Hallo, mir ist gerade aufgefallen, das wenn ich microcontroller.net (c statt k) aufrufe, ich 5, 6 mal weitergeleitet werde und dann mein Antiviren programm eine Seite blockiert mit der Meldung dass es sich hier um ein Trojaner handelt der versucht hat sich via Drive-By Download einzuschleusen. Also mikrocontroller.net -> Diese Seite microcontroller.net -> Virus Sollte man sowas nicht irgendwo melden? Man kann doch sicherlich den Hoster irgendwie rausfinden und sich dann mit dem Hoster in Kontakt darüber setzen? Ich schließ aber ne Wette ab, das is sicherlich ein Russicher, Rumänischer, Bulgarischer oder sonst was :|
Wombat schrieb: > Sollte man sowas nicht irgendwo melden? Man kann doch sicherlich den > Hoster irgendwie rausfinden und sich dann mit dem Hoster in Kontakt > darüber setzen? Mach es selbst: Abuse Contact Email: abuse@moniker.com da kannst du suchen: https://www.united-domains.de/
Who is Abfrage:
1 | Domain Name: microcontroller.net |
2 | Registry Domain ID: 1096957_DOMAIN_NET-VRSN |
3 | Registrar WHOIS Server: whois.moniker.com |
4 | Registrar URL: http://www.moniker.com |
5 | Updated Date: 2014-03-13T11:15:44.0Z |
6 | Creation Date: 1998-04-01T05:00:00.0Z |
7 | Registrar Registration Expiration Date: 2015-03-31T04:00:00.0Z |
8 | Registrar: Moniker Online Services LLC |
9 | Registrar IANA ID: 228 |
10 | Registrar Abuse Contact Email: abuse@moniker.com |
11 | Registrar Abuse Contact Phone: +1.9546071294 |
12 | Domain Status: clientDeleteProhibited |
13 | Domain Status: clientTransferProhibited |
14 | Domain Status: clientUpdateProhibited |
15 | Registry Registrant ID: WP-4 |
16 | Registrant Name: Moniker Privacy Services |
17 | Registrant Organization: Moniker Privacy Services |
18 | Registrant Street: 2320 NE 9th St, Second Floor |
19 | Registrant City: Fort Lauderdale |
20 | Registrant State/Province: FL |
21 | Registrant Postal Code: 33304 |
22 | Registrant Country: US |
23 | Registrant Phone: +1.8006886311 |
24 | Registrant Phone Ext: |
25 | Registrant Fax: +1.9545859186 |
26 | Registrant Fax Ext: |
27 | Registrant Email: 4fcc1e3e3977628583ffff93b7b99456d8106748469074733b2bca9fd6fbb12c@microcontroller.net.whoisproxy.org |
28 | Registry Admin ID: WP-4 |
29 | Admin Name: Moniker Privacy Services |
30 | Admin Organization: Moniker Privacy Services |
31 | Admin Street: 2320 NE 9th St, Second Floor |
32 | Admin City: Fort Lauderdale |
33 | Admin State/Province: FL |
34 | Admin Postal Code: 33304 |
35 | Admin Country: US |
36 | Admin Phone: +1.8006886311 |
37 | Admin Phone Ext: |
38 | Admin Fax: +1.9545859186 |
39 | Admin Fax Ext: |
40 | Admin Email: 4fcc1e3e3977628583ffff93b7b99456d8106748469074733b2bca9fd6fbb12c@microcontroller.net.whoisproxy.org |
41 | Registry Tech ID: WP-4 |
42 | Tech Name: Moniker Privacy Services |
43 | Tech Organization: Moniker Privacy Services |
44 | Tech Street: 2320 NE 9th St, Second Floor |
45 | Tech City: Fort Lauderdale |
46 | Tech Postal Code: 33304 |
47 | Tech State/Province: FL |
48 | Tech Country: US |
49 | Tech Phone: +1.8006886311 |
50 | Tech Phone Ext: |
51 | Tech Fax: +1.9545859186 |
52 | Tech Fax Ext: |
53 | Tech Email: 4fcc1e3e3977628583ffff93b7b99456d8106748469074733b2bca9fd6fbb12c@microcontroller.net.whoisproxy.org |
54 | Name Server: ns1.fastpark.net |
55 | Name Server: ns2.fastpark.net |
56 | DNSSEC: unsigned |
57 | Whoisprivacy: 4 |
58 | URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ |
59 | >>> Last update of WHOIS database: 2014-09-28T16:19:32.0Z <<< |
60 | |
61 | Registry Billing ID: WP-4 |
62 | Billing Name: Moniker Privacy Services |
63 | Billing Organization: Moniker Privacy Services |
64 | Billing Street: 2320 NE 9th St, Second Floor |
65 | Billing City: Fort Lauderdale |
66 | Billing State/Province: FL |
67 | Billing Postal Code: 33304 |
68 | Billing Country: US |
69 | Billing Phone: +1.8006886311 |
70 | Billing Phone Ext: |
71 | Billing Fax: +1.9545859186 |
72 | Billing Fax Ext: |
73 | Billing Email: 4fcc1e3e3977628583ffff93b7b99456d8106748469074733b2bca9fd6fbb12c@microcontroller.net.whoisproxy.org |
74 | ; Please register your domains at; http://www.moniker.com; This data is provided by Moniker Online Services, LLC. |
75 | ; for information purposes, and to assist persons obtaining information |
76 | ; about or related to domain name registration records. |
77 | ; Moniker Online Services, LLC. does not guarantee its accuracy. |
78 | ; By submitting a WHOIS query, you agree that you will use this data |
79 | ; only for lawful purposes and that, under no circumstances, you will |
80 | ; use this data to |
81 | ; 1) allow, enable, or otherwise support the transmission of mass |
82 | ; unsolicited, commercial advertising or solicitations via E-mail |
83 | ; (spam); or |
84 | ; 2) enable high volume, automated, electronic processes that apply |
85 | ; to this WHOIS server. |
86 | ; These terms may be changed without prior notice. |
87 | ; By submitting this query, you agree to abide by this policy. |
Also betreibt unser netter Freund seine Domain in Florida, Amerika Nun, ich bin Schüler, und mein Englisch ist noch nicht alzu gut. Ich trau mir es nicht wirklich zu dort hinzuschreiben :(
Wombat schrieb: > Sollte man sowas nicht irgendwo melden? https://www.google.com/safebrowsing/report_badware/ > Man kann doch sicherlich den > Hoster irgendwie rausfinden und sich dann mit dem Hoster in Kontakt > darüber setzen? Das hat vermutlich schlechte Erfolgsaussichten.
Wombat schrieb: > Also betreibt unser netter Freund seine Domain in Florida, Amerika Schon der Namen "Moniker Privacy Services" roch mir nach einer Organisation zur Verschleierung des eigentlichen Besitzers der Domain. Ist es wohl auch: http://www.moniker.com/domains/domain-privacy Der Besitzer der Domain kann seinen Sitz also ebenso gut in Buxtehude haben. Nur wird das schwer zu ermitteln sein. > Ich trau mir es nicht wirklich zu dort hinzuschreiben :( Wär auch eher was für Andreas, würde ich meinen. Aber wie da die Aussichten sind...
:
Bearbeitet durch User
Andreas Schwarz schrieb: > Wombat schrieb: > Sollte man sowas nicht irgendwo melden? > > https://www.google.com/safebrowsing/report_badware/ > > Man kann doch sicherlich den Hoster irgendwie rausfinden und sich dann > mit dem Hoster in Kontakt darüber setzen? > > Das hat vermutlich schlechte Erfolgsaussichten. Hmm.... Wenn man an abuse@ mailt reagieren die recht fix. Ich würde das tun, kann aber das Verhalten nicht nachvollziehen. Grüsse, R.
Interessant ist, dass z.Zt. beim Aufruf der Domain, eine endlos Schleife durchlaufen wird. Die nie zum Ende kommt. microcontroller.net ist: http<dangerous>://splitter.ndsplitter.com/?r=3&mid=6&f=DH5&domain=microcontroller.net Was sagen die Experten dazu?
:
Bearbeitet durch Moderator
OldMan schrieb: > Interessant ist, dass z.Zt. beim Aufruf der Domain, eine endlos > Schleife > durchlaufen wird. Die nie zum Ende kommt. > microcontroller.net ist: > http://splitter.ndsplitter.com/?r=3&mid=6&f=DH5&do... > > Was sagen die Experten dazu? An die Admins, könnt ihr bitte den letzten Link von OldMan löschen? Der hat mir direkt mein SmartPhone lahm gelegt. Mein Fehler! Grüsse, R. Edit: Es wurde wohl etwas installiert. Das Handy ist aber nur noch am rödeln und die Firewall feiert Party. Am Ende der Session kam irgendeine "ich habe gewonnen" Nachricht. Wie man das halt kennt.
Rene H. schrieb: > könnt ihr bitte den letzten Link von OldMan löschen? Habe ihn mal so editiert, dass man ihn manuell nacheditieren muss, um sich die URL anzusehen.
1 | $ telnet splitter.ndsplitter.com 80 |
2 | Trying 144.76.1.130... |
3 | Connected to splitter.ndsplitter.com. |
4 | Escape character is '^]'. |
5 | GET /?r=3&mid=6&f=DH5&domain=microcontroller.net HTTP/1.0 |
6 | Host: splitter.ndsplitter.com |
7 | |
8 | HTTP/1.1 200 OK |
9 | Server: nginx/1.1.19 |
10 | Date: Tue, 30 Sep 2014 08:13:59 GMT |
11 | Content-Type: text/html |
12 | Connection: close |
13 | X-Powered-By: PHP/5.3.10-1ubuntu3.14 |
14 | |
15 | <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
|
16 | <html xmlns="http://www.w3.org/1999/xhtml"> |
17 | <head>
|
18 | <meta http-equiv="Content-Type" content="text/html;charset=utf-8"/> |
19 | <title></title>
|
20 | <link rel="shortcut icon" hrеf="favicon.ico" type="image/x-icon"/> |
21 | <script type="text/javascript"> |
22 | function f(){ |
23 | var get = window.location.search; |
24 | var to = '/go.php'; |
25 | document.location.hrеf = to + get; |
26 | |
27 | }
|
28 | |
29 | window.onLoad = f(); |
30 | |
31 | </script>
|
32 | </head>
|
33 | <body>
|
34 | |
35 | </body>
|
36 | </html>
|
37 | |
38 | Connection closed by foreign host. |
39 | $ telnet splitter.ndsplitter.com 80 |
40 | Trying 144.76.1.130... |
41 | Connected to splitter.ndsplitter.com. |
42 | Escape character is '^]'. |
43 | GET /go.php?r=3&mid=6&f=DH5&domain=microcontroller.net HTTP/1.0 |
44 | Host: splitter.ndsplitter.com |
45 | |
46 | HTTP/1.1 200 OK |
47 | Server: nginx/1.1.19 |
48 | Date: Tue, 30 Sep 2014 08:15:34 GMT |
49 | Content-Type: text/html; charset=utf8 |
50 | Connection: close |
51 | X-Powered-By: PHP/5.3.10-1ubuntu3.14 |
52 | Set-Cookie: XID=jiv0nc2c1qfpincbbb55u6q7u5; path=/ |
53 | Expires: Thu, 19 Nov 1981 08:52:00 GMT |
54 | Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 |
55 | Pragma: no-cache |
56 | |
57 | Connection closed by foreign host. |
Wenn ich ihm den Keks mit auf die Reise gebe, kommt dennoch bloß ein leeres Dokument zum Vorschein. Vielleicht reagiert der Salat ja nur auf passende Browser-Kennungen „bösartig“?
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=splitter.ndsplitter.com In den letzten 90 Tagen hat splitter.ndsplitter.com scheinbar als Überträger für die Infizierung von 3 Website(s) fungiert, darunter karate.pila.pl/, acadjourn.net/, acurausa.com/. Wenn man ein bisschen sucht, findet man weitere Domains: * bhug.org * asustek.com (hätte Asus aber auch selbst registrieren sollen...) * googe.fr; googl.fr * weitere: http://archive.today/splitter.ndsplitter.com Sollte mich das wundern? Ich glaube nicht: Diese Website wurde über 1 Netzwerk(e) gehostet (z. B. AS24940 (HETZNER-AS)).
Lurch schrieb: > Diese Website wurde über 1 Netzwerk(e) gehostet (z. B. AS24940 > (HETZNER-AS)). Dort wiederum könnte doch aber eine Beschwerde durchaus Sinn haben, oder? Ich kann mir gut vorstellen, dass sie derartige Aktivitäten in ihren Geschäftsbedingungen untersagen.
Die Seite wurde vom Netz genommen:
1 | Whois Server Version 2.0 |
2 | |
3 | Domain names in the .com and .net domains can now be registered |
4 | with many different competing registrars. Go to http://www.internic.net |
5 | for detailed information. |
6 | |
7 | NDSPLITTER.COM |
8 | NDSPLITTER.COM |
9 | |
10 | To single out one record, look it up with "xxx", where xxx is one of the |
11 | records displayed above. If the records are the same, look them up |
12 | with "=xxx" to receive a full display for each record. |
13 | |
14 | >>> Last update of whois database: Tue, 30 Sep 2014 17:18:19 UTC <<< |
15 | |
16 | |
17 | <snip><snap> |
Die Seite scheint wieder da zu sein. Ein Aufruf von skyrim.nexusmod.com wird z.B. auf ww5.skyrim.nexusmod.com umgeleitet und weiter auf <http(aufgepasst)://splitter.ndsplitter.com/?r=4&f=DH5&mid=6&domain=nexusmod.com&erc=ab>. Little Snitch hat sie eben geblockt und auf der aufrufenden Seite steht: "[...]Firefox kann keine Verbindung zu dem Server unter splitter.ndsplitter.com aufbauen.[...]" Wie's aussieht (http://website.informer.com/splitter.ndsplitter.com) ist sie immer noch bei Hetzner gelistet. http://domainsigma.com/whois/splitter.ndsplitter.com sieht sie als familienfreundlich und Malwarefrei an.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.