Gelöst: Vodafone Sicherheitswarnung???? – Seite 4

Tex1 · ‎24.03.2021

Hallo,

Wenn ich auf eine Website zugreifen will, bekomme ich diese Meldung. ( siehe screenshot ). Ich kann sie nicht einmal weg klicken. Ich bekomme kein Zugriff auf die eigentliche Website. Das geht bei Chrome und auch bei Edge nicht. Also am Browser liegt es nicht. Sobald ich aber eine andere DNS, als Vodafone eingebe ist alles ok. Es sind auch nur wenige Websites-aber für mich wichtige. Mein Norton befindet sie auch als ok. Alle anderen Geräte im Lan oder Wlan bekommen diese Meldung auch nicht. Also dort habe ich Zugriff auf die Websites.

Edit: @Tex1 Von Feedback in das passende Board verschoben. Bitte auf die richtige Boardwahl achten. Gruß Kurtler

webjonny · ‎23.05.2021

@Paulo247

kopiere doch die Ergebnisse hier rein welche du mit nslookup bekommst - dann kann man weiter sehen. Ich würde so vorgehen wenn du mit einem Browser die Seitensperre bekommst:

"Eingabeaufforderung" öffen und dort zuerst:

ping <betroffenewebseite.de>

Damit kannst du zumindest feststellen, welche IP dein Rechner für den namen der "betroffenen" Webseite aktuell im Cache vorhält. Nicht wundern, wenn da z.B: "Keine Antwort" zurückkommt - es gibt Hosts die auf ping nicht antworten. Wichtig ist nur die IP in dem Moment. Diese kannst dir aufschreiben.

Jetzt befragst du deinen Standard-DNS Server nach der IP für die betroffene Webseite

nslookup betroffenewebseite.de

Danach einen anderen DNS Server verwenden in dem man diesen an den nslookup Befehl als Parameter anhängt:

nslookup betroffenewebseite.de 9.9.9.10

Wichtig - wenn dir so eine Seite angezeigt wird, nicht zuerst mit https oder anderen Browsern probieren sondern zuerst die Befehle in der Eingabeaufforderung eingeben. Die "betroffenewebseite.de" ersetzt du natürlich mit der Domain bei deren Aufruf die VF Schranke auftaucht.

Wenn du hier das Ergebnis reinkopierst (aller drei Befehle) dann könnte man evtl. schon sehen ob dir ein falscher DNS Eintrag zurückgeliefert wird oder ob evtl. das Problem woanders liegt.

kunde24 · ‎23.05.2021

Wie bereits gesagt, meiner Beobachtung nach kriegst du über den Vodafone DNS Server beim look up von etwa neverssl.com als Antwort die IP von securenet.Sicherheit.Vodafone.de

aber das ist nicht die Ursache

Vodafone biegt diese Seiten um wenn es ihnen passt (" alle 4 Stunden für 24 Stunden ")

aber wann sie damit anfangen, ist unklar

ich würde gerne wissen was ein offener 3rd party dns zurück gibt wenn eine geblockte Seite angefragt wird

weiss das jemand ?

webjonny · ‎23.05.2021

@kunde24 schrieb:
ich würde gerne wissen was ein offener 3rd party dns zurück gibt wenn eine geblockte Seite angefragt wird
weiss das jemand ?

@kunde24 siehe meine letzte Antwort an @Paulo247

Der 9.9.9.10 ist ein offener DNS der NICHT filtert. Der 9.9.9.9 entgegen hat auch so was wie die "Sicherheit" von VF. Das kannst du entspechend mit dem nslookup und dem Server als Parameter so nutzen, dann bekommst du eine Antwort von dem Server und nicht von einem VF DNS.

meinHost:~# nslookup neverssl.com 9.9.9.10
Server:         9.9.9.10
Address:        9.9.9.10:53

Non-authoritative answer:
Non-authoritative answer:
Name:   neverssl.com
Address: 13.225.84.137
Name:   neverssl.com
Address: 13.225.84.215
Name:   neverssl.com
Address: 13.225.84.88
Name:   neverssl.com
Address: 13.225.84.121

Setzt du dir den DNS 9.9.9.10 als Standard auf deinem Router hast du erstmal keine Probleme mit der VF Schranke,

kunde24 · ‎23.05.2021

Und niemand hier kennt eine Domain die von non-Vodafone DNS geblockt wird?

webjonny · ‎23.05.2021

So was

@kunde24 schrieb:
Und niemand hier kennt eine Domain die von non-Vodafone DNS geblockt wird?

So was sollte normalerweise gar nicht vorkommen, wenn man NETZNEUTRAL seine Kunden mit dem Internet verbindet. Das DNS System hat nicht die Aufgabe das Internet zu filtern oder "falsche" IP Adressen zu liefern. Ohne DNS kein Internet.

Das was VF aktuell treibt ist - aus meiner Sicht - ein Fehler.

reneromann · ‎23.05.2021

@webjonny schrieb:

Das was VF aktuell treibt ist - aus meiner Sicht - ein Fehler.

Wenn man jedoch mal im Hinterkopf behält, dass es durchaus auch Leute gibt, die gar nicht merken, dass ihre Rechner von Schadsoftware befallen sind -und/oder- über die DNS-Server dann (bekannte) Botnetz-Kontrollserver "umgebogen" werden, so das befallene Rechner eben nicht mehr am Botnetz teilnehmen.

Es gibt dafür halt immer ein Für und ein Wider...

webjonny · ‎23.05.2021

@reneromann schrieb:
@webjonny schrieb:
Das was VF aktuell treibt ist - aus meiner Sicht - ein Fehler.
Es gibt dafür halt immer ein Für und ein Wider...

@reneromann

Nein. Ganz klares nein - wie es anders geht, hat mal Telekom gezeigt (auch das war nicht optimal). Alle die plötzlich mehr als 200 Mails am Stück versandt haben, denen haben sie den Port 25 zu gemacht. (Ich meine sogar, dass Telekom mittlerweile über Port 25 nichts mehr zulässt). Mit dem Hinweis dass es wohl SPAM ist - auch wenn jemand einfach eine Rundmail gemacht hat! Sieht natürlich auf dem Port 80 anders aus.

Wenn ein Provider erkennt, dass es zu bekannten CC Servern einen Kontakt gibt, dann muss er das dem Kunden - und nur dem einen Kunden - mitteilen und ihn dazu zwingen, das Problem zu beheben. ABER NICHT den DNS Server für alle zu verbiegen! Vielleicht liegt auf der gleichen IP Adresse in dem gleichen Rechenzentrum auch dein Host, den du bezahlt hast und dessen IP davon betroffen ist. Was dann? Die meisten "bösen" Sachen werden auf irgendwelchen gehackten Wordpress Installationen verbreitet. Und diese liegen wiederum oft bei Hostern die sich eine IP für mehrere Kunden auf einem Server teilen!

Wenn das z.B VF unter dem Namen "Sicherheitspaket" verkauft und die Kunden kaufen das - und hier liegt dann ein DNS Server zugrunde den irgendein Mensch von Hand pflegt - dann sei es so. Man entscheidet sich dafür und bezahlt auch den Dienst. Fertig.

Um bestimmte Server vom Netz zu nehmen gibt es in Deutschland richterliche Entscheidungen, das bestimmt aber nicht der Provider sondern der Richter!

Wenn man jedoch mal im Hinterkopf behält, dass es durchaus auch Leute gibt, die gar nicht merken, dass ihre Rechner von Schadsoftware befallen sind -und/oder- über die DNS-Server dann (bekannte) Botnetz-Kontrollserver "umgebogen" werden, so das befallene Rechner eben nicht mehr am Botnetz teilnehmen.

Eben - nur der Kunde - und nicht alle! Wenn die von dir genannten BOTNETZE so bekannt sind, dann hat man die Netze zu schließen und nicht die Kunden dessen verseuchte Rechner darauf zugreifen! Und hier kann ein Provider auch eine Anzeige stellen und eine richterliche Entscheidung erzwingen.

Das was VF aktuell macht - es erscheint eine Webseite die sogar im Wortlaut beschreibt: "mindestens ein Gerät" in Ihrem Netzwerk ist "verseucht", ist schlicht ein FEHLER. Ich kann für mein Netzwerk garantieren, dass hier nichts versucht ist. Hätte gerne dazu das LOG gesehen mit Ziel IP, Uhrzeit, Port und ob das ein TCP oder UDP Paket war. Alles andere ist Falsch!

reneromann · ‎23.05.2021

@webjonny schrieb:

Nein. Ganz klares nein - wie es anders geht, hat mal Telekom gezeigt (auch das war nicht optimal). Alle die plötzlich mehr als 200 Mails am Stück versandt haben, denen haben sie den Port 25 zu gemacht. (Ich meine sogar, dass Telekom mittlerweile über Port 25 nichts mehr zulässt). Mit dem Hinweis dass es wohl SPAM ist - auch wenn jemand einfach eine Rundmail gemacht hat! Sieht natürlich auf dem Port 80 anders aus.

Nein, die Telekom sperrt Port 25 nicht - jedoch deren Router in der Standardeinstellung, sofern man nicht zu in der Firmware gewhitelisteten Servern kommuniziert.

@webjonny schrieb:

Wenn ein Provider erkennt, dass es zu bekannten CC Servern einen Kontakt gibt, dann muss er das dem Kunden - und nur dem einen Kunden - mitteilen und ihn dazu zwingen, das Problem zu beheben. ABER NICHT den DNS Server für alle zu verbiegen! Vielleicht liegt auf der gleichen IP Adresse in dem gleichen Rechenzentrum auch dein Host, den du bezahlt hast und dessen IP davon betroffen ist. Was dann? Die meisten "bösen" Sachen werden auf irgendwelchen gehackten Wordpress Installationen verbreitet. Und diese liegen wiederum oft bei Hostern die sich eine IP für mehrere Kunden auf einem Server teilen!

Du beweist mit dieser Aussage gerade selbst, dass du nicht verstanden hast, wie DNS funktioniert. Es geht eben NICHT um die IP-Adresse an sich, sondern alleinig um den DNS-Eintrag.

Wenn also good-site.de auf 1.2.3.4 zeigt und bad-site.com ebenfalls auf 1.2.3.4 zeigt, wird im DNS von Vodafone nur der Eintrag von bad-site.com auf 9.8.7.6 (also die Sicherheitswarnung) umgebogen. Was deine "good-site.de" anbetrifft - diese bleibt auch via Vodafone bei 1.2.3.4.

@webjonny schrieb:

Um bestimmte Server vom Netz zu nehmen gibt es in Deutschland richterliche Entscheidungen, das bestimmt aber nicht der Provider sondern der Richter!

Dumm nur, dass diese Botnetze meist nicht in Deutschland gehostet werden, ergo ein deutscher Richter gar nicht zuständig ist. Und selbst wenn ein deutsches Gericht einen Anspruch auf Unterlassung feststellen würde, heißt das noch längst nicht, dass der Betreiber im Ausland diesem Anspruch bzw. Urteil auch nachkommen wird. Denn diese Betreiber jucken die deutschen Gerichtsurteile mal einen feuchten Kehricht.

@webjonny schrieb:

Wenn man jedoch mal im Hinterkopf behält, dass es durchaus auch Leute gibt, die gar nicht merken, dass ihre Rechner von Schadsoftware befallen sind -und/oder- über die DNS-Server dann (bekannte) Botnetz-Kontrollserver "umgebogen" werden, so das befallene Rechner eben nicht mehr am Botnetz teilnehmen.

Eben - nur der Kunde - und nicht alle! Wenn die von dir genannten BOTNETZE so bekannt sind, dann hat man die Netze zu schließen und nicht die Kunden dessen verseuchte Rechner darauf zugreifen! Und hier kann ein Provider auch eine Anzeige stellen und eine richterliche Entscheidung erzwingen.

Viel Spaß, wenn du versuchst, die Netze irgendwo in Russland, China oder auf den Philippinen zu schließen - da helfen dir deutsche Gerichte nicht weiter. Und bis du bei den entsprechenden Staaten irgendwas erreicht hast (sofern sie nicht aufgrund von Korruption sogar aktiv mithelfen) vergehen Jahre!

@webjonny schrieb:

Das was VF aktuell macht - es erscheint eine Webseite die sogar im Wortlaut beschreibt: "mindestens ein Gerät" in Ihrem Netzwerk ist "verseucht", ist schlicht ein FEHLER. Ich kann für mein Netzwerk garantieren, dass hier nichts versucht ist. Hätte gerne dazu das LOG gesehen mit Ziel IP, Uhrzeit, Port und ob das ein TCP oder UDP Paket war. Alles andere ist Falsch!

Nochmal: DNS-Sperren laufen NICHT über "Ziel IP, Uhrzeit, Port, Protokoll" - weil das NICHT aufgezeichet wird.

Es wird lediglich bei einer DNS-Auflösung für "bad-site.com" statt mit "1.2.3.4" mit "9.8.7.6" geantwortet - nicht mehr und nicht weniger.

webjonny · ‎23.05.2021

@reneromann

Du beweist mit dieser Aussage gerade selbst, dass du nicht verstanden hast, wie DNS funktioniert. Es geht eben NICHT um die IP-Adresse an sich, sondern alleinig um den DNS-Eintrag.

Wenn also good-site.de auf 1.2.3.4 zeigt und bad-site.com ebenfalls auf 1.2.3.4 zeigt, wird im DNS von Vodafone nur der Eintrag von bad-site.com auf 9.8.7.6 (also die Sicherheitswarnung) umgebogen. Was deine "good-site.de" anbetrifft - diese bleibt auch via Vodafone bei 1.2.3.4.

@webjonny schrieb:
Das was VF aktuell macht - es erscheint eine Webseite die sogar im Wortlaut beschreibt: "mindestens ein Gerät" in Ihrem Netzwerk ist "verseucht", ist schlicht ein FEHLER. Ich kann für mein Netzwerk garantieren, dass hier nichts versucht ist. Hätte gerne dazu das LOG gesehen mit Ziel IP, Uhrzeit, Port und ob das ein TCP oder UDP Paket war. Alles andere ist Falsch!

Also wird quasi nur eine andere IP für eine bestimmte URL zurückgegeben, Schön.

Und wer bestimmt dann welche URL das ist? Weil die Beispiele welche ich und die anderen User in diesem Thread geliefert haben, auf ein anderes Problem zeigen - nicht die URL wird geblockt, sondern eine IP aus einem Bereich, der vielleicht verdächtig ist.

Damit hättest du zwar Recht, dass mein Beispiel Oben nicht ganz zutreffend war, da ich von einer IP für mehrere URLs ausgegangen bin.

Jedoch bringst du in deinen Ausführungen keine plausiblen Erklärungen warum bestimmte URLs umgebogen werden. Ich meine sogar, dass da u.A: Spiegel.de mit dabei war. In meinem Fall war das auch eine Webseite die sicher kein Unfug treibt.

Keine Ahnung ob du VF Mitarbeiter bis, denn es scheint deinen Ausführungen nach bei VF kein Problem zu geben - es sind die Kunden deren Netze wohl verseucht sind (möge es in 0,1% der Kunden der Fall zu sein) - hat das der Provider anders zu lösen als mit "falschen" DNS Einträgen. Das ist nicht NETZNEUTRAL. Auch wenn eine falsche URL umgebogen (false/positiv) wird ist das ein FEHLER - sieh es doch endlich ein. Und wenn das kein Fehler ist, dann hätte ich gerne eine Begründung dafür und nicht eine Pseudoseite die mir etwas unterstellt, dass niemand beweisen kann und will.

Nochmal: DNS-Sperren laufen NICHT über "Ziel IP, Uhrzeit, Port, Protokoll" - weil das NICHT aufgezeichet wird.
Es wird lediglich bei einer DNS-Auflösung für "bad-site.com" statt mit "1.2.3.4" mit "9.8.7.6" geantwortet - nicht mehr und nicht weniger.

Dann kann das nicht irgendein Gerät aus dem Heimnetz sein, sonder nur diese Maschine die gerade die "bad-site.com" aufgerufen hat.

Und wenn das irgendein Gerät im Netzerk machen sollte, dann bekommt das nur der Client der diese Seite anfordert und nicht ein X beliebiges, welches gerade im Browser "beispielsweise.de" anzeigt.

kunde24 · ‎23.05.2021

Ich vermute, dass es nur bei http Seiten auftritt, weil sie da den User Agent aus dem http get rausziehen können und feststellen dass es ein Browser ist und nicht etwa ein http get beim Update einer App oder sowas. Wenn quasi ein Internet of things Gerät nach Hause telefoniert, und die in so eine Connection ihre Warnung einspeisen würden, würde niemand sie zu Gesicht bekommen