Moose-Wurm betreibt Social Networking von eurem Router aus

Ein neuer Wurm nistet sich derzeit in zahlreiche Geräte ein, die mit Linux-Betriebssystemen betrieben werden. Zu seinen Zielen gehören vor allem Kabel- und DSL-Modems, Home-Router und vergleichbare Embedded-Systeme. Von diesen aus beginnt die ... mehr... Tier, Moose, Elch Bildquelle: U.S. Fish and Wildlife Service Tier, Moose, Elch Tier, Moose, Elch U.S. Fish and Wildlife Service

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
"Ein neuer Wurm nistet sich derzeit in zahlreiche Geräte ein, die mit Linux-Betriebssystemen betrieben werden"...

der ganze Artikel ist eine Lüge - Linux ist Sicher!!!
 
@baeri: Ich weiß, dass das ein Scherz sein soll, aber KEIN System ist mit z. B. dem Passwort "test123" sicher.
 
@ZappoB: Doohoooch... weil unter Linux bekommt man ja auch wenn man sich anmeldet nicht gleich root Rechte!!!

edit: PS... jo... nur Spaß :P
 
@baeri: wenn es das Root-Passwort ist, dann schon ;)
 
@baeri: Sicherlich ist linux viel sicherer. Aber was nützt das, wenn die ganzen Vorkehrungen sinnlos sind, wenn root kein oder ein schwaches passwort hat. ausserdem will ich windows auf einem router lieber nicht sehen ... viel zu groß und lahm ...
 
@baeri:
Die Sicherheit geht zum größten Teil vom Anwender aus.
Wenn ich in den Text schon lese, dass der Wurm die Cookies benutzt, frage ich mich wie wichtig den Leuten die Privatsphäre ist, denn über die Cookies bekommen Amazon, Facebook oder Andere Firmen das genau Surfverhalten mit. Als Standard sollte man die Cookies deaktivieren oder zumindest sollten die automatisch gelöscht werden wenn man die Browser schließt.
Und man sollte auch seinen Router und sonstige Accounts mit einen komplexeren Passwort als mit nur 1234 schützen.
Und Facebook wird sowieso immer mehr zum Angriffsziel von Schadsoftware, gerade weil dort auch viele User unterwegs sind, die von Computerschutz u. CyberKriminalität kaum Ahnung haben.
 
@ContractSlayer: also wenn dann schon 123456, weil meistens braucht man min. 6 Zeichen :>
 
Vielen Dank für die generelle Panikmache, für den Otto-Normal-Verbraucher wäre jetzt bestimmt interessant, welche Router konkret betroffen, oder auch sicher sind, und wie betroffene Geräte abgesichert werden können.
 
@ZappoB: Vermutlich sind die Geräte EGAL... wichtig sind die Passwörter... und das sollte wohl jeder selbst wissen was er für eines nutzt...
 
@baeri: Es sind doch nicht alle Geräte per Telnet von Inet aus erreichbar - bei AVM ist Telnet z.B. grundsätzlich deaktiviert.
 
@ZappoB: hier stellt sich die Frage von wo aus der Angriff wirklich kommt...

=> AVM geht Telnet nicht... und auch von den meisten anderen komme ich von "Außen" nicht drauf...
aber wenn ein Client von innen Missbraucht wird kann man viel anstellen...

> ich behaupte mal wer mit Telnet was anfangen kann, der weiß auch, das man sein Passwort ändert! D.h. kann man davon ausgehen, das der erfolg nur sehr gering wäre Leute anzugreifen die Telnet aktivieren aber kein vernünftiges Passwort haben...
... man kann aber über den Client trotzdem viel anstellen (z.B. beim Besuchen einer Vorkonfigurierten Website) ...
 
@ZappoB: nicht die Kabelrouter da sie auch für die Provider offen sein müssen
 
@ZappoB: für alle AVM Nutzer (Fritzbox) ein Analoges Telefon anshcließen und [#96*8*] anrufen (Telnet aus) ... danach Router für 30 Sekunden vom Strom nehmen
 
@ZappoB: Ich wette das SemperVideo das bestimmt demonstrieren wird, wie man es selbst testen kann ob man betroffen ist... https://www.youtube.com/user/SemperVideo
 
Schon wieder einer? Das ist jetzt der 3. innerhalb von ein paar tagen? Ich hab meinen Router schon seit dem ersten offline, weil D-Link mal wieder schläft.
 
@Freudian: und wie gehst du ins Internet?
 
@MarcelP:
Tjaaaaa, Magie.
Ich habe mehrere Router.
 
@Freudian: konnte man aus deinem Text so aber nicht rauslesen ;) für mich klang es so als wärst du generell offline
 
@MarcelP: Dachte auch er wohnt über einem McDonalds :D
 
Linux und "Wurm"??? Na geh - NIEMALS!!!! Das is ja sicher!!!
 
sorry aber die Überschrift hat jetzt echt Bild-Niveau. Wenn ich das richtig lese kommt das ding nur dort ran wo der Telnet-Port offen ist - in meinem Fall, und ich denke auch bei vielen anderen, ist diese nicht so - ergo nix "von eurem Router"
 
@MarcelP: und bist du dir sicher, das man den mit Benutzernamen und Passwort nicht öffnen kann? <- dieweil genau das wird gemacht!
 
@baeri: nein lässt sich nicht aktivieren. Und selbst wenn kommt es einfach auf die Sicherheitseinstellungen und Benutzername/Passwort an.
 
@MarcelP: Admin 0000 oder 12345... Hier noch ein passender Link von Bild :D http://www.computerbild.de/fotos/Zugangsdaten-User-Passwort-Router-4210936.html
 
@Siniox: ey woher hast du mein passwort :O :D
 
Über TELNET erreichbar? Von außen? *shock*

Tja. Wer nicht hören will, muß fühlen. Dummerweise trifft's mal wieder den ahnungslosen DAU und nicht den Hersteller, der grad noch so Linux aufs Gerät geflasht gekriegt hat.
 
@RalphS: Ich dachte die DAU's gibt es nur bei Windows.
Und unter LINUX sind nur die totalen Checker unterwegs,
denen man nichts vormachen kann.

Und jetzt auf einmal Moose-Worm4-Linux ?
Wie konnte das denn passieren ?
 
@Selawi: Mh? DAUs gibt's überall und Linux-DAUs sind nicht weniger gefährlich für die Sicherheit als Windows-DAUs.

Allerdings geht's doch hier um Router. Die verstehen 99% der Leute nicht als Computer in dem Sinne, sondern einfach als Black Box, die entweder läuft oder nicht läuft.

- Nein, in diesem Fall sind die DAUs nur Kollateralschaden und an ihre Stelle tritt der DAD, der Dümmste Anzunehmende Distributor, der - wie erwähnt - grad noch in der Lage ist, jemanden für ihn ein Image auf die Box(en) flashen zu lassen.

uPnP auf dem Router sagt doch schon alles, und wenn man sich anschaut wie weit das verbreitet ist... nö, da würde ich mich auch über ein weit verbreitetes Telnet-am-WAN-Port nicht wundern.
 
Liebes WF Team,
Danke für die Warnung, aber wieso muss ich erst noch im Netz suchen um genaue Informationen und Möglichkeiten der Prävention zu finden?

http://www.welivesecurity.com/deutsch/2015/05/26/linux-moose-wurm-fuer-soziale-netzwerke-greift-router-an/

Prävention
Ändere die voreingestellten Passwörter auf Netzwerkgeräten, auch wenn sie nicht vom Internet zugänglich sind. Deaktiviere das Telnet-Login und verwende SSH wo immer es geht.
Stell sicher, dass dein Router nicht über die Ports 22 (SSH), 23 (Telnet), 80 (HTTP) und 443 (HTTPS) erreichbar ist. Solltest du bei der Ausführung des Tests unsicher sein, dann nutze die Überprüfung der &#132;gängigen Ports&#147; von ShieldsUP auf GRC.com. Achte darauf, dass die oben genannten Ports einen Stealth- oder Closed-Status erhalten.
Zudem raten wir, die neueste Firmware zu nutzen, die vom Hersteller des Systems bereitgestellt wird.

Weitere Informationen mit allen technischen Details sind auf WeLiveSecurity http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf
verfügbar.
 
@Kribs: "Stell sicher, dass dein Router nicht über die Ports 22 (SSH), 23 (Telnet), 80 (HTTP) und 443 (HTTPS) erreichbar ist. "

Ich finds scheiße, wenn mein Router "nicht" mehr erreichbar ist.

Die Tips die hier stehen sind nicht schlecht... sinnvoller wäre es aber einfach n Vernünftiges Passwort zu verwenden... Standard sind 8 Stellen mit Sonderzeichen groß und kleinbuchstaben...
besser wären 12 Stellen dazu noch darauf achten, das keine Logischen folgen vorkommen...

=> dann kann auch der Port 443 von "Außen" offen sein!
 
@baeri: Grundsätzlich hast Du recht, aber 8 Zeichen sind heutzutage nicht mehr ausreichend. Das kann inzwischen relativ schnell geknackt werden. Zudem ist die Zusammenstellung des Passwortes entscheidend. Viele ersetzen Buchstaben durch Ziffern, hängen Ziffern an oder ähnliches. Solche Passwörter sind in wenigen Minuten oder gar Sekunden gefunden. Probiere mal unter http://www.wiesicheristmeinpasswort.de/ - und das ist noch keine komplette Bewertung, da die lexikalischen und logischen Bezüge nicht berücksichtigt werden (bei deutschen Webseiten versucht man Abwandlung von deutschen Wörtern, bei Account googled man die Benutzer und nimmt Infos von dort, ...). In Zeiten wo ich zum Hacken beliebig viel Rechenpower nutzen kann (z.B. durch AWS), sind Passwörter am besten 15 zeichen lang oder mehr und verwenden am besten 4 Zeichenklassen und verwurschteln keine realen Wörter.
 
@Nunk-Junge: ich habe noch nie mein Passwort auf Seiten wie: "http://www.wiesicheristmeinpasswort.de" eingegeben...

vermutlich kommen von solchen Seiten solche Passwortlisten (ohne diese jetzt verurteilen zu wollen)...

wie du sicherlich lesen kannst, habe ich auch "besser wären 12 Stellen" geschrieben!

außerdem... klar kann man auch 8 Stellen oder sogar 12 Stellen knacken... aber solche Würmer, Malware, Viren, Trojaner und Co. gehen zuerstmal den Weg des geringsten Widerstandes... und der liegt bei weiten noch nicht bei 8 Stellen & Sonderzeichen!
 
@baeri: Du sollst auch auf KEINEN Fall Dein reales Passwort dort eingeben. Aber ein vergleichbares Passowrt kannst Du mal testen. Wenn Dein Passwort 'baeri1977' ist, dann sagt die Webseite 9 Minuten. Ich würde eher auf wenige Sekunden tippen, da Dein Account so heißt. Aber Du testest dann lieber 'peter1966' und die Webseite sagt Dir: Knackbar sofort.
 
@baeri: Leider gehen die Knachversuche doch schon länger so weit, dass 8 Zeichen-Passwörter erfolgreich angegriffen werden. Siehe dazu den Ars Technica-Wettbewerb von 2013: http://bit.ly/1LIOakg - und in 2 Jahren hat sich leider noch sehr viel getan. Hier ein paar Passwörter, die NICHT sicher sind (weil sie erfolgreich geknackt wurden): :LOL1313le qeadzcwrsfxv1331 Oscar+emmy2 n3xtb1gthing J21.redskin
 
@Nunk-Junge: meine Fritzbox wäre auch mit einem 5 Stelligen passwort so schnell nicht knackbar -> zumindest nicht über Telnet oder HTTP,...

weil viele Versucht hat die Seite nicht, ehe die Wartezeit pro versuch auf 2 Minuten steigt...
=> deshalb kommt es nicht nur aufs Passwort selbst an sondern auch noch auf den 2. Faktor der z.B. viele versuche verhindert!
 
@Nunk-Junge: hab mal mein 15-stelliges Passwort eingegeben (leicht verändert versteht sich... (Zahlen/Groß/Klein/Sonderzeichen)
Benötigte Zeit (Sekunden): 28428750000000.055
Selbst ein 10tel der Zeit soll mir da Recht sein.
 
@tapo: "hundkatzemauskuhganspferd" ist, wenn es danach geht, wesentlich (Millionenfach) "sicherer", enthält keinerlei Sonderzeichen, keine Großbuchstaben und keine Zahlen und ist Scheiße einfach zu merken.
 
@Kribs: weil wir hier auf keinem ernst zunehmenden Informationskanal sitzen, sondern eher auf einer "Hab-euch-lieb-Community" ;-)
 
@TurboV6: +
Oh, ich Danke für die Aufklärung, ich muss eingestehen das ich diese Seite damit völlig verkannt habe.
Einer hat dich gerade nicht Lieb, wieso auch immer.
;-)
 
Sorry ich öffne einen neuen Post für eine, vieleicht abwegige, Frage:

Der Dienst Telnet ist sei mindestens WinXP über Vista und in Windows 7 vorhanden und kann über "Start/Systemsteuerung/Programme/Windows-Funktionen aktivieren oder deaktivieren/ Telnet-Client" Aktiviert werden, bei Windows 8.x oder 10 weiß ich es nicht.

Kann über diesen Windows-Dienst, sollte er Aktiviert sein, der Angriff gegen den Netzwerk-Router erfolgen, hab leider nichts gefunden weder dafür noch dagegen?
 
@Kribs: Natürlich. Telnet ist inhärent unsicher.

Aber das interessiert in diesem Kontext nicht, denn der fragliche Telnetdienst ist kein WINDOWSdienst sondern ein NETZWERKdienst und dieser läuft direkt auf dem Router (oder auch nicht), wo er - im Gegensatz zum Otto-Normal-Heimnetzrechner -- auch standardmäßig übers Internet erreichbar ist.
 
@RalphS: Das ist >leider< keine Antwort auf meine Frage,
Telnet ist die Tür über die der Wurm einfällt und sich ins Ram des Netzwerkgerätes schreibt, Telnet abschalten verhindert die Infektion, die eigentliche Unsicherheit im Netzwerkgerät bleibt aber bestehen.
Wenn aber der am Netzwerkgerät angeschlossenen Client-Rechner Telnet aktiv nutzt öffne ich doch (Vieleicht) diese Tür wieder?
 
@Kribs: Wie kommst Du denn auf die Idee? Wenn auf Deinem PC ein Telnetdienst laufen sollte (was standardmäßig NICHT der Fall ist), kommt man da aus dem Internet potentiell nur dann ran, wenn a) KEIN Router dazwischen hängt (= nur ein Modem) oder b) man explizit eine Portweiterleitung konfiguriert hat, in welchem Fall man buchstäblich selber schuld ist.

Der Telnet-Client ist da völlig uninteressant. Ein Email-Client nützt Dir ja auch nichts ohne Mailserver.
 
@RalphS: Danke, werde dich nicht mehr behelligen.
 
@WinFuture : Weshalb behauptet ihr " VON EUREM ROUTER " was meinen includiert wo nicht der fall ist !? Reichts nimmer mehr fürs Bild niveau ? Sehr armseelig das.
 
Bei mir ist schon lange Schluss mit Script oder diversen Angriffsszenarien vom Betriebssystem bzw. Webbrowser auf den Router. Einfach, wie in meinem Fall auf der FritzBox, mit einer geeigneten Firewall die lokale IP des Routers (192.168.178.1 & 169.254.1.1) sperren bis auf die Gateway Funktion und bei Bedarf eines Zugriffs auf die Oberfläche der FritzBox über ein gesondertes Betriebssystem (z.B. in VMware) über eine feste lokale IP wo kein Gateway und DNS Server in den TCP/IP Eigenschaften zugewiesen wird. Der größte Feind deines Routers ist der eigene Webbrowser, denn dieser ist das schwache Glied in der Kette, wo den Zugriff von Außen in das lokale Netz ermöglicht!
 
@Cosmics: Der größte Feind aller Anwenderhard- und Software ist der Anwender.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles