Wurm baut Botnetz aus DSL-Linux-Routern auf

Viren & Trojaner Sicherheitsexperten von DroneBL haben vor dem Wurm "Psyb0t" gewarnt. Dieser greift DSL-Router an, die mit einem Linux-Betriebssystem ausgestattet sind. Rund 100.000 Systeme sollen bereits infiziert sein. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Vielleicht sollte man noch erwähnen das nur manche Router betroffen waren bei denen man sich via ssh übers Netz einlogen konnte und das in vielen Fällen noch ohne Passwort oder mit trivialem Passwort. Für die Aktion gehören die Hersteller der Betroffenen Geräte gesteinigt.
 
@DrJaegermeister: Du kannste doch hier nicht mit Argumenten kommen....sowas geht hier nicht... Ein Offenes SSH ohne Passwort (das muss man übrigens extra so konfigurieren) ist natürlich die Schuld von Linux...
 
@DrJaegermeister: Hier steht nirgends was von "ohne Passwort", sondern dass vorhandene Passwörter geknackt werden, nämlich entweder per "Wörterbuch-erraten" oder "Alle-Möglichkeiten-durchprobieren".
 
@Dloedl : Hier steht es nicht, richtig. Lies mal das hier: http://www.heise.de/newsticker/Bot-Netz-aus-Heimnetz-Routern__/meldung/134992
 
EDIT: ok, danke, habs schon gefunden. Interessant, die winfuture-Kommentardingens filtert/zensiert/ändert/verfälscht URL's? hmmkay
 
@loedl: http://tinyurl.com/dbanpk Nur für dich :)
 
@loedl: Links werden lediglich gebrochen damit das Layout nicht gesprengt wird. Denk doch ma nach :)
 
@loedl: Immer diese Minus-Drücker... Aber gut, wir haben alle Leidenschaften!
"0000" oder "admin" als Kennwortbeispiel... einfacher wäre es stattdessen gleich einen Serienbrief als Einladung für die Besucher der Router/Serrver/Desktops zu verschicken.
Sicherheitsexperten warnen... 100.000 sollen befallen sein... wir wollen anschließend teure und nutzlose "Sicherheitssoftware" verkaufen. Danke, aber wir haben schon genug gekauft. Kein Linux-Router hat einen offenen SSH-Port. Dafür würde man sicher jemanden in die Wüste schicken.
 
Ich versteh nun nicht ganz den Zusammenhang zu den Linux-Distributionen...
Wenn ich per Bruteforceattacke die root/admin Daten bekomm liegt das doch nicht am System das dahintersteckt sondern vielmehr an der unfähigkeit des Admins!
 
@bambam84: Welcher Admin? Glaubst du ein 0815-User der sich im Billigmarkt so nen Router kauft kann diesen komplett selbstständig und clever konfigurieren? Wolh kaum. Das kann man IMHO auch nicht erwarten. Erwarten kann man aber, das der Routerhersteller das Ding sicher vorkonfiguriert und externen Zugriff aus dem WAN defaultmäßig abschaltet.
 
@bambam84: Quatsch, kein Mensch kann ahnen das sein router vom Hersteller total falsch konfiguriert ist. Kein Mensch würde daran denken das sein Router einen ssh Zugang ohne Passwort hat der vom Netz aus erreichbar ist.
 
@DennisMoore: der 0815 User konfiguriert auch kein Openwrt.
 
@Jon02: Ist ja nicht auf OpenWRT beschränkt. OpenWRT ist eins von mehreren Systemen. Außerdem haben OpenWRT und co. auch den Anspruch für Normaluser bedienbar zu sein und damit eine Alternative zu den Systemen der Hersteller zu sein.
 
Sind die Router-Ports eigentlich nicht per Software auf "stealth" gestellt? Blöde Frage vielleicht, aber wenn kein Port von außen gesehen werden kann (bzw. wenn der Port nicht antwortet), dann stelle ich mir eine Brute-Force-Attacke schwierig vor? Lasse mich aber gerne eines Besseren belehren, ich bin ja leider kein Netzwerktechniker der sich da gut auskennt :-)
 
@Der_Heimwerkerkönig: wozu brutforce wenn der router einen auf port 22 aus dem WAN nichtmal nach einem passwort fragt und einfach nen connect zulässt...das sind Config-Fehler....musste wohl wieder schnell schnell gehen....
 
@nati0n: also ich hab n dlink mit neuster fw und ping anfrage aus und n gutes pw/name -> kann ich mich auf der sicheren seite sehen? bzw wie erkennt man n router wurm o0
 
@Billy Gee: Um all deine Sorgen wegzubekommen solltest du dir einmal deine externe ip notieren (wieistmeineip.de) und dann zu irgendeinem anderen, entfernten Rechner gehen und diese IP von dort aus bissel untersuchen. Manche Router beispielsweise haben das Webinterface per Standard nach aussen hin offen. Port 22 ssh nutzen nur eher wenige Linux-basierte Router. Die meisten Hinz-und-Kunz Router sind web-managment-based.
 
@Billy Gee: cd /var/tmp/ wenn dort die datei:udhcpc.env zu finden ist, haste ein prob :) bzw. ps hilft da auch :)
 
@loedl: WTF? lol man mit Putty vom eigenen Rechner gehts auch...natürlich auf die WAN-IP und nicht die LAN-IP...
 
@Billy Gee: Besorg Dir Deine IP, geh zu einem Freund und mache einen Portscan auf Deiner IP. Alle Ports die Du findest sind an Deinem, Router geöffnet. Connecte mit den entsprechenden Programmen (Browser bei Port 80 / 443, putty bei Port 22/23, etc.) auf Deine Kiste und schau Dir an was passiert. Schau Dir Deine Routerconfig genau an und setze für alle Wartungsfunktionen sichere Passwörter.
 
@wonderworld: nmap auf die eigene WAN IP? was wollt ihr immer mit Freunden? ist doch bullshit :)
 
@wonderworld: jo hab alle nemane und pw geändert, ping auf wan aus, und fernwartung auch aus^^ aber ich schau später mal lieber, das klingt echt schon unlustig :)
 
@nati0n: hmm, wenn ich aus dem LAN einen nmap auf meine WAN-IP mache sehe ich auch die nur fürs LAN geöffneten Ports. Aus dem WAN auf meine WAN-Ip sehe ich nur die Ports, die meine Firewall am Router öffnet. (habe keinen DSL-Router sondern nehme ne Linuxkiste als Router) Hat nmap eventuell noch Optionen um die intern gefundenen Ports auszublenden? Also ich bekomme bei einem normalen nmap unterschiedliche Ergbnisse bei Scans aus LAN und WAN, deshalb der Weg zum Freund......kann mich aber natürlich auch täuschen.
 
@wonderworld: Mach nen online Portscan, hau nen Proxy dazwischen oder frag nen Kollegen. :)
 
Hab zwar nen OpenWRT-Router mit absichtlich aktiviertem SSH-Server und Dyndns-Namen, aber ich mach mir keine Sorgen. 1. Hab ich kein Standardpasswort und 2. Wird ein Portscan auf SSH bei mir auch nix bringen, weil ich den Defaultport 22 auch geändert hab ^^. Ich frag mich immer warum die Leute/Firmen immer SSH auf dem Standardport 22 lassen und den nicht einfach ändern. Bisher hatte ich privat noch keinen einzigen unerlaubten Verbindungsversuch per SSH, in der Firma mit Standardport 22 haben wir täglich mehrere dutzend.
 
@DennisMoore: Danke für den Hinweis mit dem Standardport 22. Habe ich noch gar nicht dran gedacht. So, jetzt ist er geändert.
 
Besteht die Gefahr auch, wenn man Fernwartung im Router nicht aktiviert hat?
 
@Kirill: Gute Frage, würde mich auch interessieren.
 
Kleiner Rechtschreibfehler: Debian, nicht Devian ... Außerdem ist Mipsel kein OS, sondern die Bezeichnung für MIPS-Prozessoeren, die Little Endian verwenden ... Und es gibt einen MIPS-Zweig bei Debian, aber kein Derivat oder ähnliche Forks ...
 
Ich muss sagen, dass ich es nicht bedauere, dass so etwas passiert. Ich habe so viele "PC Kenner" in meinem Umfeld, für die Linux automatisch das sicherste ist was sie kennen, da Windows ja ständig mit Angriffen aus dem WWW zu kämpfen hat, dass ich es richtig begrüße, wenn gezeigt wird, dass die größter Sicherheitslücke vor dem PC sitzt und nicht auf der Festplatte. "Systeme mit Standard-Einstellungen oder schwachen Passwörtern. " Ein nahezu perfektes Beispiel möchte man wohl sagen. Ich danke dem Redakteur. Er hat mir zumindest 2-3Tage Freiheit geschrieben.
 
Linux ist sicher ...
 
@overdriverdh21: Was haben schwache Passwörter mit Linux zu tun? oO
 
wiso sind die router dann von aussen her offen?
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.