Grüß Euch!
Ich bin jetzt schon 2mal hintereinander gehacked worden
Besser gesagt meine DM7020 
Es wurde immer das Root Passwort geändert 
Ja ich hatte NICHT dreambox als Passwort - es war ein anderes 5 stelliges Passwort!
Wie gibts so was?
JETZT meine Frage
Wo hat der FTP bzw. Telnet sein LOG?
Es wird ja VSFTPD und TELNETD verwendet.
Ich würde mir gerne ansehen von wo der Angriff gekommen ist 
Oder gibt es ein anderes Plugin für die Dreambox, die alle Zugriffe protokolliert?
Greet`s Erich
Ganz ehrlich, ich glaube nicht, dass du hier mehr Informationen bekommen wirst, als dort wo du dieselbe Frage bereits gestellst hast.
Zudem heisst es nicht zwangsläufig, dass die hier gegebenen Tips dir weiterhelfen würden, weil du ja kein normales cvs-Image verwendest.
aber lassen wir uns überraschen. 
mal sehen - hier gibt es doch auch sehr versierte Leute.
Ich will einfach nur erklärt bekommen, wie man das Logging aktiviert.
Für den VSFTPD gibt es eine *.conf Datei - dort habe ich den Logging Pfad angegeben - jedoch finde ich keine vsftpd.log Datei,...
Irgendwas passt da nicht 
Greet`s Erich
Wer ist denn so mutig und stellt seine DreamBox ins Internet???
Spontan würde ich sagen, dass z.B. das Web-Interface bestimmt nicht in Bezug auf Sicherheit programmiert wurde. Und bei den ganzen Fehlern, die sich in jedem BusyBox-Release tummeln würde ich dem telnetd auch nicht trauen...
Der telnetd hat gar Log - der ist auf Größe programmiert. Und vsftpd verwendet imho syslog zum loggen, was wiederum per default gar nicht auf der Box ist.
Wobei ich die schwache Stelle eher nicht beim vsftpd suchen würde...
ja stimmt - die Module sind sicher alle für Pros leicht anzugreifen.
Aufgrund der mangelnden Logging Möglichkeiten könnte man eben seinen telnetd gar nicht überwachen
Ich werde mal stufenweise wieder die entsprechenden Ports freigen und schauen wann ich gehacket werde - dann weiß ich wenigstens welchen Deamon der Angreifer verwendet!
Gruß Erich
