chinesischer Hackerangriff auf dm8000

  • hi ja, Ich konnte es selber nicht fassen, beim Entwickeln von Plugins benutzte ich das Kommando


    Code
    netstat


    Das Resultat überrascht mich dann doch:


    4 ssh logins mit der


    IP Address
    218.80.221.51



    Host
    218.80.221.51



    Location
    wysiwyg image CN, China



    City
    Shanghai, 23 -



    Organization
    shanghai telecommunications technological research



    ISP
    Data Communication Division



    AS Number
    AS4812 China Telecom (Group)



    Latitude
    31°00'50" North



    Longitude
    121°40'86" East



    Distance
    8327.95 km (5174.75 miles)


    Es hängt ein 686er Enterprice Server dran der auf telnet reagiert hat.


    Gruß emanuel ;)



    :aufsmaul:

    no brain no pain! :495:
    Auf gar keinen Fall die GP-Wiki lesen!!
    sie könnte Deinen Kopf zu schwer für Deinen Hals machen :D
    :sonne:458859-modellist-gif


    attachment.php?attachmentid=158292 Wir wollen uns für das Update bedanken!!
    attachment.php?attachmentid=204594

  • Ich bin zwar kein Netzwerkprofi, aber wieso kommt man von außen auf deine Box ?


    Panasonic TX50-EXW784
    Panasonic SC-ALL70TEGK / SC-ALL2 wireless 5.1 Soundbar
    dm8000, dm7080, dm800sev2, dm900-dvb-s2-unicable, dm900-dvb-s2-multisat


    http://www.dreambox-tools.info

  • Hübsch, wohl als password dreambox gesetzt


    Soll ich Euch ein kleines shellscript schreiben das ihren server pingt :-)


    Wenn es ein paar hundert user runterladen ...


    Bitte vergiss eienes nicht, die Dreamboxen sind eigentlich die idealen Bots, weil sie nach aussen meistens völlig offen sind - und praktisch keiner eine Firewall drauf hat und die user die wirklich mal netstat eingeben so wie du (und ich mach das übrigens auch ab und an) sind eher in der Minderheit.


    Und die sache mit dem Passwort setzen ist nett, aber Ihr vergesst das Ihr NICHT wisst das die schönen SoftCAMs die Ihr installiert habt noch so an diversen ports bedienen.


    LG
    gutemine

    Edited 2 times, last by gutemine ().

  • was mit Phantasie ohne namen!

    no brain no pain! :495:
    Auf gar keinen Fall die GP-Wiki lesen!!
    sie könnte Deinen Kopf zu schwer für Deinen Hals machen :D
    :sonne:458859-modellist-gif


    attachment.php?attachmentid=158292 Wir wollen uns für das Update bedanken!!
    attachment.php?attachmentid=204594

  • stopp mal deine softcam und setze das passwort um und dann starte eine andere Softcam

  • über die Adresse mit Passwort.


    Oder dem Programm um verlorengegangene Passwörter zu finden :D :D :D


    was wohl eher zutrifft...

    no brain no pain! :495:
    Auf gar keinen Fall die GP-Wiki lesen!!
    sie könnte Deinen Kopf zu schwer für Deinen Hals machen :D
    :sonne:458859-modellist-gif


    attachment.php?attachmentid=158292 Wir wollen uns für das Update bedanken!!
    attachment.php?attachmentid=204594

    Edited once, last by emanuel ().

  • im cam war nix.
    passwort is weg,
    Router dicht für die ip

    no brain no pain! :495:
    Auf gar keinen Fall die GP-Wiki lesen!!
    sie könnte Deinen Kopf zu schwer für Deinen Hals machen :D
    :sonne:458859-modellist-gif


    attachment.php?attachmentid=158292 Wir wollen uns für das Update bedanken!!
    attachment.php?attachmentid=204594

    Edited once, last by emanuel ().

  • wobei es jetzt auch schon zu spät sein kann, ich würde neuflashen, shh erstmals aus der services nehmen und andere SoftCAM verwenden


    Aber ich bin auch paranoid !

  • Quote

    Original von emanuel
    im cam war nix.


    gar keine SoftCAM gestartet, oder irgend einen anderes plugin mit daemon der ständig läuft ?


    Und IP adressen haben sie in China genug, und Bots in allen Ländern der Erde, insofern geht es drum das deine IP jetzt als offen bekannt ist.


    Da hilft nur Portweiterleitung ganz rausnehmen, weil selbst wenn du den port änderst ist der schnell wieder gescanned.


    Und mit ssh kann man auch auf unauffällige accounts in der passwd zugreifen wenn sie ein böses binary enabelt hat.

    Edited once, last by gutemine ().

  • aber die Kiste schaltet doppelt so schnell um jetzt, und ich dachte das img ist Kaputt geplugind.

    no brain no pain! :495:
    Auf gar keinen Fall die GP-Wiki lesen!!
    sie könnte Deinen Kopf zu schwer für Deinen Hals machen :D
    :sonne:458859-modellist-gif


    attachment.php?attachmentid=158292 Wir wollen uns für das Update bedanken!!
    attachment.php?attachmentid=204594

  • schon cam mgcamd. in der config ist aber auf 0 gestellt.

    no brain no pain! :495:
    Auf gar keinen Fall die GP-Wiki lesen!!
    sie könnte Deinen Kopf zu schwer für Deinen Hals machen :D
    :sonne:458859-modellist-gif


    attachment.php?attachmentid=158292 Wir wollen uns für das Update bedanken!!
    attachment.php?attachmentid=204594

  • Ach dann haben die vom Werk aus bestimmt was neues geflasht oder so :D
    Bei mir ist diese IP nicht zu sehen. Habe als Cam die CCcam

    Zuerst ignorieren sie dich, dann lachen sie über dich, dann bekämpfen sie dich und dann gewinnst du. <br>
    Mahatma Gandhi

  • Bitte, was Ihr in der CAM einstellt ist sowas von EGAL, solche sachen sind wenn dann hardcoded drinnen und für Euch nicht sichtbar!


    So blöde sind diese Leute nicht das sie sich von Euren CAM Einstellugen beeidrucken lassen


    Und ich kann diese IP pingen, aber nochmals IP adressen haben solche Leute genug :-(


    Ich will ja niemeanden beschuldigen, aber die CAM Hersteller machen auch nicht alles aus purer Freude, und wenn du dort mit Geld vorbeischaust kannst du auch sowas haben denke ich mal.


    LG
    gutemine

    Edited 2 times, last by gutemine ().

  • es war Ziel - Quelle vertauscht.
    also konnte alles rein

    no brain no pain! :495:
    Auf gar keinen Fall die GP-Wiki lesen!!
    sie könnte Deinen Kopf zu schwer für Deinen Hals machen :D
    :sonne:458859-modellist-gif


    attachment.php?attachmentid=158292 Wir wollen uns für das Update bedanken!!
    attachment.php?attachmentid=204594

  • Ich erinnere nur an den WebInterface Hack den einer ins CVS eingepflegt hat vor paar Wochen ;)

    Zuerst ignorieren sie dich, dann lachen sie über dich, dann bekämpfen sie dich und dann gewinnst du. <br>
    Mahatma Gandhi

  • schlecht, weil dann bist du evt. einem normalen Portscanner angriff aufgesessen.


    Wobei da die Dreambox durch die exotische CPU gewisse Vorteile hat - die normalen Linux Trojaner sind nur für Intel CPUs, aber es gibt auch ganz simple die nur als shellscript laufen, und die gehen auch auf unseren Boxen.


    Trotzdem muss man bei sowas aufpassen !


    LG
    gutemine

  • da brauchst du gar nichts ins CVS einchecken, 95% der user ändern nicht mal ihr nicht vorhandenes passwort.

  • Hilfe ich habe jetzt Angst bekommen.
    Wie kann ich mich am besten schützen?:D
    Soll ich die Dreambox ausschalten?

    Dieser Beitrag wurde 3 mal editiert, zum letzten Mal von Ryu's Frau : Heute, 11:25.

    IF YOU LIKE MY WORK, PLEASE BUY ME A CURRYWURST MIT POMMES UND KETCHUP!!

  • Quote

    Original von gutemine
    da brauchst du gar nichts ins CVS einchecken, 95% der user ändern nicht mal ihr nicht vorhandenes passwort.


    denen ist eh nicht mehr zu helfen ;)

    Zuerst ignorieren sie dich, dann lachen sie über dich, dann bekämpfen sie dich und dann gewinnst du. <br>
    Mahatma Gandhi

  • Quote

    Original von Ryu
    Soll ich die Dreambox ausschalten?


    geh auf Nummer sicher, schmeiss sie weg :P