• DJF3
  • Registratie: Augustus 2006
  • Laatst online: 08-01 12:45
Hi,


Zat vanavond naar mijn DNS server logs te kijken toen ik de volgende DNS queries tegenkwam:

iPhone 6, iOS 10.2.5, ip adres: 10.9.9.31
Mar 18 20:00:26 dnsmasq[26053]: query[A] wqso3jjed63v7aa3.do8vifoc-96fj8-paj1.com from 10.9.9.31
Mar 18 20:00:27 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.157.0.22.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:27 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.0.9.9.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:27 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.home from 10.9.9.31
Mar 18 20:00:32 dnsmasq[26053]: query[A] qcvvbmeixbn3d-m4b6viky.4i78nulcs0he3j.com from 10.9.9.31
Mar 18 20:00:32 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.157.0.22.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:32 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.0.9.9.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:32 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.home from 10.9.9.31
Mar 18 20:00:36 dnsmasq[26053]: query[A] 0k4-5leacxihw-k7r.1smygks2ty6hg9dj.com from 10.9.9.31
Mar 18 20:00:37 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.157.0.22.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:37 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.0.9.9.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:37 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.home from 10.9.9.31
Mar 18 20:00:42 dnsmasq[26053]: query[A] y25-3o7k33uwn.6i6ydc-qize-bp.com from 10.9.9.31
Mar 18 20:00:42 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.157.0.22.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:42 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.0.9.9.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:42 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.home from 10.9.9.31
DNS Lookups van: wqso3jjed63v7aa3.do8vifoc-96fj8-paj1.com ???

Heb searches gedaan om te kijken of een van deze domain namen bekent zijn: nee.

Wat zou deze wazige DNS queries veroorzaken?
Al die domeinen lijken niet geregistreerd.
Het kan vanalles zijn. Ik zou zelf meteen gaan zoeken naar malware, maarja. Het hoeft niets te zijn.

Google Chrome flikte dat ook trouwens, maar dat waren veel kortere domeinen. Vroeger tenminste.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

WhatsappHack schreef op zondag 18 maart 2018 @ 21:55:
Al die domeinen lijken niet geregistreerd.
Het kan vanalles zijn. Ik zou zelf meteen gaan zoeken naar malware, maarja. Het hoeft niets te zijn.
Malware op een iPhone? Dat lijkt mij sterk, tenzij hij gejailbreaked is kun je dat wel wegstrepen.

Lijkt mij eerder een app die naar buiten probeert te praten.

My thirsty wanted whiskey. But my hunger needed beans

Donstil schreef op zondag 18 maart 2018 @ 23:15:
[...]


Malware op een iPhone? Dat lijkt mij sterk, tenzij hij gejailbreaked is kun je dat wel wegstrepen.

Lijkt mij eerder een app die naar buiten probeert te praten.
Of sideloaded apps of een geïnfecteerde app, het zomaar negeren als optie is gevaarlijk.
Wel ben ik het er mee eens dat het waarschijnlijk onschuldig is.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)


  • DJF3
  • Registratie: Augustus 2006
  • Laatst online: 08-01 12:45
Ik zal de komende dagen bijhouden wat ik doe op de telefoon en dit matchen met de dns lookups.

  • ex87
  • Registratie: Maart 2010
  • Laatst online: 11:53
Gebruik je Chrome? Die staat daar inderdaad om bekend (nog steeds) zie ook:
https://unix.stackexchang...-random-dns-names-malware

  • DJF3
  • Registratie: Augustus 2006
  • Laatst online: 08-01 12:45
Antwoord via een andere weg gekregen:
Dat zijn Multicast/Unicast DNS Service Discovery queries. Ook bekend onder de namen Zeroconf of Bonjour.

dns-sd = DNS Service Discovery

Die queries komen dus niet uit een app maar uit het iOS systeem.
Die Chrome DNS queries zijn ze volgens mij nog niet tegengekomen op iOS.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee