Dreambox Virus / Bot entdeckt!
thanks Homey
--------------
Info: Dreambox Virus / Bot
Dreambox Virus / Bot entdeckt!
Hab da was krasses erlebt heute ... wusste gar nicht das es sowas gibt
Mein Kumpel hatte Tagelang probleme mit seiner dreambox. jeden tag gecrasht und danach waren irgendwelche dateien im /lib/ ordner ausgetauscht und enigma startete nicht mehr. Musste immer neu flashen und nächsten Tag ging wieder nix.
Hab ihm dann heute mal geholfen und rausgefunden das seine box permanent im internet erreichbar war weil er portfreigabe gemacht hat für telnet und ftp damit er von der arbeit und so auf die box kommt. Leider standard username/passwort mit root/dreambox.
Eben war seine box wieder hinüber. Konnte dann im aktivieren FTP und Telnet Log auf seiner Box sehen das sich einer eingeloggt hat auf der box aus polen, ein paar files auf die box kopiert hat und irgendnen unfug gemacht hat.
Konnte lustigerweise die IP selber im browser und ftp erreichen mit standard root/dreambox login, war eine ENIGMA1 Box ...
Auf dieser fremden box lief ein prozess names "m5" das wohl permanent irgendwelche internet ip ranges gescannt hat und probiert hat sich dort mit root/dreambox einzuloggen und wenn login erfolgreich, dann wurde der bot auch da installiert und ein paar libs ausgetauscht die den bot starten. Diese Box hat dann wohl jeden Tag meinen Kumpel probiert zu infizieren und den bot zu installieren.
Da es LIBS sind für enigma1 crashte aber die box von meinem kumpel immer weil die für POWERPC und nich MIPSEL kompiliert sind ...
Kann in dem kompilierten "m5" binary nich viel erkennen, aber es ist aufjedenfall nen BOT der IP's scannt und sich dann probiert damit zu verbreiten.
Aber da sind ein paar text strings zu erkennen die klar drauf hindeuten das es sich um einen bot handelt, befehle wie DDOS, IP Scans usw usw.
thanks Homey
--------------
Info: Dreambox Virus / Bot
