Zu beachten, wenn man Portweiterleitungen auf die Box setzt, um sie von außen zu erreichen:
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Digital Eliteboard - Das Digitale Technik Forum
Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben
Hardware & Software Linux Trojaner auf Dreambox
- Ersteller chiefobrei
- Erstellt am
- dreambox linux
- Registriert
- 13. März 2013
- Beiträge
- 3.294
- Reaktionspunkte
- 2.460
- Punkte
- 373
AW: Linux Trojaner auf Dreambox
Ich habe mal daraufgeschaut und versuche die Funktionsweise zu erklären.
Zunächst wird das script "w.sh" ausgeführt und startet per wget den Download von 5 gepackten .elf Files (ausführbahren Dateien), von einem WebserverServer, für verschiedene Zielplattformen in den Ordner /tmp.
Welche Zielarchtekturen "verwundbar sind", das sind kann man hier entnehmen:
Anschließend werden die unbekannten .ELF Dateien per chmod -x befehlt ausführbar gemacht und das script versucht diese alle zu starten (da die Zielarchitektur vorher nicht ermittelt wird, probiert man einfach durch).
Danach werden alle Dateien per busybox befehlt aus dem /tmp Verzeichnis gelöscht um die Spuren zu vernichten. Selbstverständlich läuft der eben gestartete Prozess im Hintergrund weiter!
Ich habe die .elf Datei nur kurz untersucht, auf Grund der Inhalte schließe ich jedoch auf einen Botcode, der per RPC gesteuert wird.
Sprich: Sobald das Programm läuft, wird die Box / PC zum Zombie, der per RPC darauf wartet diverse Angriffe, wie z.b. DDOS , von seinem C&C Rechner, der in Moldawien stationiert ist entgegenzunehmen. Auch eine Updatefunktion ist eingebaut die es dem Betreiber ermöglich neuen Schadcode nachzuladen.
Ich habe mal daraufgeschaut und versuche die Funktionsweise zu erklären.
Zunächst wird das script "w.sh" ausgeführt und startet per wget den Download von 5 gepackten .elf Files (ausführbahren Dateien), von einem WebserverServer, für verschiedene Zielplattformen in den Ordner /tmp.
Welche Zielarchtekturen "verwundbar sind", das sind kann man hier entnehmen:
Anschließend werden die unbekannten .ELF Dateien per chmod -x befehlt ausführbar gemacht und das script versucht diese alle zu starten (da die Zielarchitektur vorher nicht ermittelt wird, probiert man einfach durch).
Danach werden alle Dateien per busybox befehlt aus dem /tmp Verzeichnis gelöscht um die Spuren zu vernichten. Selbstverständlich läuft der eben gestartete Prozess im Hintergrund weiter!
Ich habe die .elf Datei nur kurz untersucht, auf Grund der Inhalte schließe ich jedoch auf einen Botcode, der per RPC gesteuert wird.
Sprich: Sobald das Programm läuft, wird die Box / PC zum Zombie, der per RPC darauf wartet diverse Angriffe, wie z.b. DDOS , von seinem C&C Rechner, der in Moldawien stationiert ist entgegenzunehmen. Auch eine Updatefunktion ist eingebaut die es dem Betreiber ermöglich neuen Schadcode nachzuladen.
Zuletzt bearbeitet:
- Registriert
- 13. März 2013
- Beiträge
- 3.294
- Reaktionspunkte
- 2.460
- Punkte
- 373
AW: Linux Trojaner auf Dreambox
Das hat mit dem Image oder der Dreambox eigentlich garnichts zu tun.
Der Threadersteller sagte ja selber Telnet war offen, für den Infektionsweg bedeutet das einfach nur : Dummer Zufall!
Es gibt genug Botnetzte die 24 Stunden am Tag die IP Ranges der Welt nach offenen Ports abgrasen. Wird dann zufällig einer gefunden, wie in der Situation oben, führt der Angreifer automatisiert eienen login durch, welcher im Prinzip nur dieses script lädt und ausführt.
Es ist zusammengefasst ein völlig automatischer Prozess. Daher kann ich jedem, der einen Server, egal in welcher Form, betreibt nur wärmstens empfehlen, niemals irgendwelche passwortlosen logins zu verwenden, auch nicht für 10 Minuten. Das Ergbenis sieht man halt oben.
Das hat mit dem Image oder der Dreambox eigentlich garnichts zu tun.
Der Threadersteller sagte ja selber Telnet war offen, für den Infektionsweg bedeutet das einfach nur : Dummer Zufall!
Es gibt genug Botnetzte die 24 Stunden am Tag die IP Ranges der Welt nach offenen Ports abgrasen. Wird dann zufällig einer gefunden, wie in der Situation oben, führt der Angreifer automatisiert eienen login durch, welcher im Prinzip nur dieses script lädt und ausführt.
Es ist zusammengefasst ein völlig automatischer Prozess. Daher kann ich jedem, der einen Server, egal in welcher Form, betreibt nur wärmstens empfehlen, niemals irgendwelche passwortlosen logins zu verwenden, auch nicht für 10 Minuten. Das Ergbenis sieht man halt oben.
- Registriert
- 27. Januar 2008
- Beiträge
- 22.779
- Reaktionspunkte
- 17.378
- Punkte
- 1.093
AW: Linux Trojaner auf Dreambox
das es im NN Board war, sicherlich ein Image von da.
das es im NN Board war, sicherlich ein Image von da.
Ähnliche Themen
- Artikel
- Artikel
Handy - Navigation
Malware: Abo-Trojaner aus Google Play mit mehr als 620.000 Installationen
