RouterBotnetz spähte über Jahre vertrauliche Daten aus

Post new topic   Reply to topic    DD-WRT Forum Index -> Allgemeine Fragen
Goto page 1, 2  Next
Author Message
stone1978
DD-WRT User


Joined: 23 May 2008
Posts: 108
Location: Austria

PostPosted: Tue Sep 24, 2013 19:53    Post subject: RouterBotnetz spähte über Jahre vertrauliche Daten aus Reply with quote
http://www.computerbase.de/news/2013-09/router-botnetz-spaehte-ueber-jahre-vertrauliche-daten-aus/

Das dürfte einige interessieren

lg

_________________
http://www.stone1978.com

AMD Phenom 9850 Black Edition @ 4x 2,8 GHz
Xigmatek asserkühlung
MSI K9A2 Platinum
4GB A-DATA 800 CL4-4-4-12 @ 940
Radeon HD 3870 X2
4x Samsung Spingpoint 500 GB
Sponsor
kodo
DD-WRT Guru


Joined: 25 Nov 2007
Posts: 1963
Location: Germany/NRW/Ruhrpott

PostPosted: Tue Sep 24, 2013 20:08    Post subject: Reply with quote
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=176863
Wink

_________________
Gruß,
Stephan
Arrow neueste Beta Versionen
Arrow Changelog/Bug Tickets
stone1978
DD-WRT User


Joined: 23 May 2008
Posts: 108
Location: Austria

PostPosted: Tue Sep 24, 2013 20:17    Post subject: Reply with quote
Very Happy Very Happy Very Happy

ok

_________________
http://www.stone1978.com

AMD Phenom 9850 Black Edition @ 4x 2,8 GHz
Xigmatek asserkühlung
MSI K9A2 Platinum
4GB A-DATA 800 CL4-4-4-12 @ 940
Radeon HD 3870 X2
4x Samsung Spingpoint 500 GB
hellobello25
DD-WRT Novice


Joined: 04 Oct 2011
Posts: 9

PostPosted: Tue Sep 24, 2013 22:16    Post subject: Reply with quote
wer sowas macht
Arrow "und das Webinterface zur Router-Einrichtung auch über das Internet freigegeben hatten"

Shocked
stone1978
DD-WRT User


Joined: 23 May 2008
Posts: 108
Location: Austria

PostPosted: Wed Sep 25, 2013 5:05    Post subject: Reply with quote
Das machen viele weil einige die WAKE-ON-LAN Funktion nutzen.

Ich habe den WEB-Bereich PW geschützt und verwende "nicht" das Standard Port sowie HTTPs
Ich hoffe das reicht.

Es steht zwar wie man das überprüfen kann aber ich bin kein DD-WRT Profi also überprüfen kann ich es nicht.

Ich mache aber regelmäßig Updates

lg

_________________
http://www.stone1978.com

AMD Phenom 9850 Black Edition @ 4x 2,8 GHz
Xigmatek asserkühlung
MSI K9A2 Platinum
4GB A-DATA 800 CL4-4-4-12 @ 940
Radeon HD 3870 X2
4x Samsung Spingpoint 500 GB
Schnello
DD-WRT Novice


Joined: 14 Sep 2013
Posts: 12

PostPosted: Wed Sep 25, 2013 7:22    Post subject: Reply with quote
stone1978 wrote:
Das machen viele weil einige die WAKE-ON-LAN Funktion nutzen.

Ich habe den WEB-Bereich PW geschützt und verwende "nicht" das Standard Port sowie HTTPs
Ich hoffe das reicht.

Es steht zwar wie man das überprüfen kann aber ich bin kein DD-WRT Profi also überprüfen kann ich es nicht.

Ich mache aber regelmäßig Updates

lg


Das kommt ganz drauf an wie gut dein PW ist

Ports ändern zögert das ganze nur hinaus… natürlich wird zuerst immer der Standardport untersucht aber wenn dort nichts gefunden wird geht man einfach mal per Portscan über die IP und wird dann was gefunden ist es nur eine Frage der Zeit bis der Bot drin ist. Hier liegt es dann an der quali vom Passwort das aber bei den meisten mehr schlecht als recht ist.

Persönlich hat es mich auch schon erwischt an meiner Dreambox. Hab das einfach unterschätzt und hätte nicht geglaubt das sich jemand für meinen Sat Receiver interresiert. Und das 8 Zeichen Passwort stellte gar kein Problem dar.

Wer wirklich „sicher“ sein möchte dreht alles ab. Und wenn man wirklich Zugriff benötigt erstellt man einfach einen SSH Zugang mit Public-Key-Authentifizierung.
Und über das Terminal gibt es dann verschiedene Möglichkeiten die gewünschten Settings vorzunhemen.

Alternativ einfach mal erkunden welche Möglichkeiten ddwrt gibt um Eindringlinge zusätzlich noch abzuhalten. Zb hilft es schon wenn zb das WEBIF für 1 min geblockt wird wenn das Passwort falsch eingegeben wird etc...
stone1978
DD-WRT User


Joined: 23 May 2008
Posts: 108
Location: Austria

PostPosted: Wed Sep 25, 2013 11:13    Post subject: Reply with quote
Das hört sich aber gar nicht gut an. Gibts eine einfache Möglichkeit das zu überprüfen?

SSH ist ja gut aber da musst ja wieder COMMANDS können. Auch für Wake-ON-LAN
Warum ist ein 8 Stellen PW mit Sonderzeichen - Buchstaben und Zahlen schlecht?

Wo kann ich das einstellen dass für 1 MIN das Webinterface geblockt wird?

Meinst ist HTTPS nicht auch besser als HTTP?

lg Stone

_________________
http://www.stone1978.com

AMD Phenom 9850 Black Edition @ 4x 2,8 GHz
Xigmatek asserkühlung
MSI K9A2 Platinum
4GB A-DATA 800 CL4-4-4-12 @ 940
Radeon HD 3870 X2
4x Samsung Spingpoint 500 GB
stone1978
DD-WRT User


Joined: 23 May 2008
Posts: 108
Location: Austria

PostPosted: Wed Sep 25, 2013 17:42    Post subject: Reply with quote
http://www.dd-wrt.com/site/support/other-downloads?path=others%2Feko%2FBrainSlayer-V24-preSP2%2F2013%2F07-24-2013-r22118%2F

wie sicher sind eigentlich die Versionen?
Ist die letzte Beta auch davon betroffen bzw. ALLE Versionen?

lg

_________________
http://www.stone1978.com

AMD Phenom 9850 Black Edition @ 4x 2,8 GHz
Xigmatek asserkühlung
MSI K9A2 Platinum
4GB A-DATA 800 CL4-4-4-12 @ 940
Radeon HD 3870 X2
4x Samsung Spingpoint 500 GB
Schnello
DD-WRT Novice


Joined: 14 Sep 2013
Posts: 12

PostPosted: Wed Sep 25, 2013 21:01    Post subject: Reply with quote
stone1978 wrote:
Das hört sich aber gar nicht gut an. Gibts eine einfache Möglichkeit das zu überprüfen?


Ja. Einfach per Telnet auf den Router einlogen und schauen welche Prozesse aktiv sind.

stone1978 wrote:

SSH ist ja gut aber da musst ja wieder COMMANDS können. Auch für Wake-ON-LAN


Dann lege dir einen Alias an...
Oder du erzeugst einfach einen Tunnel und logst dich dann über eine gesicherten Tunnel auf das WEBInterface ein... wobei ich mir so oder so die Frage stelle... wenn du das nur wegen WOL machst.. warum nicht einfach eben nur diesen Port öffnen für WOL?

Quote:

Warum ist ein 8 Stellen PW mit Sonderzeichen - Buchstaben und Zahlen schlecht?

Also 8 stellen sind nicht besonders viel. Hier in der Firma haben wir mind 12 Zeichen.. etc etc.
Versuch mal dein Glück mit einem ähnlichen Passwort hier zb: https://review.datenschutz.ch/passwortcheck/check.php?lang=de

Quote:

Wo kann ich das einstellen dass für 1 MIN das Webinterface geblockt wird?

Keine Ahung. Nocht nicht beschäftigt damit, aber wenn es das nicht von Haus aus gibt würde ich mir das selber basteln... ich Wette man findet die Hinweise im Log... Crontask... fertig Wink

Quote:

Meinst ist HTTPS nicht auch besser als HTTP?
https sichert den Datenverkehr... aber nicht den Zugang. Was hilft es mir wenn der Tunnel sicher ist aber der Eingang zu diesem nur mit einen schwachen Schloss versiegelt ist...


Quote:
Ist die letzte Beta auch davon betroffen bzw. ALLE Versionen?

Wenn ich das richtig gelesen habe wurde der Bug in dem man über das WEBIF Commands absezten konnte sofort gefixt. Das ändert aber nichts an der Sache bzgl brute force attacken. Und da setze ich lieber auf eine Public-Key-Authentifizierung....aber am besten ist es einfach gar keinen Zugang einzurichten...
geniuss
DD-WRT User


Joined: 12 Jun 2009
Posts: 61

PostPosted: Thu Sep 26, 2013 8:13    Post subject: Reply with quote
Hallo,
geht aktuell sehr durch die Presse, wie prüfe ich dies nun am besten ?
CT schreibt " ps aux | grep [d]sniff " dies per ssh (Putty) ausführen. Wenn ich dies mache, bekomme ich nur die Meldung "ps: illegale option --a "

Heist das der Prozess läuft nicht ?


Danke
Schnello
DD-WRT Novice


Joined: 14 Sep 2013
Posts: 12

PostPosted: Thu Sep 26, 2013 10:26    Post subject: Reply with quote
Versuch mal ein einfaches "ps"
Schnello
DD-WRT Novice


Joined: 14 Sep 2013
Posts: 12

PostPosted: Thu Sep 26, 2013 10:29    Post subject: Reply with quote
Versuch mal ein einfaches "ps"
geniuss
DD-WRT User


Joined: 12 Jun 2009
Posts: 61

PostPosted: Fri Sep 27, 2013 20:31    Post subject: Reply with quote
ja klar, das funktionierst schon, hier sehe ich all meine Prozesse...
Aber auf was nuß ich achten ?
stone1978
DD-WRT User


Joined: 23 May 2008
Posts: 108
Location: Austria

PostPosted: Sat Sep 28, 2013 8:57    Post subject: Reply with quote
Hallo

@ SCHELLO
- Telnet
verwende ich nicht nur SSH.
Habe Screenshots meiner beiden Router gemacht und die Prozesse abgefragt.
Das war der "einzige" Command den ich kannte
Very Happy Very Happy Very Happy Very Happy Very Happy

Nur wie erkenne ich jetzt den BÖSEN Prozess?

Alias anlegen? HowDo?
Tunnel?
Tut mir leid mit Schlagwörtern kann ich nichts anfangen bitte um eine entsprechende Beschreibung nur das ist hilfreich. Und bitte auch keine Links zu Wikis die so technisch geschrieben sind dass "noch mehr Fragen" entstehen Laughing
Ich habe ca. 13 Geräte zu Hause die ich mit WOL starten möchte wenn ich Bedarf habe.
Da soll ich für jeden einen Port aufreißen?

- Passwort
ist laut Test "stark". Ich habe jetzt dennoch deine Anregung befolgt und die Anzahl der Zeichen erhöht. Sind über 12 jetzt sogar ...

- 1 MIN Webinterface Block
Gott sei dank gibts noch Dinge von denen du auch keine Ahnung hast Laughing
Crontask log ?

- HTTPs und HTTP
Klar beides muss passen. Ich glaube in dieser Hinsicht habe ich meine Hausaufgaben gut gemacht. (hoffentlich)
Telnet ist auch deaktiviert.

- Versionen
OK
Public-Key-Authentifizierung??
Gar kein Zugang ist halt unflexibel für mich.

Um mich dem letzten Post von Geniuss anzuschließen - ja auf was muss man schauen?

lg Stone



prozesse_dd-wrt.png
 Description:
 Filesize:  47.1 KB
 Viewed:  17286 Time(s)

prozesse_dd-wrt.png



_________________
http://www.stone1978.com

AMD Phenom 9850 Black Edition @ 4x 2,8 GHz
Xigmatek asserkühlung
MSI K9A2 Platinum
4GB A-DATA 800 CL4-4-4-12 @ 940
Radeon HD 3870 X2
4x Samsung Spingpoint 500 GB
kodo
DD-WRT Guru


Joined: 25 Nov 2007
Posts: 1963
Location: Germany/NRW/Ruhrpott

PostPosted: Sat Sep 28, 2013 19:17    Post subject: Reply with quote
stone1978 wrote:

Um mich dem letzten Post von Geniuss anzuschließen - ja auf was muss man schauen?

Das steht in dem Artikel, aufmerksam lesen ...

Hint: dsniff

_________________
Gruß,
Stephan
Arrow neueste Beta Versionen
Arrow Changelog/Bug Tickets
Goto page 1, 2  Next Display posts from previous:    Page 1 of 2
Post new topic   Reply to topic    DD-WRT Forum Index -> Allgemeine Fragen All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You can attach files in this forum
You can download files in this forum