[all] Hacktool op je dreambox?!

[Adriano]

Ik kwam op een ander forum een virus waarschuwing tegen. Als je niet achter een firewal zit met je dreambox en je hebt poort 21 open staan kan het zijn dat er een var/tool2 dir op je box is aangemaakt waar de volgende file in kan staan *_tool2.tar. Dat blijkt dus een hacktool te zijn.

 

Hier nog het verhaal in het engels:

 

 

something is hacking the dreambox when you have port 21 open

how they find you i dont know maybe because of 1 cw that leads to 100 others

and that leads to 100.000 others and so on

when they have hacked you then they uploaded a tarfile 4347_tool2.tar in /var and

unpack it in /var/tool2

and then run a script start.sh in /var/tool2 which uses a binary called tvconnector.

 

who thes people are i dont know what this does i dont know

i do know that it should not be in youre dreambox

this could easy be spyware from who knows

my advise is to you all check youre dreambox id you see one of thes files/dir's in youre box

FLASH IT

dont take any risk maybe youre box is sending data about youre peers

maybe youre box is sending data to collect as evidence against you

 

for those who know what this is

maybe they can explain

i have some files here for examination

[Tazmanius]

Poort 21 is de ftp poort. Deze is dus alleen te benaderen als je de dreambox direct aan je internetverbinding hebt hangen zonder router. (Of in de router de prot zelf forward maar zou niet weten waarom je dat zou doen) Ik heb niet heel veel kennis van de dreambox maar wel van computers/netwerken etc en het ziet er een beetje naar uit dat het een hoax is. Zeker omdat er zo weinig bekend over is. Mocht iemand het bestand aantreffen zou ik het graag eens inzien maar zou me neit te veel zorgen maken. Anders had dream zelf ook wel gewaarschuwd.

[jackren]

Heb het bestand gevonden op een van mijn db 'en direkt verwijderd en ftp poort gesloten.

Zal het bijbvoegen , kan iemand het even nakijken die er verstand van heeft, of en wat het doet.

Is er trouwens een firewall plugin die in verschillende images werkt?

[dAF2000]

Citaat:

Heb het bestand gevonden op een van mijn db 'en direkt verwijderd en ftp poort gesloten.
Zal het bijbvoegen , kan iemand het even nakijken die er verstand van heeft, of en wat het doet.
Is er trouwens een firewall plugin die in verschillende images werkt?

PLi heeft standaard een firewall in de image.
En ik ben wel benieuwd naar die file.

[Gast]

Ik wil hiervoor als oplossing ssh op de dreambox gaan plaatsen, heb deze reeds geplaatst, en kan met /hdd/opt/ssh/sbin/sshd deze starten, maar het lukt me niet om het automatisch te laten starten tijdens het booten, wie weet waar ik deze regel kan plaatsen, zodat bij een herstart de daemon automatisch wordt gestart?

[jackren]

Citaat:

Citaat:

Heb het bestand gevonden op een van mijn db 'en direkt verwijderd en ftp poort gesloten.
Zal het bijbvoegen , kan iemand het even nakijken die er verstand van heeft, of en wat het doet.
Is er trouwens een firewall plugin die in verschillende images werkt?

PLi heeft standaard een firewall in de image.
En ik ben wel benieuwd naar die file.

Hier is het bestandje , nu dubbel ingepakt.

1305390-3660_tool2.tar.zip

[koekjedebij]

Je hoeft hier echt geen zorgen om te maken, het lijkt erop dat de binary 'tvconnector' voor elke URL wordt uitgevoerd met 'blap' als configfile (dat steeds een andere user-agent gebruikt).

Uiteindelijk zal het script falen op de lookup van de genoemde URL's omdat die niet bestaan.

 

Feit is idd dat het niet iets is wat standaard in de image zit en het ook niet zo hoort te zijn dat iemand dat er bij jou op kan zetten.

 

Persoonlijk vind ik dat:

- Hang je DB nooit direct aan het internet (ook al heb je er een firewall op draaien). Zet ook geen poorten direct door naar je DB. Als je een (linux)server thuis hebt draaien doe dan alles via portforwarding over SSH.

- Verander ALTIJD het standaard root password (ik vermoed dat het grote gros op dit forum dit helemaal niet doet. Elke keer na het flashen moet je dit opnieuw doen).

- Gebruik geen telnet maar SSH (ff telnet in /etc/inetd.conf uithashen en inetd kill-huppen).

- enz enz

 

Onthoud: telnet=NIET ENCRYPTED, ftp=NIET ENCRYPTED, SSH=WEL ENCRYPTED.

met telnet en ftp is dus eenvouding dmv sniffers/tcpdumps je userid/passwd te achterhalen

[henkie v]

mauce is er ergens een link om ssh te gebruiken gelijk op je db..

ik maak nu altijd een ssh verbiding met mijn linux server en start dan via deze server een telnet of ftp verbinding met de dbox.. dat loopt dan toch over de ssh encrypted verbinding ?

[Ptje]

Wat ik wel heel typisch vind, is dat het alle Pli image`s betreft als ik het een beetje volg.

 

afz. Ptje

[dAF2000]

Citaat:

Wat ik wel heel typisch vind, is dat het alle Pli image`s betreft als ik het een beetje volg.

afz. Ptje

Wie wat waar zie/volg je dat?

[koekjedebij]

Citaat:

mauce is er ergens een link om ssh te gebruiken gelijk op je db..
ik maak nu altijd een ssh verbiding met mijn linux server en start dan via deze server een telnet of ftp verbinding met de dbox.. dat loopt dan toch over de ssh encrypted verbinding ?

Zoals je het nu omschrijft is het goed, je SSH-tunnel loopt dan tot je linuxbak (ik ga er vanuit dat die WEL achter een firewall staat).
In dat geval ben je dus al op een veilige (encrypted) manier op je eigen LAN gekomen. Er vanuit gaand dat je eigen LAN VEILIG is hoef je daar natuurlijk niet per se alles encrypted te doen.

De reden dat ik van mening ben dat je de dreambox beter niet direct aan het internet kunt hangen is dat de manier waarop dreammedia met security om gaat tegen alle 'regels' in gaat.
Even als voorbeeld:
- alles op de DB draait onder root, dat is dus eingelijk taboe! Sterker nog, steeds meer linux distros werken alleen nog maar met 'sudoers', zo moet je met ubuntu eerst een root-password setten voordat je een root-shell kunt krijgen.
Met dreammedia dus niet!
- standaard staan gewoon poorten open, ook al gebruik je de betreffende services niet.
Eventjes een snelle portscan levert dit op:
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3001/tcp open nessusd
8080/tcp open http-proxy
10000/tcp open snet-sensor-mgmt
12000/tcp open cce4x
31337/tcp open Elite
Beter is om alles standaard dicht te gooien en alleen datgenen open te zetten wat je daadwerkelijk wilt gebruiken.

De dreambox draait dus wel op linux, maar niet zoals het hoort zeg maar.....
BLijkbaar heeft dreammedia voor functionaliteit gekozen (om het eenvoudig te houden) en niet voor veiligheid.

Ik weet dat je hier lang over door kunt discussieren en iedereen er zo op zijn eigen manier mee om gaat.
Maar dit is mijn mening.

Even terug op jouw vraag:
Als jij -zoals ik begrijp uit jouw vraag- direct naar de DB wilt kunnen SSHen zul je dus een portforward in je firewall direct naar de DB moeten maken (poort 22).
Maar dat is juist af te raden, ik neem aan dat je linuxserver van alle security faciliteiten is voorzien (RSA-keys, iptables etc etc etc?). In dat geval zou ik het zeker zo laten.
Webinterface, streams etc etc kun je met portforwarding OVER de tunnel heen laten lopen (optie -L op het ssh commando).
Over hoe je dat precies moet doen moet je ff googlen. Je moet ff onthouden dat je tunnel niet per se op de dreambox hoeft te termineren om een stream of webinterface te forwarden. Je kunt er maximaal 1 hop vanaf zitten.

Dus ff googlen naar portforwarding over SSH.

[Gast]

Citaat:

Als jij -zoals ik begrijp uit jouw vraag- direct naar de DB wilt kunnen SSHen zul je dus een portforward in je firewall direct naar de DB moeten maken (poort 22).
Maar dat is juist af te raden, ik neem aan dat je linuxserver van alle security faciliteiten is voorzien (RSA-keys, iptables etc etc etc?). In dat geval zou ik het zeker zo laten.

Mocht je nu wel met ssh een verbinding naar je db willen maken, hoe kun je dan je db configureren, zodat deze daemon automatisch wordt gestart, toevoegen in /etc/inetd.conf lukt niet, doordat deze ro is gemount?

Arjan

[Gast]

Waarom zou een SSH naar de dreambox minder veilig zijn dan naar een "gewone" PC? (Ik ga er vanuit dat SSH op de dreambox ook protocol versie 2 gebruikt)

[koekjedebij]

Citaat:

Waarom zou een SSH naar de dreambox minder veilig zijn dan naar een "gewone" PC? (Ik ga er vanuit dat SSH op de dreambox ook protocol versie 2 gebruikt)

Ja de dreambox ondersteunt ook ssh2.
ssh an sich op de db is inderdaad niet slechter of zo.
Ik bedoelde het ook meer in het algemeen (zeker als je al een server ergens anders in je LAN hebt wat al voorzien is van de bovengenoemde access restricties.)

[koekjedebij]

Citaat:

Mocht je nu wel met ssh een verbinding naar je db willen maken, hoe kun je dan je db configureren, zodat deze daemon automatisch wordt gestart, toevoegen in /etc/inetd.conf lukt niet, doordat deze ro is gemount?

Arjan

Dat hoeft dus niet, je moet het kind niet met het badwater weggooien maar het kan wel met bijvoorbeeld 'portknocking' maar ik denk niet dat dat door de dreambox wordt ondersteund.
NB: ik heb een 7020 en daar is /etc rw maar in jouw geval is dat ro??? kan dat zijn omdat je een 7000 hebt (ik ken alleen de 7020)