Dream startet nicht (Virus-/Trojaner-Befall)

    • ein passwort ist das erste was nach dem flashen gesetzt wird.


      Die Frage ist eher. Wie gut oder schlecht war das Passwort. Mich persönlich hat es auch schon erwischt mit einem unsicheren Passwort (und nein es war nicht 123456 oder admin etc.)

      Und ne Frage in eigener Sache:
      Die Ziel URL ist ja eine Adresse im Tor Netzwerk. Warum ist diese überhaupt "extern" über das normale www erreichbar? Ich dachte Tor Adressen kann man nur über das Tor Netzwerk aufrufen?


      Grüße

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Schnello ()

    • Hmmm, was mir gerade beim lesen des Threads durch den Kopf geht. Bisher habe ich von diesem Phänomen nur hier gelesen, bei meinem Querlesen durch andere Foren ist mir das also nirgend begegnet. Wieso also das? Sind User anderer Images umsichtiger? ?(
      --
      Gruß aus Thüringen!
      Frank P.

      Hardware: DM7080/DM920 - Merlin 4 OE2.5

    • Hallo.

      Das ist keine Frage von " welches Image" sondern rein wie der Benutzer eines Geräts mit Linux dieses Gerät im Netzwerk abgesichert hat bzw. wie gut das Netzwerk gegen Angreifer aus dem Inet abgesichert ist.
      Webinterface, ssh etc sind keine Erfindungen von einem Image Team.

      Grüße

    • Schnello schrieb:

      Das ist keine Frage von " welches Image" sondern rein wie der Benutzer eines Geräts mit Linux dieses Gerät im Netzwerk abgesichert hat bzw. wie gut das Netzwerk gegen Angreifer aus dem Inet abgesichert ist.
      Webinterface, ssh etc sind keine Erfindungen von einem Image Team.


      Ist mir alles schon klar. Mir gig es ja nur darum, das ich bisher von diesem Trojaner-Befall in keinem anderen Forum gelesen habe, damit stellte sich die Frage weshalb nur hier?
      --
      Gruß aus Thüringen!
      Frank P.

      Hardware: DM7080/DM920 - Merlin 4 OE2.5

    • Von diesem noch nicht aber von anderen Bots gibts schon Beiträge.
      Das man das aber als Bot identifiziert ist aber auch nicht sooo einfach. Die meisten werden wenn die Box nicht mehr startet einfach neu flashen und gut. Ob da jetzt ein neuer Folder mit "0x" im root Pfad ist... werden die meisten gar nicht bemerken.


      Grüße

    • Eine weitere Möglichkeit, Brute-Force-Angriffen zu erschweren, ist, den Zeitraum zwischen zwei Login-Versuchen (nach der falschen Eingabe eines Passworts) entsprechend zu verlängern. Dadurch kann auch der Hochleistungsrechner eines Hackers trotz der zahlreichen Berechnungen pro Sekunde, zu denen er theoretisch in der Lage wäre, ausgebremst werden. Genau aus diesem Grund wird in Password Depot das Dialogfeld zur Eingabe des Master-Passworts für einige Sekunden gesperrt, wenn Sie ein falsches Master-Passwort eingegeben haben. Je öfter hintereinander ein falsches Passwort eingeben wird, desto länger wird diese Wartezeit.


      Wie groß ist Wartezeit in unserem Image bei fehlerhaften Login Versuchen?

    • Joey schrieb:

      In der heutigen Zeit ist es grundsätzlich keine gute Idee, Geräte im eigenen Netzwerk von außen ohne VPN-Tunnel erreichbar zu machen.

      ja und wegen myfritz einen port zu öffnen ist auch nicht nötig
      Zum Schutz vor unbefugtem Zugriff ist der Internetzugriff auf die FRITZ!Box nur über verschlüsselte HTTPS-Verbindungen (Hypertext Transfer Protokoll Secure) und nach Eingabe von Benutzername und Kennwort möglich.

      und das ganze gleich per vpn würde ich bevorzugen

    • Nur mal zur Info, weil es wohl bisher noch keiner auf dem Schirm hat:
      OE2.2 unterstützt IPv6!
      Wenn nun ein Dual-Stack zu Hause gefahren wird, so ist die Box auch ohne Port-Forward erreichbar.
      War bei mir zum Beispiel der Fall. (auch wenn ich von dem Problem aktuell nicht betroffen bin)

      Telnet / HTTP usw. alles ohne Passwort über die öffentliche IPv6-Adresse erreichbar. (Setze aber grundsätzlich kurz nach der Installation ein Passwort)

      Bevor jetzt jemand auf die Idee kommt und sagt "Das ist dann aber ein Bug!", so lasst euch gesagt, sein, dass dies gewollt ist.
      Bei IPv6 soll jedes Gerät eine öffentliche IPv6-Adresse bekommen, welche prinzipiell von extern erreichbar ist.
      Man muss sich eben um den Schutz des Gerätes wieder selbst kümmern.

      Manche Router blocken jedoch eingehende Verbindungen auf das lokale IPv6-Netzwerk.

    • Könnte vielleicht ein betroffener mal folgende Dateien hier posten:
      • /root/.ash_history
      • /root/.local/share/mc/history

      Wenn der Angreifer per SSH / Telnet rein ist, so sollte man hier ein paar Spuren erkennen können.

    • der_markus schrieb:

      Wenn nun ein Dual-Stack zu Hause gefahren wird, so ist die Box auch ohne Port-Forward erreichbar.


      Das waere IMHO ungewoehnlich, welcher Router laesst denn im Default einfach alles durch? Gib doch da bitte mal Beispiele.
      Ich kenne das bisher nur so, dass explizit Regeln konfiguriert werden muessen, welche Geraete mit welchen Protokollen, Ports etc. per IPv6 durch den Router erreicht werden koennen.
      "Remember, if it's psychobilly, it's gotta have some rockabilly in it somwhere. It ain't just punk with a double bass." (P.Paul Fenech)

    • Beispielsweise Cisco, Lancom usw.
      Ich nutze zu Hause nur Business-Komponenten und da ist es definitiv so, dass per Default alles durchgelassen wird.
      Habe bisher noch keinen Router gesehen, wo das anders war.
      Kenne mich aber mit den Standard-Telekom-Routern nicht aus.