Unbound-Problem: Fake-Zertifikate von regulären Websites?

[BijanK]

Hallo allerseits,

in Docker auf meiner DS 918+ läuft neben anderen Anwendungen unbound+AdGuard seit Längerem. Vor einiger Zeit ist mir einige merkwürdige Symptome aufgefallen, die dazu geführt haben, dass ich unbound vorerst abgeschaltet habe.

Sporadisch erhalte ich bei eingeschaltetem unbound und Zugriff auf einige wenige Website Zertifikatswarnungen (von Safari/macOS), die auf offenkundige Fake-Zertifikate verweisen. Safari warnt mich, dass das von der fraglichen Website angebotene Zertifikat nicht mit der eingegebenen URL übereinstimmt, was richtig ist. Am Namen ist deutlich ein Betrugsversuch erkennbar. Es handelt sich um ganz reguläre Websites, die mir bekannt sind und die normalerweise problemlos laufen. Schalte ich unbound ab, verschwindet das Problem.

Hat jemand dieses Problem beobachtet und weiß Rat, wo ich anfangen soll zu suchen?

Danke!
Bijan

 

[*kw*]

Hi,

schau doch mal hier. Unbound hat ein "kernel-Problem".

 

[alexhell]

@*kw* ich glaube das ist was anderes gemeint

@BijanK ich habe dieses Probleme nicht und ich kann mir nicht vorstellen, dass es an Unbound unbedingt liegt. Probier doch mal nslookup domain wenn unbound an ist und die Meldung kommt und dann mach das aus und führ das gleiche nochmal aus. Dann siehst du ja immerhin wie die Domain auflöst und ob es sich unterscheidet.

 

[*kw*]

Ich wollte mal von allen Seiten "angreifen".

 

[plang.pl]

Kommt halt auch darauf an, welcher DNS von unbound befragt wird. Vielleicht hat der ein Problem.

 

[Benares]

@BijanK, hast du vielleicht eine Fritzbox als Router und nutzt irgendwo den Namen "fritz.box" in irgendeiner Konfiguration oder innerhalb der Suffix-Suchliste?

Ich hab kürzlich von einem ähnlichen Problem gehört, da tauchten dann irgendwelche Zertifikate von Amazon, AWS o.ä. bei irgendwelchen Web-Sites auf. Die Ursache war dann, dass irgendwo "fritz.box" in Verbindung mit irgendwelchen externen Nameservern verwendet wurde und sich jemand "fritz.box" als eigene Domäne registriert hatte. AVM hat wohl vergessen, diese Domain für sich zu registrieren.

 

[*kw*]

@Benares: Danke, allein für diese Info hat sich heute der Blick ins Forum gelohnt. Meine Frau hatte das kürzlich und ich konnte mir keinen Reim drauf machen.

 

[Monacum]

Trat wohl insbesondere auch dann auf, wenn man in der FRITZ!Box einen anderen als den standardmäßigen DNS hinterlegt hat, der dann schon die neuen Infos über die Domain hatte:

• https://www.chip.de/news/FritzBox-N...ebseite-von-Unbekannten-gehakt_185124967.html
• https://www.t-online.de/digital/akt...r-fritz-box-adresse-kann-probleme-machen.html

Ich habe zwar die standardmäßigen eingestellt, aber derzeit immer noch einen 404, wenn ich die Seite aufrufe.

 

[BijanK]

Danke erstmal an alle für die schnellen und zahlreichen Tipps.

@Benares, nein, keine Fritz.Box im Einsatz, sondern Unifi-Netzwerk mit entsprechender Hardware. Ob das Problem analog hier auch bekannt ist, kann ich nicht sagen. Muss ich mal recherchieren. Amazon/AWS-Zertifikate waren in jedem Fall dabei; daran erinnere ich mich.

Ob die zertifizierten Seiten tatsächlich „maliziös“ waren, oder ob es sich nur um “einfache“ Umleitungen anderswohin als gedacht handelte, kann ich nicht sagen. Evtl. war meine Aussage zu den „Betrugsversuchen“ evtl. nicht korrekt. Auch das müsste ich mir

@alexhell, danke ebenso, das probiere Ich das nächste Mal!

 

[Benares]

Momentan ist "fritz.box" wohl (wieder?) ein Alias für "example.com" und man landet auf einer Seite der iana.

 

[BijanK]

Also, heute morgen mal Folgendes erlebt:

1. Aufruf von https://www.jauce.com

2. Safari sagt:



3. nslookup im Terminal gibt nichts Auffälliges aus:



Übrigens läuft Adguard auf der 201 und holt sich den DNS auf der 200 (unbound). Interne Adressen ("*.bijankafi.de") werden über den lokalen Router erledigt:



4. Nun wird’s schon interessanter: rufe ich diese IP im Browser auf, sehe ich die nächste Zertifikatswarnung:



5. Und ein traceroute auf diese Adresse spuckt aus (setup.ui.com ist wohl das hiesige Unifi-Netz):



Interessanterweise kann ich www.jauce.com mittlerweile als Klarnamen problemlos aufrufen. Typischerweise verschwindet dieses Problem schon beim zweiten oder dritten Aufruf wieder.

Kann jemand sich da irgendeinen Reim drauf machen?

 

[alexhell]

Ich hab eben auch ein nslookup probiert und ich bekomme die selbe IP zurück. Das heißt ja, dass unbound richtig auflöst. Passiert das mit jedem Client? Oder könntest du dir was eingefangen haben?

 

[BijanK]

Es passiert auch auf einem iPhone im selben Netz (siehe Bild oben).

Ich kann mir sicher was eingefangen haben – die DS ist notwendigerweise über Dienste im Netz erreichbar –, aber ich nehme Sicherheit ernst und das Ding ist eigentlich mit jedem Trick im Buch, der mir einfällt, "locked down". Der "Sicherheitsberater" spuckt nichts nennenswertes aus und das Unifi-Netz mit Unifi-Router dran blockt ebenfalls nochmal stark.

Gibt es eigentlich bewährte Methode, eine DS auf rootkits usw. zu prüfen?

Ich werden jetzt mal AdGuard abschalten und den lokalen Mac direkt über unbound laufen lassen um zu sehen, ob es dann noch auftritt.

 

[alexhell]

Welche Seiten betrifft es bei dir? Ich habe eben nochmal die Seite die du im Screenshot aufgerufen hast selber aufgerufen:


Vielleicht liegt es an dem Betreiber? Weil die Domain löst weiter auf die selbe IP auf...

 

[Benares]

Vorsicht: www.jauce.com und jauce.com sind unterschiedliche Ziele. www.jauce.com geht, bei jauce.com landet man woanders und bekommt den o.g. Zertifikatsfehler. Scheint irgendwas selbstsigniertes zu sein, zudem längst abgelaufen.

 

[alexhell]

Jetzt wo du es sagst....

 

[Monacum]

Momentan ist "fritz.box" wohl (wieder?) ein Alias für "example.com" und man landet auf einer Seite der iana.

Wer sich übrigens so wie ich fragt, warum er beim Aufruf von fritz.box umgeleitet wird, obwohl er in seiner FRITZ!Box die Standard-DNS-Einstellungen verwendet: Bei Apple-Devices führt auch die Verwendung des iCloud-Relays zur falschen Anzeige, weil die Server von Apple hier einen eigenen DNS verwenden.