Forums Neueste Beiträge
 

Spyware im Netz? Bind kaputt? ...

26/12/2007 - 23:07 von Peter Mairhofer | Report spam
Hi,

Ich bekomme seit einigen Tagen in meinem Syslog folgende Meldungen:

Dec 26 21:02:17 ns named[22293]: unexpected end of input resolving
'uhavepostcard.com/NS/IN': 71.224.248.210#53
Dec 26 21:02:18 ns named[22293]: unexpected end of input resolving
'uhavepostcard.com/NS/IN': 75.64.33.113#53
Dec 26 21:02:18 ns named[22293]: unexpected end of input resolving
'happycards2008.com/NS/IN': 67.187.30.81#53
Dec 26 21:02:19 ns named[22293]: unexpected end of input resolving
'happycards2008.com/NS/IN': 87.55.134.217#53
Dec 26 21:02:20 ns named[22293]: unexpected end of input resolving
'uhavepostcard.com/NS/IN': 71.86.54.0#53
Dec 26 21:02:20 ns named[22293]: unexpected end of input resolving
'uhavepostcard.com/NS/IN': 206.223.229.125#53
Dec 26 21:02:21 ns named[22293]: unexpected end of input resolving
'happycards2008.com/NS/IN': 76.118.74.123#53
Dec 26 21:02:22 ns named[22293]: unexpected end of input resolving
'uhavepostcard.com/NS/IN': 98.202.86.206#53

Der bind nicht von aussen erreichbar und dient nur als Master fuer lokale
Zonen bzw. als forwarder fuer DNS.

Woher kommen dann die Eintraege? Kann es doch sein dass der bind irgendwie
von aussen erreichbar ist?

Gibt es im Netzwerk womoeglich irgendetwas "Malware" maessiges das diese
Anfragen produziert?

Ist es gefaehrlich? Leider kann ich die nicht genauer interpretieren, v.a.
was die IP Adressen danach bedeuten. Falls es Clients sind muessen die ja
von extern kommen (sind externe IPs) was aber nicht moeglich sein sollte,
da der bind von extern nicht erreichbar ist!

Danke und lg,
Peter
 

Lesen sie die antworten

#1 Thomas Weinbrenner
26/12/2007 - 23:44 | Warnen spam
Peter Mairhofer schrieb:
Ich bekomme seit einigen Tagen in meinem Syslog folgende Meldungen:


[..]
Dec 26 21:02:21 ns named[22293]: unexpected end of input resolving
'happycards2008.com/NS/IN': 76.118.74.123#53
Dec 26 21:02:22 ns named[22293]: unexpected end of input resolving
'uhavepostcard.com/NS/IN': 98.202.86.206#53

Der bind nicht von aussen erreichbar und dient nur als Master fuer lokale
Zonen bzw. als forwarder fuer DNS.

Woher kommen dann die Eintraege? Kann es doch sein dass der bind irgendwie
von aussen erreichbar ist?

Gibt es im Netzwerk womoeglich irgendetwas "Malware" maessiges das diese
Anfragen produziert?



Die Domainnamen klingen so nach typischer Malware per Mail.

Kann es sein, das da im Netzwerk ein Spamfilter ist, der aus irgend
einem Grund versucht in den Emails vorhandene Adressen aufzulösen?

Thomas Weinbrenner

Email: / Jabber:
PGP-Key: 0x23D6AA94 (encrypted communication preferred)

Ähnliche fragen