Heute wurde mir von 3 Personen gemeldet, dass unsere Webseite nicht mehr funktioniere. Stattdessen kommt eine Seite, von der nicht klar ist, was denn der Zweck davon sein sollte (ausser allenfalls Malware zu verbreiten). 

 

Zuhause ging es mir dann genau gleich. Statt unserer Seite www.schalt.ch kam eben die falsche Seite wie auf dem Bild oben. Man sah wie man weitergeleitet wurde und mein erster Gedanke war, dass die Website gehackt wurde und nun auf eine andere weiterleitet um eben z.B. Malware zu verbreiten.

Zuerst wird folgende Seite geladen:

In einem zweiten Schritt wird dann die Seite mit den vielen Zeichen unter “frame src” im oberen Bild geladen.

Bei einem zweiten Blick stellte ich dann fest, dass die Namensauflösung nicht korrekt funktioniert. Daher konnte ich wahrscheinlich bei einem erst oberflächlichen Blick mit Wireshark nichts entdecken, weil beim Öffnen der Seite im Browser schon eine falsche IP angesteuert wurde. Ein “nslookup www.schalt.ch” lieferte:

Der Client, von dem aus die Anfrage gemacht wurde, bekommt die DNS Antworten vom lokalen Router zuhause und dieser vom DNS Server meines Providers. Um zu überprüfen, ob die DNS Einträge grundsätzlich nicht mehr stimmen, habe ich dem Client eine manuelle Netzwerkeinstellung gegeben und als DNS Server einen von Google eingetragen (8.8.8.8). Nach einem “ipconfig /flushdns” stimmte auch die Namensauflösung wieder:

Komischerweise stimmte nun auch nach einem Zurückstellen (DNS vom Provider) die Namensauflösung wieder. Es scheint also nur ein temporäres Problem mit der Namensauflösung gewesen zu sein. Ich habe nun den Provider angefragt, ob sie ein Problem mit dem DNS gehabt hätten und werde voraussichtlich morgen eine Antwort erhalten.

Ich merke nun, dass ich mit meinem wenigen Wissen anstehe. Damit ich nichts vergesse, habe ich es hier niedergeschrieben. Vielleicht kann mir ja auch jemand, der diesen Blog liest, auf die Sprünge helfen.

Wurde der Webserver gehackt? Die Weiterleitung auf eine andere Seite würde dafür sprechen. Wie kann aber eine gehackte Seite meine DNS Auflösung zuhause beeinflussen? Angenommen, die Seite würde Malware verteilen, die z.B. die Hostsdatei anpasst oder etwas ähnliches… Da müsste der Virenscanner Alarm schlagen und wenn nicht, dürfte die Umstellung auf die Google (DNS) Server keinen Einfluss haben. Zur Sicherheit habe ich noch mit Virustotal unsere Seite überprüft. Es wurde aber nichts gefunden. Wie zuverlässig das ist, weiss ich aber auch nicht. Ich hoffe jetzt einfach, dass es nichts mit einer gehackten Webseite zu tun hat, werde dem aber sicher noch nachgehen.

Im Moment sagt mir ein Blick auf die Bäume, die mir die Sicht auf den Wald versperren, dass es ein Problem mit der DNS Auflösung meines Providers zusammenhängt. Sollten wirklich alle 3 anderen Personen, die das gleiche gemeldet haben, auch den gleichen Provider benutzen? Da das Problem bei mir zuhause nach einem Löschen des DNS Caches auf dem Router behoben war, würde sich dann das Problem von alleine lösen. Dagegen spricht, dass die “falsche” Seite auch mit “Schalt” beschriftet war und auch die komische Umleitung. Mal schauen, was ich morgen noch weiter herausfinde.

to be continued…

Nachtrag 1
Mein (Internetzugangs-)Provider zuhause hat bestätigt, dass sie ungültige DNS Records bei ihnen hatten und hat diese gelöscht und den Cache geleert. Da aber andere Personen mit anderen Zugangsprovidern auch auf die falsche Seite kamen, kann es nicht an meinem Provider liegen. Der Fehler muss “weiter oben” in der DNS Infrastruktur passiert sein. Somit ist aber zumindest klar, dass es sich eindeutig um ein DNS Problem handelt. (Vielen Dank an die schnelle und kompetente Antwort meines Providers).

Nachtrag 2
Ein Leser dieses Blogs hat mich auf einen Eintrag von Heise Security aufmerksam gemacht (vielen Dank an dieser Stelle):

Tausende Domains umgeleitet
Rund 5000 Domains wurden durch einen menschlichen Fehler und Abwehrmaßnahmen einer Distributed-Denial-of-Service-Attacke (DDoS) bei dem Domain-Anbieter Network Solutions auf falsche Webseiten umgeleitet. Davon war unter anderem LinkedIn betroffen.

Wenn man nun eine DNS Abfrage auf den Server 208.91.197.132 durchführt (z.B. mit nslookup http://www.schalt.ch 208.91.197.132 oder mit der Seite network-tools.com über Advanced Tool bei DNS Records) liefert der auch heute noch die falsche IP zurück.

Diese Einträge xyz.ztomy.com decken sich wieder mit dem Beitrag bei heise Security. Der Server 208.91.197.132 gibt sich als authoritative für http://www.schalt.ch aus. Wenn nun also ein Internetzugangsprovider die Daten von diesem Server in seinen DNS Cache übernimmt, bekommen alle Kunden die falsche Webseite ausgeliefert.

Auf der Webseite von confluence-networks.com (Inhaber von 208.91.197.132) findet sich dann auch ein entsprechender Hinweis:

Ich habe mich nun dort mal gemeldet. Hoffe, dass das Problem nun behoben wird…

Nachtrag 3
Scheinbar waren noch andere Kunden der Swisscom betroffen: http://www.inside-it.ch/articles/33469

Am Montagabend waren viele Schweizer Websites stundenlang unerreichbar. Wer zum Beispiel nzz.ch ansurfen wollte, landete auf der Website des Providers Network Solutions. (…)

In der Schweizer Internet-Szene ist man sich allerdings ziemlich sicher, wie inside-it.ch erfahren hat, dass Swisscom schlicht vergessen hat, die Rechnung für die Domain rechtzeitig zu bezahlen. Ein "Anfängerfehler", der aber auch schon anderen Grossunternehmen unterlaufen ist.

Nachtrag 4
Nun scheint es definitiv zu sein. Vgl. Kommentar bei http://www.nzz.ch/aktuell/digital/nzz-dns-1.18135806). Die Swisscom informiert auf ihrer Seite und spricht von einem “Missverständnis”.