Hallo,

heute morgen hat AVAST beim Einschalten meines Computers die Meldung "DNS wurde gekapert" anzeigt.

Ich habe dann erst einmal diesen Computer ausgeschaltet und habe mit einem anderen Gerät und per Internet-Stick (also ohne Verwendung meines Routers) etwas recherchiert.

Mein Eindruck ist, dass die Umleitung an bösartige Remote-DNS-Server extrem gefährlich ist; es sich aber auch um falschen Alarm handeln kann, weil Provider wie die Telekom ggf. selbst etwas umleiten.

Ich bin dann den Empfehlungen von AVAST gefolgt:

Mein Router ist Speedport W 723V.

Der DNS-Rebind-Schutz wird als aktiv angezeigt.

Unter DSL-Zugangsdaten waren keine DNS-Server angegeben (also automatishe Zuteilung durch die Telekom).

Unter IP-Adressinformationen wurden mir folgende DNS-Server angezeigt:

IPv4

Primärer DNS-Server: 217.237.149.142

Sekundärer DNS-Server: 217.237.150.205

IPv6

Primärer DNS-Server: 2003:180:2:4000::53

Sekundärer DNS-Server: 2003:180:2:3000:53

Dabei scheint es sich zwar um Telekom-Server zu handeln, die laut anderer Foreneinträge aber veraltet sind!? In der folgenden Liste tauchen sie nicht auf (https://www.netrix.de/dns-server-liste/).

Ich habe daraufhin unter DSL-Zugangsdaten (wie von AVAST empfohlen) die Google Public DNS eingetragen:

IPv4

Primärer DNS-Server: 8.8.8.8

Sekundärer DNS-Server: 8.8.4.4

IPv6

Primärer DNS-Server: 2001:4860:4860::8888

Sekundärer DNS-Server: 2001:4860:4860::8844

Anschließend meldet der Netzwerk-Inspektor von AVAST keine Probleme mehr.

Was mich sehr wundert ist allerdings, dass mir unter IP-Adressinformationen immer noch die ursprünglichen Adressinformationen angezeigt werden (also nicht die von Google). Unter DSL-Zugangsdaten tauchen aber auch nach Neustart die Google-Adressinformationen auf.

Es scheint also keine akute Gefahr zu bestehen. Ich würde aber trotzdem gerne verstehen, was hier passiert ist. Also ob tatsächlich in der letzten Nacht die Adressinformationen der DNS-Server in meinem Router verändert wurden und AVAST die alten Adressinformationen als Gefahr wahrgenommen hat. Insbesondere würde mich natürlich interessieren, ob ich die Google-Adressinformationen lassen sollte oder wieder auf die automatische Zuteilung durch die Telekom zurückwechseln kann. (Was mir sehr lieb wäre.) Oder ob ich feste Telekom-Adressinformationen einstellen sollte.

Vielen Dank

Tobias

P.S.: Unter System-Meldungen ist mir noch aufgefallen, dass regelmäßig (z.T. mehrmals am Tag; dann aber auch einige Tage nicht mehr) folgende Meldungen auftauchen:

"DRP003","Das Gerät hat eine DNS Antwort localhost.sensic.net gefiltert, die einem möglichen DNS rebind Angriff zugeordet werden konnte."

"DRP003","Das Gerät hat eine DNS Antwort dns.msftncsi.com gefiltert, die einem möglichen DNS rebind Angriff zugeordet werden konnte."

Die Meldungen gehen zurück bis 05.08.2024 und am 06.08.2024 taucht erstmals eine dieser Meldungen auf. Das hat mit dem aktuellen Problem also offensichtlich nichts zu tun und bedeutet wahrscheinlich nur, dass DNS-Rebind-Schutz funktioniert!?