DNS-Server auf Ubuntu (Linux) überprüfen

Noch immer treibt der DNSChanger auf dem heimischen Rechner sein Unwesen. Wie Sie Ihre IP-Einstellungen überprüfen können, haben wir bereits hier (Windows) und hier (Mac) gezeigt.

Wir zeigen Ihnen hier, wie Sie die DNS-Einträge auf Linux überprüfen und herausfinden können zu welcher Adresse dieser gehört.

1.) Starten Sie ein Terminal (im Suchfenster Terminal eingeben).

2.) Geben Sie in die Kommandozeile ein:

cat /etc/resolv.conf

3.) Die eingetragenen DNS-Server stehen unter “nameserver”.

Sind die hier eingetragenen IP-Adressen auch wirklich offizielle DNS-Server?

Das können Sie mittels einer whois-Abfrage prüfen.

4.) Starten Sie eine whois-Abfrage mit jeder der angegebenen IP-Adresse ins Terminal ein:

whois “IP-Adresse”

5.) Jetzt erhalten Sie die Daten zu der eingegebenen IP-Adresse. Überprüfen Sie die Einträge und achten Sie darauf, dass hier die Daten Ihres Providers auftauchen! Sollten Sie seltsame Einträge entdecken oder nicht sicher sein, ob die Einträge wirklich zu Ihrem Provider passen, kontaktieren Sie den jeweiligen Support. Alternativ können Sie auch unser Support-Forum für eine Auskunft verwenden.

Gibt es spezielle IP-Adressen, die im Vorhinein als suspekt gelten?

Ja, der Schädling DNSChanger manipuliert Ihre DNS-Einstellungen und ersetzt die eingetragenen IP-Adressen Ihres Providers mit denen des Botnetzes. Ihre Anfragen landen somit nicht auf dem originalen DNS sondern auf denen der Angreifer.

Die DNS-Server der Angreifer sind in den folgenden Adressbereichen zu finden:

  • 85.255.112.0 bis 85.255.127.255
  • 67.210.0.0 bis 67.210.15.255
  • 93.188.160.0 bis 93.188.167.255
  • 77.67.83.0 bis 77.67.83.255
  • 213.109.64.0 bis 213.109.79.255
  • 64.28.176.0 bis 64.28.191.255

Sollten eine IP-Adresse aus einem dieser Bereiche als DNS-Sever eingetragen sein, sind Sie mit dem DNSChanger infiziert.

Wenn Sie Fragen zu dem Thema haben oder Hilfe zu den DNS-Einstellungen benötigen, registrieren Sie sich kostenlos in unserem Support-Forum.

21 thoughts on “DNS-Server auf Ubuntu (Linux) überprüfen”

  1. bei mir steht in der datei “nameserver 192.168.178.1”. also bin ich nicht inviziert, aber whios meldet so komische Sachen wie IANA-IP-ARIN in USA, gehöhrt das den FBI ?

    1. Die IANA (http://www.iana.org) kann man sich als zentrale Verwaltungsstelle für die Adressen im Internet vorstellen. Sie vergibt IP-Adressbereich im Internet. Wenn du eine Seite aufrufst (z.B. http://www.botfrei.de) muss diese dann in eine IP-Adresse (217.72.194.220) aufgelöst werden. Dafür sind DNS-Server zuständig.
      (zur Info: Unter Linux kann man mit Hilfe des Befehls nslookup http://www.botfrei.de oder dig http://www.botfrei.de die IP-Adresse ermitteln)

      Bei der lokalen IP-Adresse 192.168.178.1 wird durch die whois-Anfrage die IANA zurückgeliefert, da durch diese festgelegt ist, dass der Adressbereich 192.168.0.0 – 192.168.255.255 lokal verwendet werden kann und z.B. nicht botfrei.de gehört.

  2. Bei mir unter lubuntu: server can’t find http://www.botfrei.de: NXDOMAIN
    (darüber steht:) Server: 192.168.2.1
    Adress: -genauso mit einem X und einer zweistelligen Zahl dahinter-
    unter dig: eine Zeile, bei der die zweite Angabe vorne und die obige Serverzahlen in Klammern dahinter stehen.
    Das heißt aber doch wohl nur Telekom und Entwarnung. Oder?

  3. Ich bekomme über meinen WLan Router dessen IP als DNS. Dieser wiederum verwendet den DSL Router als DNS. Und dieser wiederum verwendet die zwei DNS von meinem ISP 😉

  4. Was ist mit Routern? Die könnten mit UPNP und Default-Passwort auch betroffen sein. Ist da was bekannt?

    1. Ja, es sind uns Fälle bekannt bei denen über die Standardpasswörter die DNS-Einstellungen im Rooter manipuliert wurden!

      Grüße,
      TK, ABBZ

  5. Mich würde ja mal der Infektionsweg bei Linux interessieren.
    Sicher eine Browsergeschichte.

    Grüße, Ich_weiß_nix

    1. Mgl. wäre dies, wenn aus Unwissenheit ein Programm installiert wird (in Form eines Trojaners), das nach Eingabe des root-Passwortes Manipluationen an “/etc/resolv.conf” durchführt!

      Bekannt ist uns so ein Fall noch nicht, aber denkbar!

      Grüße,
      TK, ABBZ

  6. Mich würde auch mal interessieren wie man ein Linux/Unix Sytem “infizieren” will ???
    Kann das mal sein das hier Panik gemacht wird ? Jeder SysAdmin weiß das daß ja wohl ziemlicher schwachsinn ist von dem hier geredet wird. um auf einem linux/unix system die konfiguration zu ändern root rechte erfoderlich sind. also erstmal ein rootkit installieren und dann den ominösen dns changer. was ein schwachsinn……

    1. Hallo linuxer,
      ein bisschen recherchieren im Web und du wirst fündig werden. Vielleicht weißt du auch, dass die ersten Viren überhaupt auf einem Unix System liefen und 1983 von Fred Cohen entwickelt wurden…

      Gruß ABBZ

  7. Servus,
    an alle, die sich mit Linux noch nicht so auskennen (wie ich): Falls ihr als Nameserver auch 192.168.178.1 drinstehen habt, dann ist das nur eure IP-Adresse im lokalen Netzwerk.
    Die richtige habe ich über meine Fritzbox herausgefunden. Dort steht gleich nach Eingabe des Passwortes auf der Startseite “… verbunden seit X Stunden.. IP-Adresse z.B. 91.111.111.11. DAS ist die Adresse, die ihr im Terminal eingeben müsst als “whois 91.111.111.11”. Und dann müssten die Daten eures Providers (bei mir die Telekom) rauskommen.
    Falls ihr immer noch nicht sicher seid, dann könnt ihr die IP-Adresse auch unter “dns-changer.eu” eingeben.
    Mfg

Kommentare sind geschlossen.