Woraus besteht in Firefox ein Lesezeichen unter der Haube?

    Hallo zusammen

    Gemäss

    Retefe Bankentrojaner
    E-Banking ist seit seiner Entstehung ein attraktives Tummelfeld für Betrüger. Oft wird auf spezielle Schadsoftware, auf sogenannte Bankentrojaner,…
    securityblog.switch.ch

    gibt es einen Banking Trojaner "Retefe".

    Dieser macht folgendes:

    Zitat

    1. Auf dem PC des Opfers wird der Eintrag des DNS-Servers auf einen bösartigen DNS-Server geändert.

    2. Auf dem PC des Opfers wird ein gefälschtes Root-Zertifikat installiert, siehe auch unser kürzlich veröffentlichten Blogartikel zu diesem Thema.

    Frage: Könnte man die durch den Trojaner verursachte Änderung des DNS-Servers ("siehe oben: 1.") austricksen, indem man die Bank Homepage via Lesezeichen aufrufen würde?

    Oder anders gefragt: Bestehen die Lesezeichen aus dem Namen (z.B. https://www.ubs.com/ch/de.html) oder aus der Adresse in Zahlenform (z.B. 193.134.111.71) ?

    Eine Antwort würde mich freuen. Danke.

    (Bitte keine Kommentare wie: Mit der nötigen Vorsicht beim E-Mail lesen wirst Du Dir gar keinen solchen Trojaner einfangen oder ähnliches, weil das die Frage nicht beantwortet.

    Bitte nur antworten, wenn ihr die Frage wirklich beantworten könnt. Alles andere wäre Off-Topic. Besten Dank. (Und nein, ich habe mir keinen Trojaner eingefangen, mache mir aber manchmal einige Gedanken dazu.))

    2 Mal editiert, zuletzt von Bafire (3. Januar 2023 um 22:48)

    Dein Zitat sagt es doch deutlich: Umleitung durch Veränderung. Und das betrifft jeglichen Traffic und hat mit Lesezeichen gar nichts zu tun.

    Wenn du wissen willst, wie ein Lesezeichen aussieht, schau mit einem HexEditor in die places.sqlite oder mit einem Sqlite-Programm. Hat aber mit Retefe nichts zu tun, macht da auch nichts dran.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

    Danke für den Tipp mit der Datei "places.sqlite".

    Ich habe dort mal reingeschaut. Ich finde dort den Namen des Lesezeichens z.B. "Orbitalmodell" aber erstaunlicherweise finde ich in diesem Datensatz weder die zugehörige Internetadresse noch die IP-Adresse.

    Was habe ich übersehen?

    Im Bild sind alle Spalten sichtbar:

    2 Mal editiert, zuletzt von Bafire (3. Januar 2023 um 22:28)

    Weil Firefox sowas nicht speichert? Warum auch? Dafür hat es doch die DNS-Auflösung. Deswegen schrieb ich auch, dass der Trojaner und die Lesezeichen überhaupt keinen Zusammenhang haben, weil die gar nicht das Ziel sind. Ziel ist es, durch Umleitung an sensible Daten zu gelangen, Logins, Passwörter, sonstige persönliche Daten.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

    Danke .DeJaVu

    Zitat von .DeJaVu

    Weil Firefox sowas nicht speichert?

    Wenn ich in Firefox folgendes wähle:
    -> Menü-> Lesezeichen-> Lesezeichen verwalten
    Dann öffnet sich die Bibliothek und dann suche ich dort nach "Orbitalmodel" (Was der Name des Lesezeichens ist).

    Dann zeigt es mir in der Bibliothek die Internetadresse an:

    Woher hat jetzt Firefox die Internetadresse "http://chempage.alp.dillingen.de/allgem/orbitale/orbmod.htm" ?

    Die war wirklich nirgends gespeichert?

    Lass es bitte. Du hast nach dem Zusammenhang zwischen Retefe und Lesezeichen gefragt - eine sehr einfache und doch verständliche Antwort bekommen. Wenn du allgemeine Fragen zu Firefox hast, erstelle bitte ein neues Thema, statt von Höcksken auf Stöcksken zu kommen, ohne das vorherige überhaupt verstanden zu haben. Oder stelle allgemeine Fragen hier (folgender Link), es wurde bereits alles in dem Zusammenhang niedergeschrieben:

    Mozilla-Hilfe

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

    OK lassen wir die Abzweigung mit "places.sqlite".

    Ich vermute mal, dass sich Dein Statement ...

    Zitat: "Weil Firefox sowas nicht speichert?"

    ... aus Post #4 nur auf die IP Adresse bezieht und nicht auf die Internetadresse.

    Das würde Sinn machen, denn wenn ich es richtig verstanden habe, ist es ja die Aufgabe des DNS-Servers die IP herauszufinden.


    A) Was wäre jetzt, wenn ich in der Adresszeile des Browsers die IP Adresse (z.B. 193.134.111.71) eintippen würde? Könnte ich damit die durch den Trojaner verursachte Änderung des DNS-Servers ("siehe oben: 1.") austricksen/umgehen?

    Und wenn ja:
    B) Wie wäre es , wenn ich ein Lesezeichen erstellen würde, das nicht die Internetadresse im Feld Adresse enthält, sondern die IP Adresse:

    Könnte ich mit diesem Lesezeichen auch die durch den Trojaner verursachte Änderung des DNS-Servers ("siehe oben: 1.") austricksen/umgehen?

    Zitat von .DeJaVu

    Weil Firefox sowas nicht speichert? Warum auch? Dafür hat es doch die DNS-Auflösung.

    Deine Aussage trifft lediglich auf die Auflösung von Domain auf IP-Adresse zu. Als Antwort darauf, wo die Internetadresse gespeichert wird, was Bafire aber auch fragte, ist das falsch. Selbstverständlich muss Firefox das Ziel eines Lesezeichens auch irgendwo speichern.

    Zitat von Bafire

    Ich habe dort mal reingeschaut. Ich finde dort den Namen des Lesezeichens z.B. "Orbitalmodell" aber erstaunlicherweise finde ich in diesem Datensatz weder die zugehörige Internetadresse noch die IP-Adresse.


    Was habe ich übersehen?

    Du hast übersehen, dass die Datenbank places.sqlite mehr als eine Tabelle besitzt und es eine Beziehung zwischen diesen Tabellen gibt.

    Lesezeichen werden in der Tabelle moz_bookmarks gespeichert. Jeder Eintrag hat eine ID in der Spalte fk stehen. Dabei handelt es sich um das Kürzel für den sogenannten Foreign Key, also die ID, welche einen Datensatz in einer anderen Tabelle referenziert. Das ist die ID aus der Tabelle moz_places. Du musst also in der Tabelle moz_places nach dem Datensatz suchen, der in der Spalte id das stehen hat, was in moz_bookmarks in der Spalte fk zu finden ist.

    Mit der DNS- und Trojaner-Thematik haben Lesezeichen aber nichts zu tun. Und deine Frage bezüglich Speicherung der IP-Adresse statt Domain als Lesezeichen-Ziel ist auch höchstens theoretischer Natur, denn du suchst dir wohl kaum extra die IP-Adresse der Websites, die du als Lesezeichen speichern möchtest, um diese anstelle der Domain abzuspeichern. Das wäre auch sehr unpraktisch. Alleine unser Forum war im Jahr 2022 je nach Zeitpunkt unter drei ganz unterschiedlichen IP-Adressen zu erreichen. Und selbst wenn du die IP-Adresse hättest, könntest du darüber in den meisten Fällen gar nicht die gewünschte Website aufrufen. Probier's mit unserem Forum. Die aktuelle IP-Adresse ist 89.58.61.70.

    Zitat von Sören Hentzschel

    Jeder Eintrag hat eine ID in der Spalte fk stehen. Dabei handelt es sich um das Kürzel für den sogenannten Foreign Key, also die ID, welche einen Datensatz in einer anderen Tabelle referenziert. Das ist die ID aus der Tabelle moz_places.

    Vielen Dank. Damit habe ich es nun gefunden:

    Zitat von Sören Hentzschel

    Alleine unser Forum war im Jahr 2022 je nach Zeitpunkt unter drei ganz unterschiedlichen IP-Adressen zu erreichen.

    Wieso denn das?
    Aus dem gleichen Grund wie auch die dynamische IP von Privatnutzern (wie z.B. meine) immer wieder wechselt?
    Oder ist es eine aktive Entscheidung vom Forum die IP zu gegebener Zeit zu wechseln?

    Zitat von Sören Hentzschel

    Probier's mit unserem Forum. Die aktuelle IP-Adresse ist 89.58.61.70.

    Tatsächlich. Ich bin baff. So etwas habe ich nicht erwartet.

    Wie kommt es, dass die aktuelle IP nicht via IP-Adresse direkt aufrufbar ist?

    Zitat von Sören Hentzschel

    Selbstverständlich muss Firefox das Ziel eines Lesezeichens auch irgendwo speichern.

    Ich weiss, dass Firefox seinen eigenen DNS-Cache hat. Ich weiss nur nur nicht, in welchem Zusammenhang, ob immer, oder von was anderem abhängig. Könnte mit DoH zusammenhängen, nutze ich jedoch nicht. Ob DoH (DNS over HTTPS) über solche Trojaner kompromittiert werden kann, würde ich nicht ausschliessen. Dass in einem Lesezeichen ein Ziel stehen sollte, ist mir schon klar, ob das nun per IP oder Domain geschrieben steht, ist mir egal.

    Windows hat einen DNS-Dienst, das ist ein Cache, kein Resolver - was da nicht steht, wird von extern abgefragt, erste Station ist meistens der Router. Der Trojaner ändert den Abfrageweg der DNS nach IP-Auflösung - und zwar auf dem Betriebssystem - für alle Prozesse, die das nutzen, leitet auf eine spionierende Domain um, die alles abgreift an Daten und irgendwas oder -wer das auswertet.

    Wie Firefox letztlich seine Lesezeichen speichert, ist mir bekannt, aber in dem Zusammenhang nicht wichtig.

    Zitat


    89.58.61.70

    Leitet mich auf eine http um, und da ist dead end.

    You see this page because there is no Web site at this address.

    Normal, erwünscht?

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

    Zitat von Bafire

    Wieso denn das?
    Aus dem gleichen Grund wie auch die dynamische IP von Privatnutzern (wie z.B. meine) immer wieder wechselt?
    Oder ist es eine aktive Entscheidung vom Forum die IP zu gegebener Zeit zu wechseln?

    Zitat von DenalB

    Dürfte mit Serverumzügen zusammenhängen, denke ich.

    Richtig, auf Grund von Server-Wechseln. Siehe hier und hier.

    Zitat von Bafire

    Tatsächlich. Ich bin baff. So etwas habe ich nicht erwartet.

    Wie kommt es, dass die aktuelle IP nicht via IP-Adresse direkt aufrufbar ist?

    Auf einem Server können beliebig viele Websites liegen. Und der Server muss entscheiden, welche Website aufgerufen werden soll. Das geschieht anhand der Domain. Hier ein Screenshot der Domains, die ich alle unter der gleichen IP-Adresse verwalte:

    Zitat von .DeJaVu

    Ich weiss, dass Firefox seinen eigenen DNS-Cache hat.

    Was ich meinte, hat mit DNS und dem DNS-Cache nichts zu tun. Firefox speichert die URL von Lesezeichen.

    Zitat von .DeJaVu

    Wie Firefox letztlich seine Lesezeichen speichert, ist mir bekannt, aber in dem Zusammenhang nicht wichtig.

    Ähm… doch. Wenn du auf eine Frage antwortest, ist es selbstverständlich wichtig, dass du auch korrekt auf die Frage antwortest. :/

    Zitat von .DeJaVu

    Leitet mich auf eine http um, und da ist dead end.

    You see this page because there is no Web site at this address.

    Normal, erwünscht?

    Normal und gewünscht, siehe Erklärung weiter oben im Beitrag.

    Zitat von Sören Hentzschel

    Und deine Frage bezüglich Speicherung der IP-Adresse statt Domain als Lesezeichen-Ziel ist auch höchstens theoretischer Natur, denn du suchst dir wohl kaum extra die IP-Adresse der Websites, die du als Lesezeichen speichern möchtest, um diese anstelle der Domain abzuspeichern. Das wäre auch sehr unpraktisch. Alleine unser Forum war im Jahr 2022 je nach Zeitpunkt unter drei ganz unterschiedlichen IP-Adressen zu erreichen. Und selbst wenn du die IP-Adresse hättest, könntest du darüber in den meisten Fällen gar nicht die gewünschte Website aufrufen. Probier's mit unserem Forum. Die aktuelle IP-Adresse ist 89.58.61.70.

    Nehmen wir mal an, ich suche mir die IP der heikelsten Webpage heraus, speichere sie ab und hoffe, das die Bank möglichst selten den Server wechselt und stelle des weiteren fest, dass ich glücklicherweise über diese IP auch direkt auf der Homepage lande.

    Allerdings führt die IP nicht direkt zur Log-in Seite. Also muss ich ja via Link auf der Homepage zur Log-in Seite navigieren.

    Frage: In diesem Fall steckt doch hinter dem Link auch wieder eine Domain. Würde ich jetzt durch das Anklicken dieses Links auf der richtigen Seite nicht trotzdem wieder auf die falsche Seite umgeleitet?

    Zitat von .DeJaVu

    Wie Firefox letztlich seine Lesezeichen speichert, ist mir bekannt, aber in dem Zusammenhang nicht wichtig.

    Zitat von Sören Hentzschel

    Ähm… doch. Wenn du auf eine Frage antwortest, ist es selbstverständlich wichtig, dass du auch korrekt auf die Frage antwortest.

    Da müsstest du mir bitte auf die Sprünge helfen. Weil:

    Zitat von Sören Hentzschel

    Mit der DNS- und Trojaner-Thematik haben Lesezeichen aber nichts zu tun.

    Ich bin immer noch im Zusammenhang mit dem Trojaner und der DNS-Umleitung, nicht im Aufbau und Inhalt der Lesezeichendatenbank (places.sqlite).

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

    Zitat von .DeJaVu

    Da müsstest du mir bitte auf die Sprünge helfen.

    Sehr gerne. Der Themenersteller fragte:

    Zitat von Bafire

    Ich habe dort mal reingeschaut. Ich finde dort den Namen des Lesezeichens z.B. "Orbitalmodell" aber erstaunlicherweise finde ich in diesem Datensatz weder die zugehörige Internetadresse noch die IP-Adresse.

    Hervorhebung durch mich. Darauf war deine Antwort:

    Zitat von .DeJaVu

    Weil Firefox sowas nicht speichert? Warum auch?

    Und das ist nicht zutreffend. Du hast den Teil mit der Adresse vielleicht übersehen und nur auf den Teil mit der IP-Adresse geantwortet. Da hast du natürlich recht, die speichert Firefox nicht. Aber es geht hier ja um mehrere Aspekte: Einerseits die DNS-Theorie, andererseits aber eben auch die explizit gestellte Frage, wie ein Lesezeichen gespeichert wird. Und damit ist es nicht „unwichtig“. Die Frage ist sogar Titel gebend für das gesamte Thema.

    Ach, die Frage aus #5. Deswegen habe ich abgewunken, denn offensichtlich besteht dieses Lesezeichen, somit muss es angelegt worden sein! Ob nun er oder ein anderer Nutzer an seinem Firefox.

    Zitat von Bafire

    Dann zeigt es mir in der Bibliothek die Internetadresse an:


    Woher hat jetzt Firefox die Internetadresse "http://chempage.alp.dillingen.de/allgem/orbitale/orbmod.htm" ?

    Die war wirklich nirgends gespeichert?

    Zitat von Sören Hentzschel

    Die Frage ist sogar Titel gebend für das gesamte Thema.

    Mag sein, aber sein Themenstart hatte einen ganz anderen Inhalt. Und deswegen hatte ich auch drum gebeten, er möge diese Frage(n) anderweitig stellen. Und jetzt klinke ich mich gänzlich aus, da genau diese Frage aus meiner Sicht beantwortet wurde.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.