zondag 18 maart 2018 21:49

Acties:
  • 0 Henk 'm!
  • DJF3
  • Registratie: Augustus 2006
  • Laatst online: 10-08 11:16

DJF3

Topicstarter
Hi,


Zat vanavond naar mijn DNS server logs te kijken toen ik de volgende DNS queries tegenkwam:

iPhone 6, iOS 10.2.5, ip adres: 10.9.9.31
Mar 18 20:00:26 dnsmasq[26053]: query[A] wqso3jjed63v7aa3.do8vifoc-96fj8-paj1.com from 10.9.9.31
Mar 18 20:00:27 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.157.0.22.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:27 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.0.9.9.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:27 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.home from 10.9.9.31
Mar 18 20:00:32 dnsmasq[26053]: query[A] qcvvbmeixbn3d-m4b6viky.4i78nulcs0he3j.com from 10.9.9.31
Mar 18 20:00:32 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.157.0.22.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:32 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.0.9.9.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:32 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.home from 10.9.9.31
Mar 18 20:00:36 dnsmasq[26053]: query[A] 0k4-5leacxihw-k7r.1smygks2ty6hg9dj.com from 10.9.9.31
Mar 18 20:00:37 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.157.0.22.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:37 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.0.9.9.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:37 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.home from 10.9.9.31
Mar 18 20:00:42 dnsmasq[26053]: query[A] y25-3o7k33uwn.6i6ydc-qize-bp.com from 10.9.9.31
Mar 18 20:00:42 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.157.0.22.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:42 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.0.9.9.10.in-addr.arpa from 10.9.9.31
Mar 18 20:00:42 dnsmasq[26053]: query[PTR] lb._dns-sd._udp.home from 10.9.9.31
DNS Lookups van: wqso3jjed63v7aa3.do8vifoc-96fj8-paj1.com ???

Heb searches gedaan om te kijken of een van deze domain namen bekent zijn: nee.

Wat zou deze wazige DNS queries veroorzaken?

zondag 18 maart 2018 21:55

Acties:
  • 0 Henk 'm!
  • WhatsappHack
  • Registratie: Mei 2011
  • Niet online

WhatsappHack

Al die domeinen lijken niet geregistreerd.
Het kan vanalles zijn. Ik zou zelf meteen gaan zoeken naar malware, maarja. Het hoeft niets te zijn.

Google Chrome flikte dat ook trouwens, maar dat waren veel kortere domeinen. Vroeger tenminste.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zondag 18 maart 2018 23:15

Acties:
  • 0 Henk 'm!
  • Donstil
  • Registratie: Maart 2006
  • Niet online

Donstil

WhatsappHack schreef op zondag 18 maart 2018 @ 21:55:
Al die domeinen lijken niet geregistreerd.
Het kan vanalles zijn. Ik zou zelf meteen gaan zoeken naar malware, maarja. Het hoeft niets te zijn.
Malware op een iPhone? Dat lijkt mij sterk, tenzij hij gejailbreaked is kun je dat wel wegstrepen.

Lijkt mij eerder een app die naar buiten probeert te praten.

My thirsty wanted whiskey. But my hunger needed beans

zondag 18 maart 2018 23:42

Acties:
  • 0 Henk 'm!
  • WhatsappHack
  • Registratie: Mei 2011
  • Niet online

WhatsappHack

Donstil schreef op zondag 18 maart 2018 @ 23:15:
[...]


Malware op een iPhone? Dat lijkt mij sterk, tenzij hij gejailbreaked is kun je dat wel wegstrepen.

Lijkt mij eerder een app die naar buiten probeert te praten.
Of sideloaded apps of een geïnfecteerde app, het zomaar negeren als optie is gevaarlijk.
Wel ben ik het er mee eens dat het waarschijnlijk onschuldig is.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

maandag 19 maart 2018 00:23

Acties:
  • 0 Henk 'm!
  • DJF3
  • Registratie: Augustus 2006
  • Laatst online: 10-08 11:16

DJF3

Topicstarter
Ik zal de komende dagen bijhouden wat ik doe op de telefoon en dit matchen met de dns lookups.

maandag 19 maart 2018 15:10

Acties:
  • 0 Henk 'm!
  • ex87
  • Registratie: Maart 2010
  • Laatst online: 11:56

ex87

Gebruik je Chrome? Die staat daar inderdaad om bekend (nog steeds) zie ook:
https://unix.stackexchang...-random-dns-names-malware

woensdag 21 maart 2018 16:09

Acties:
  • 0 Henk 'm!
  • DJF3
  • Registratie: Augustus 2006
  • Laatst online: 10-08 11:16

DJF3

Topicstarter
Antwoord via een andere weg gekregen:
Dat zijn Multicast/Unicast DNS Service Discovery queries. Ook bekend onder de namen Zeroconf of Bonjour.

dns-sd = DNS Service Discovery

Die queries komen dus niet uit een app maar uit het iOS systeem.
Die Chrome DNS queries zijn ze volgens mij nog niet tegengekomen op iOS.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq