Hallo und willkommen in unserer Community! Ist dies Dein erster Besuch?
Ergebnis 1 bis 2 von 2
  1. #1
    rgb70
    Gast

    Dreambox Virus / Bot entdeckt!

    Etwas sehr Bedenkliches hat Homey entdeckt. Das zeigt mal wieder, dass es sehr empfehlenswert ist, das Mainpasswort auf seiner Dreambox zu ändern.

    Zitat:
    Info by Homey[GER]

    Hab da was krasses erlebt heute ... wusste gar nicht das es sowas gibt

    Mein Kumpel hatte Tagelang probleme mit seiner dreambox. jeden tag gecrasht und danach waren irgendwelche dateien ausgetauscht und enigma startete nicht mehr. Musste immer neu flashen und nächsten Tag ging wieder nix.

    Hab ihm dann heute mal geholfen und rausgefunden das seine box permanent im internet erreichbar war weil er portfreigabe gemacht hat für telnet und ftp damit er von der arbeit und so auf die box kommt. Leider standard username/passwort mit root/dreambox.

    Eben war seine box wieder hinüber. Konnte dann im aktivieren FTP und Telnet Log auf seiner Box sehen das sich einer eingeloggt hat auf der box aus polen, ein paar files auf die box kopiert hat und irgendnen unfug gemacht hat.

    Konnte lustigerweise die IP selber im browser und ftp erreichen mit standard root/dreambox login, war eine ENIGMA1 Box ...

    Auf dieser fremden box lief ein prozess names "m5" das wohl permanent irgendwelche internet ip ranges gescannt hat und probiert hat sich dort mit root/dreambox einzuloggen und wenn login erfolgreich, dann wurde der bot auch da installiert und ein paar libs ausgetauscht die den bot starten. Diese Box hat dann wohl jeden Tag meinen Kumpel probiert zu infizieren und den bot zu installieren.

    Da es LIBS sind für enigma1 crashte aber die box von meinem kumpel immer weil die für POWERPC und nich MIPSEL kompiliert sind ...

    Kann in dem kompilierten "m5" binary nich viel erkennen, aber es ist aufjedenfall nen BOT der IP's scannt und sich dann probiert damit zu verbreiten.

    Aber da sind ein paar text strings zu erkennen die klar drauf hindeuten das es sich um einen bot handelt, befehle wie DDOS, IP Scans usw usw.

    Code:
    PRIVMSG %s :* .login                <password>        - login to bot's party-line
    PRIVMSG %s :* .logout                                 - logout from bot's party-line
    PRIVMSG %s :* *** Miscs Commands
    PRIVMSG %s :* .exec                 <commands>        - execute a system command
    PRIVMSG %s :* .version                                - show the current version of bot
    PRIVMSG %s :* .status                                 - show the status of bot
    PRIVMSG %s :* .help                                   - show this help message
    PRIVMSG %s :* *** Scan Commands
    PRIVMSG %s :* .advscan <a> <b>      <user> <passwd>   - scan with user:pass (A.B) classes sets by you
    PRIVMSG %s :* .advscan <a> <b>                        - scan with d-link config reset bug
    PRIVMSG %s :* .advscan->recursive   <user> <pass>     - scan local ip range with user:pass, (C.D) classes random
    PRIVMSG %s :* .advscan->recursive                     - scan local ip range with d-link config reset bug
    PRIVMSG %s :* .advscan->random      <user> <pass>     - scan random ip range with user:pass, (A.B) classes random
    PRIVMSG %s :* .advscan->random                        - scan random ip range with d-link config reset bug
    PRIVMSG %s :* .advscan->random->b   <user> <pass>     - scan local ip range with user:pass, A.(B) class random
    PRIVMSG %s :* .advscan->random->b                     - scan local ip range with d-link config reset bug
    PRIVMSG %s :* .stop                                   - stop current operation (scan/dos)
    PRIVMSG %s :* *** DDos Commands:
    PRIVMSG %s :* NOTE: <port> to 0 = random ports, <ip> to 0 = random spoofing,
    PRIVMSG %s :* use .*flood->[m,a,p,s,x] for selected ddos, example: .ngackflood->s host port secs
    PRIVMSG %s :* where: *=syn,ngsyn,ack,ngack m=mipsel a=arm p=ppc s=superh x=x86
    PRIVMSG %s :* .spoof          <ip>                    - set the source address ip spoof
    PRIVMSG %s :* .synflood       <host> <port> <secs>    - tcp syn flooder
    PRIVMSG %s :* .ngsynflood     <host> <port> <secs>    - tcp ngsyn flooder (new generation)
    PRIVMSG %s :* .ackflood       <host> <port> <secs>    - tcp ack flooder
    PRIVMSG %s :* .ngackflood     <host> <port> <secs>    - tcp ngack flooder (new generation)
    PRIVMSG %s :* *** IRC Commands:
    PRIVMSG %s :* .setchan        <channel>               - set new master channel
    PRIVMSG %s :* .join           <channel> <password>    - join bot in selected room
    PRIVMSG %s :* .part           <channel>               - part bot from selected room
    PRIVMSG %s :* .quit                                   - kill the current process
    Der prozess lief auf der box aus polen dutzende mal und hatte dutzende aktivie Internet verbindungen .... war also fleissig dabei fremde boxen im internet zu suchen wo man sich mit root/dreambox einloggen konnte. Und wenn das gelang wurden ein paar dateien ausgetauscht ... schlecht für enigma2 boxen das es sich dabei um powerpc libs handelt udn danach gar nix mehr geht.

    Hab mir die Bot Binaries mal geladen und gezippt, vlt kann da ja einer was mit anfangen aber vorsicht!!!

    Find ich krass ... wusste gar nich das es dreambox viren gibt. Zugegeben eine Box im internet zu haben ohne passwort bzw. mit standard root/dreambox login is nicht gerade schlau, aber das es Bots gibt die solche dreamboxen suchen und infizieren finde ich schon krass!!

    PS: Der bot war übrigens in /var/etc/ ordner zu finden, da gibts 5 dateien m1, m2, m3, m4, m5 ... wohl der bot für verschiedene boxen / platformen kompiliert, m5 war dann der der auf der e1 box lief.

    hier ein Artikel vom Blog

    Zitat:
    Quelle: Dreambox-Blog

    Vor der Installation von Software am Computer überlegen sicherlich die Meisten, um was für ein Programm es sich handelt und dieses wirklich benötigt wird. Ist das auch bei Enigma2 so, wer macht sich konkret Gedanken über das Programm und die möglichen Gefahren?


    Erst einmal vorab: Mir ist derzeit nicht bekannt, dass es ein verbreitetes PlugIn gibt, das die Dreambox und darin vorhandenen Dateien ausspioniert. Dieser Artikel soll lediglich dazu dienen, die Aufmerksamkeit auf dieses Thema zu lenken um die Sensibilität etwas zu erhöhen. Denn die Gefahren sind vielfältig und können theoretisch auch weitreichende Folgen haben. Ferner betrifft dieser Artikel nicht explizit Dreamboxen — diese Problematik besteht auf allen Linux-basierenden Receivern.

    Enigma2 ist ein auf Linux basierendes System und stellt, wenn wir die Definition streng interpretieren, nur eine GUI, also ein graphisches Benutzerinterface dar. Jedes Plugin das installiert wird, ist ein eigenständiges Programm und wird innerhalb dieses Systems ausgeführt — und speichert auch die für den Betrieb des jeweiligen Programms nötigen Konfigurationsdateien im Dateisystem.

    Nun ist die Installation von PlugIns, Skins und anderen Tools auf Enigma2-Systemen ziemlich einfach und kann ganz gemütlich über die Fernbedienung erfolgen — ganz ohne technisches Hintergrundwissen. Dies verleitet sicherlich dazu, beliebige Erweiterungen zu installieren, egal aus welcher Quelle. Denn selbst die Einbindung externer Quellen ist bei jedem Enigma2-Image problemlos möglich und kann ebenfalls über die Fernbedienung oder durch andere PlugIns geschehen. Dadurch sinkt die Hemmschwelle vor der Installation verschiedenster PlugIns. Dabei sind die Gefahren besonders groß, vor allem wenn Erweiterungen aus unbekannten Quellen geladen werden.

    Mögliche Angriffsszenarien

    Rein theoretisch kann ein PlugIn oder sogar ein Skin für die Spionagezwecke genutzt werden. Alle PlugIns bestehen bei Enigma2 aus *.py-Dateien, die den Quellcode beinhalten. Diese werden beim Enigma2-Start in *.pyo-Dateitypen umgewandelt, wobei es sich um ausführbaren Maschinencode handelt. Sind in einem Installationspaket nur die *.pyc-Dateien enthalten, lässt sich demnach nicht ohne weiteres überprüfen, was die Erweiterung wirklich macht — schließlich fehlen die *.py-Dateien mit dem darin enthaltenen Quelltext. Ich stelle euch an dieser Stelle mal vier mögliche Szenarien vor, wie eine Erweiterung den Receiver angreifen und manipulieren kann.

    Auslesen von Konfigurationsdateien

    Das PlugIn kann sich nun Zugang verschaffen zu allen Dateien im System und auch Befehle ausführen. So könnte, falls entgegen der AGB des jeweiligen Anbieters eine PayTV-Smartcard im Receiver betrieben wird, problemlos die Seriennummer dieser Smartcard ausgelesen werden. Und es geht noch weiter: Auch Konfigurationsdateien von Softcams oder E-Mail-Clients können ausgelesen werden, da die offen im Dateisystem von Enigma2 gespeichert werden. Ferner können diese Dateien nicht nur ausgelesen, sondern auch manipuliert werden, in dem ein zusätzlicher Zugang zum System eingerichtet wird. Alle ausgelesenen Daten lassen sich bspw. auf einen entfernten Server im Internet übertragen oder schlicht per E-Mail versenden.

    Manipulation von Paketquellen

    In Enigma2 bzw. grundsätzlich bei Linux basierenden Betriebssystemen sind Paketquellen definiert, die für das Aktualisieren des Systems dienen. Bei jeder Softwareaktualisierung wird auf eben diesen Paketquellen nach neuen Versionen des Systems und installierten PlugIns gesucht. Die URLs der Paketquellen sind ebenfalls in bestimmten Konfigurationsdateien definiert. Es wäre sicherlich denkbar, diese Konfiguration zu manipulieren und bspw. durch eine unsichere Quelle zu ersetzen. Beim nächsten Update könnten so unsichere Programme den Weg auf den Receiver finden.

    Zugang zu privaten Daten

    Wer Mountpunkte eingerichtet hat, um bspw. auf die lokale Netzwerkfestplatte über den Receiver zugreifen zu können, reist hierdurch eine weitere Lücke auf, die ausgenutzt werden kann. Alle über den Receiver erreichbaren Daten können genauso wie die lokalen Konfigurationsdateien problemlos ausgelesen werden. Sofern auf dem Server auch Schreibrechte vorhanden sind, können natürlich auch Manipulationen vorgenommen werden. Dabei lässt sich auch der Inhalt auf einen Server o.ä. übertragen. Sensible Daten sind genauso wenig sicher wie möglicherweise illegal getätigte Downloads.

    Receiver wird zum Bot verwandelt

    Botnetze sind in aller Munde und so kann auch ein Receiver durch entsprechende Programme zu einem Teil eines Botnetzes werden. Der Receiver könnte nun dazu genutzt werden, Angriffe auf andere Seiten und Server zu fahren. Das brisante dabei: Es geschieht stets über die eigene IP-Adresse und ist so natürlich problemlos zurückverfolgbar. Zudem kann ein Bot auch Angriffe auf das lokale Netzwerk fahren und sich so Zugang zu weiteren Computersystemen im Heimnetzwerk verschaffen. Auch der Versuch auf diese Weise Zugangsdaten o.ä. mitzuloggen, die unterschlüsselt über das Netzwerk übertragen werden, ist denkbar.

    Jedes PlugIn wird mit Root-Rechten ausgeführt

    Die berechtige Frage an dieser Stelle ist, wieso die PlugIns auf einem Linux-Receiver überhaupt so weitreichende Rechte haben und sich den Zugang zu allen Daten verschaffen können.

    Das liegt daran, dass jedes PlugIn, Skin und andere Programme mit Root-Rechten, also mit Administrator-Rechten ausgeführt werden. Das ist vergleichbar mit der von Windows XP bekanntgewordenen Problematik und waren einer der entscheidenden Gründe für die große und schnelle Verbreitung von Viren auf Windows-Rechnern. Ein mit Administrator-Rechten ausgeführtes Programm hat immer, sowohl lesenden, ausführbaren als auch schreibenden Zugriff auf alle Dateien. Dabei spielt es keine Rolle, wie die Dateiberechtigungen gesetzt wurden und welcher Benutzer der Eigentümer der jeweiligen Datei oder des Ordners ist.

    Schutz gegen solche Angriffe

    Ein sehr wirksamer Schutz ist sicherlich die Auswahl der Quellen, die für die Installation von Erweiterungen genutzt werden. Grundsätzlich sollten Erweiterungen nur direkt von den Entwicklern bezogen werden, die in der Regel auch in den größeren Foren unterwegs sind. An dieser Stelle seien vor allem i-have-a-dreambox.com (Gemini3-PlugIn und diverse PlugIn-Entwickler), dreambox-tools.info (Merlin-Image und diverse PlugIn-Entwickler), oozoon-board.de (OoZooN-Image und vor allem Tools von Gutemine) sowie das Dreamboard (originales Forum mit diversen PlugIns) hervorgehoben. Erweiterungen, die die Paketquellen beeinflussen, sollten unabhängig von ihrer Quelle grundsätzlich mit Vorsicht betrachtet werden. Von frei zugänglichen Datenbanken, über die Installationspakete und/oder abgewandelte Skins verteilt werden, sollte grundsätzlich Abstand genommen werden.

    Ferner eigenen sich für den Bezug von Erweiterungen natürlich die offiziellen Paketquellen des genutzten Images, die bspw. über dreambox-plugins.de oder aber über die Softwareverwaltung durchsucht werden können.

    Solange es sich allerdings nicht um ein quelloffenes PlugIn handelt, gibt es natürlich keine hundertprozentige Sicherheit.

    Der wirksamste Schutz wäre aber ein anständiges Rechtemanagement auf Linux-Receivern. Es wäre schon ein großer Fortschritt, wenn nicht jede Erweiterung automatisch mit Administrator-Rechten ausgeführt wird. Wie weitreichend aber die Umbaumaßnahmen nötig sind, um sowas anständig, wirksam und vor allem sicher zu implementieren, können vermutlich nur die Entwickler beantworten.

    Wer macht sich über die Sicherheit gedanken?

    Wie bereits zu Anfang des Artikels geschrieben: Es ist derzeit kein solches PlugIn oder Skin bekannt, dass den Receiver ausspioniert. Das bedeutet aber nicht, dass es sowas nicht schon gibt.

    Mit diesem Artikel wollte ich die Aufmerksamkeit auf dieses sehr sensible Thema lenken und auf die möglichen Gefahren hinweisen, schließlich sind die theoretisch möglichen Angriffe bereits heute problemlos möglich.

    Daher zum Abschluss eine Frage in die Runde: Wer von euch macht sich vor der Installation von Erweiterungen wirklich Gedanken über die Sicherheit? Nutzt jemand von euch regelmäßig unsichere Quellen oder gibt es vielleicht sogar jemanden, der schon schlechte Erfahrungen gemacht hat? Nutzt einfach die Kommentarfunktion zu diesem Artikel.

    •   Alt Advertising

       

  2. #2
    King of the Board

    Registriert seit
    30.09.2013
    Beiträge
    5.402
    DankeAktivitätenReceiverTagging
    Moin!

    Weitere Informationen:
    Es scheint auf dem Lightaidra 0x2012 zu basieren. Der speziell für embedded Linux Systeme (STB, Router, Smartphones, etc.) potentiell gefährlich ist.
    Eine bekannte Erscheinung ist z.B., dass wget entfernt oder in -wget umbenannt wird.
    Link nur für registrierte und freigeschaltete Mitglieder sichtbar.

    Für die Programmierer:
    Es scheint das er über github entwickelt wird:
    Link nur für registrierte und freigeschaltete Mitglieder sichtbar.

    Falls jemand Gegenmaßnahmen programmieren will.
    Geändert von MiRoMOMO (06.09.2014 um 11:58 Uhr)


 

Ähnliche Themen

  1. DVB-C und DVB-S2 a la Dreambox
    Von ch_guy im Forum Receiverempfehlungen - Kaufberatung - Receiversuche
    Antworten: 3
    Letzter Beitrag: 11.11.2014, 00:14
  2. Alternative zur Dreambox
    Von Wurstmattes im Forum Kabelreceiver
    Antworten: 17
    Letzter Beitrag: 20.01.2014, 21:45
  3. Dreambox Controller
    Von Marokide im Forum Streaming Apps
    Antworten: 0
    Letzter Beitrag: 07.10.2013, 15:30
  4. Neue Sicherheitslücke im iPhone 5S entdeckt
    Von daix im Forum Apple Sonstiges + News
    Antworten: 2
    Letzter Beitrag: 05.10.2013, 09:20

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
 Nachtfalke Reloaded Aktuell betrachtest Du unsere Community als Gast und hast somit nur begrenzten Zugriff auf Diskussionen, Bereiche und Downloads.
Registriere dich noch heute um auf alle Bereiche zuzugreifen!