern abend/heute morgen erneut.

 

Hotline hat keine Ahnung bzw. sagte mir mitunter, es gäbe gar kein securenet basic.

https://www.vodafone.de/privat/service/basic.html sieht aber nicht nach fake aus.

 

Man empfiehlt mir den Windows Virenscanner aber es gibt hier nur IOS und ein Linux.

 

Gibt es denn vielleicht irgendwelche Lösungen (z.b. für vernünftige Router), die DNS Abfragen manuell zu prüfen, ob da was verdächtiges dabei ist? Verstehe nicht dass die SecureNet seite sagte, ein DNS Abfrage hätte das verursacht, aber mir nicht sagt, welche Domäne da aufgelöst werden sollte.

 

Komisch ist auch, dass die Warnung nicht "zufällig" eingeblendet wird während ich surfe, sondern nur auf einer bestimmten Seite kommt (wenn es denn kommt). Die Seite hat kein https und ich vermutete dass es daran liegen könnte. Aber andere Seiten die auch kein https haben erzeugen die Meldung nicht.

 

Ich habe extra 4 Stunden gewartet, habe dann drei Seiten ohne https nacheinander aufgerufen, und nur die eine bestimmte (gokgs.com) wurde dann auf die Warnung umgeleitet.

Ergibt das irgendeinen Sinn?

kunde24
Netzwerkforscher
Netzwerkforscher

Muss mich korrigieren. Jetzt kam die Warnung auch beim Aufruf von neverssl.com

blog.fefe.de hat es nicht ausgelöst. 
;(

 

Hallo @kunde24 ,

 

konntest du mittlerweile was rausfinden. Ich wurde heute auch auf einem MacBook beim öffnen einer Seite auf diese Nachricht weitergeleitet und der Support kann leider nicht wirklich helfen.  Die letzte Vodafone Mitarbeiterin die ich am Telefon hatte meinte, dass es sich hier wohl um eine Übersensibilität von Secure Net Basic handelt. Das macht insofern Sinn, da ich über einen Link aus einem Videokonferenztool auf die Seite gekommen bin. Vielleicht wurde das so nicht gemocht.  (vielleicht mutmaße ich hier aber auch Unsinn). 

Sag gerne Bescheid wenn du noch was rausgefunden hast.

Best Grüße

kunde24
Netzwerkforscher
Netzwerkforscher

ne leider nichts neues. was mich betrifft habe ich mein linux im verdacht. mit einer anderen linux version habe ich die meldung bisher nicht bekommen.  habe heute den alten zustand wiederhergestellt und habe einen dns trace am laufen und warte ab ob/wann die meldung kommt. meine anfrage an datenschutz@vodafone.de blieb natürlich unbeantwortet.

 

gratulation wenn die hotline Dir gegenüber zugibt dass es securenet basic überhaupt gibt. ich habe desöfteren spezialisten drangehabt die das system komplett leugnen.

Niemals an.de Mails schicken. Das sind alles private Mail Adressen. Ich habe auch einige Vodafone Mails, teilweise schon Mails von Regierungsbeamten erhalten, da man falsch an de statt richtig @vodafone.com adressiert hat.
kunde24
Netzwerkforscher
Netzwerkforscher

sorry, es ging an vodafone.com

trotzdem natürlich keine Antwort 😄

kunde24
Netzwerkforscher
Netzwerkforscher

habe auch mal einige fake seiten wie vlc.de & co angeklickt, wenig später kam auch die warnung, aber sie blieb wesentlich länger als 24 stunden, glaube nicht dass es das war.

broetchen68
Smart-Analyzer
Smart-Analyzer

Bist Du schon weitergekommen bezüglich des Verursachers?

 

Ich habe seit ca. einer Woche diese Meldung regelmäßig aber die Analyse gestaltet sich schwierig, da man ja keinerlei Information hat, die diese gezielter gestalten ließe, z.B. aufgerufene DNS-Adresse oder verwendete Ports, falls von meinem Anschluss aus ein "Angriff" ausgeführt werden sollte. 

 

Da kann ich dann bei ca. 20 Geräten im Netzwerk eine Ewigkeit in Wireshark-Captures suchen...