Ich bezweifle mal dass hier mehr als eine Hand voll Leute mit Routern > 500 EUR sind.

Wie gesagt, ich weiß nicht, wie sich die typischen Home-Router genau verhalten.
Testen kann man es allerdings relativ leicht:
Per SSH / Telnet in die Dreambox einloggen und mit ifconfig die IPv6-Adresse abfragen.
Alternativ geht das auch über Menu -> Einstellungen -> Netzwerk -> Netzwerkeinstellungen

Anschließend einfach mal auf lg.he.net/ versuchen diese IPv6-Adresse zu pingen.
Dies gibt allerdings nur Auskunft darüber, ob ICMP geblockt wird oder nicht.
Theoretisch könnten die Router auch ICMP durchlassen und TCP blocken.

Da ein großer Teil wohl einen Router von AVM haben wird, dort ist per Default alles gesperrt.

Sorry, aber das ist, gerade bei den genannten Marken, Unfug den Du da schreibst! Die IPv6 Firewall eines LANCOM laesst im Default kein IPv6 Paket zu einem Client im LAN durch!
In der Firewall gibt es im Forwarding Zweig eine Default Deny-All Regel, die alles zuerst mal filtert. Da musst Du zuerst Allow Regeln anlegen, die etwas durchlassen.
Evtl. solltest du einfach mal in die Firewall Konfiguration schauen, wenn Du so ein Geraet besitzt.

Im Screenshot die Default Regeln der IPv6 Forwarding Firewall des LANCOM.

Interessant.

War früher aber nicht so, soweit ich mich erinnern kann.

Bin mittlerweile auf Cisco-Router umgestiegen, da ich mit den Lancom nicht zufrieden war.
Aktuell nutze ich: Cisco IOS Software, 3800 Software (C3825-ADVENTERPRISEK9-M), Version 15.3(3)XB12, RELEASE SOFTWARE (fc2)
Der hat auf jedenfall erstmal alles offen.

Der Cisco 876 (welchen ich vorher hatte) hatte auch per Default alles offen.

Wenn man einen Ubuntu-Server als Router nutzt, so ist dort auch erstmal alles offen, wenn IPv6-Forwarding aktiviert wurde.


Aber wenn die meisten Router standardmäßig eingehende IPv6-Verbindungen blocken kann man eigentlich ausschließen, dass der Bot darüber aufgespielt wurde.

Dann erinnerst Du dich leider falsch, dies war schon immer so.

Hatte auch kürzlich ungebetenen Besuch auf meiner 800HDse mit newnigma2 4.0.17.
Eines Morgens startete die Box nicht mehr, via telnet gesehen dass Flash voll ist (trotz FlashExpander).
Hab dann 7 Versionen einer .exe(!)-Datei an diversen 'prominenten' Orten gefunden, die sich als Bitcoin-miner herausgestellt hat, und ein batch-file zum Starten.

Zu diesem Zeitpunkt hatte ich auch 2 Ports weitergeleitet (80 & 443 IIRC), allerdings ein recht gutes PW gesetzt.
Hatte damals die FW 06.30 auf meiner FB 7490.
Seither Zugriff nur noch über VPN.

exe dateien und batch file klingt eher nach einem Windows Rechner der die Dream infiziert hat. Über den samba share?

Unwahrscheinlich dass du dann über die Dreambox gehackt wurdest. Ein gutes Passwort knackt man nicht auf die Schnelle, und es wird sich kaum jemand abmühen genau dein Passwort zu hacken nur wegen Bitcoin Mining. Da muss es entweder eine andere Sicherheitslücke auf der Dreambox geben oder der Angreifer ist über einen anderen Kanal in dein Netzwerk gekommen.

Klingt auch nach einem eher mäßig begabten Hacker, wenn er .exe files zum Mining auf einer 400 MHz Linux-Maschine platzieren will

Samba habe und hatte ich nie laufen, auch sonst keine Freigaben.
Das restliche Netz mit allen Clients ist sauber, und auch recht restriktiv konfiguriert...

Kurze Info wie versprochen nach Analyse:

Der Angriff erfolgte über das Internet über das Webinterface (nicht SSH oder Telnet), - und konkret über das darin eingebettet WebPlugin "Webadmin"

Lösung um das hier beschriebene Problem zu verhindern:

Optimal: Webinterface gar nicht erst über das Internet erreichbar machen.

Benötigt man dies jedoch für private Zwecke, so sollte neben einem komplexen Passwort für den User "root" zusätzlich auch der externe TCP-Port so zu definieren sein, dass er nicht 80, 8080, 443 oder 8443 lautet.
Wer mehr Zeit investiert legt den User "root" komplett still und benutzt stattdessen einen User mit anderem Name der anstatt des Users "root" agiert.

In beiden Fällen (andere externe Ports und anderer Username als "root" ) würde die derzeit genutzte Routine nicht weiterkommen und der Angriff so wie er aktuell (automatisiert) erfolgt ist chancenlos.

Die Entwickler sollten darüber hinaus prüfen ob das Webplugin "Webadmin" im Webinterface per default aktiviert sein muss, so wie das bisher im Image der Fall ist.

Hammerhead

Die Entwickler sollten darüber hinaus prüfen ob das Webplugin "Webadmin" im Webinterface per default aktiviert sein muss, so wie das bisher im Image der Fall ist.

Das würde nichts helfen weil der Code für das Uploaden und Ausführen von Installationspaketen / Scripts direkt im Webinterface ist. Das Plugin "Webadmin" bietet nur eine grafische Oberfläche dazu.
Cool wäre schon wenn failed Login versuche direkt in einem Log gesammelt werden würden. Dann könnte man ich einfach einen fail2ban Service bauen. Persönlich verzichte ich komplett auf den "einfachen" Zugriff und verwende nur mehr SSH per Key und dann eine interne Portweiterleitung auf das Webif.

Grüße

auch mit disabled ssh password logins (for root)?

Ob man die Pakete auch ohne SSH Zugang uploaden kann?

Ich würde meinen ja weil der Code ja vom WebIF ausgeführt.

Ich hatte mich auf den ssh Zugang per key bezogen. Wenn man den ssh password disabled, kommt man nur mit dem ras_key auf die Box, dann kann das password auch 1234 sein, wenn man telnet disabled hat. Sonst macht der rsa key IMHO keinen Sinn, ausser dass man sich die Passworteingabe spart ...

Wobei ich den ssh Zugang der Box gar nicht extern frei geben würde, sondern auf einem System mit openssh mit rsa_key und passphrase (und disabled ssh passwort login) und dann den ssh und Web-IF Zugang auf die Box tunneln und auf den client localhost forwarden würde. Meines erachtens die einzige wirkliche Alternative zu VPN

Jo genau so hab ich es eingerichtet.