1. Foren
  2. Kommentare
  3. Politik/Recht-Forum
  4. Alle Kommentare zum Artikel
  5. › DDoS: Das Internet of…

Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: LordGurke 27.09.16 - 01:03

    Seit vorletzter Woche Freitag sehe ich Traffic auf Port 23/TCP (telnet), der nicht mehr wirklich als Hintergrundrauschen durchgeht sondern auf manchen Prefixen deutlich sichtbar ist.
    Wo sonst innerhalb eines /24-Präfixes vielleicht 1-2 SYN-Pakete pro Sekunde kommen beobachte ich bei mir gerade so um die 10-12 SYNs pro Sekunde von den unterschiedlichsten Source-IPs.

    Wenn man sich mal einen Honeypot aufstellt sieht man, dass versucht wird mittels simpelster - Bruteforce kann man es eigentlich nicht nennen - Passwortprobiererei auf die Telnet-Konsole zu kommen und Befehle auszuführen.
    Die Befehle sind offenbar auf Embedded-Linux ausgerichtet - zumindest wird Busybox vorausgesetzt und ARM-Binaries nachgeladen. Alles irgendwo in temporären Verzeichnissen, die nach einem Reboot wieder leer sind (z.B. /tmp oder /var/run).
    Diese Binaries enthalten Mechanismen um weitere Geräte (auch im LAN!) anzugreifen und ebenfalls zu infizieren. Und einer der Usernamen der probiert werden soll ist "dreambox" - das lässt tief blicken, dass wirklich alles was greifbar ist ans Botnet soll.

    Basierend auf der Erkenntnis und der Tatsache dass sich da gerade gefühlt das halbe Internet gegenseitig scannt, gehe ich stark davon aus dass gerade mit aller Gewalt versucht wird irgendwelche angreifbaren ARM-Büchsen mit Embedded-Linux und Standardkennwörtern zu einem Botnetz zusammenzuschließen. Und nachdem das zeitlich mit den Attacken auf Brian Krebs zusammenpasst...



    1 mal bearbeitet, zuletzt am 27.09.16 01:05 durch LordGurke.

  2. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: chewbacca0815 27.09.16 - 09:52

    LordGurke schrieb:
    --------------------------------------------------------------------------------
    > Wenn man sich mal einen Honeypot aufstellt sieht man, dass versucht wird mittels simpelster - Bruteforce kann man es eigentlich nicht nennen - Passwortprobiererei auf die Telnet-Konsole zu kommen und Befehle auszuführen.

    Da brauchst Du nichtmal Bruteforce, das Root-Passwort eines bekannten Waschmaschinenherstellers ist simplerweise Ziffer 1 ...

  3. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: LordGurke 27.09.16 - 11:41

    Ja, Bruteforce ist das falsche Wort. "Bekannte Passwortlisten durchprobieren" trifft es in der Tat eher... Und vermutlich nicht einmal das, wenn die Bots clever genug sind, anhand des Login-Banners das richtige Gerät zu erraten :-/

  4. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: ibsi 27.09.16 - 11:45

    Ernst gemeinte Frage:
    Was kann man mit so einer Waschmaschine machen? Ist da ein Standard-Unix drunter wo man tatsächlich was mit anfangen kann?

  5. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: LordGurke 27.09.16 - 12:18

    Es reicht offenbar aus, um mit einfacher Software z.B. sinnlose HTTP-Requests an Webseiten zu stellen.
    Es war auch eine Liste von Browsern in der Binary enthalten, die damit wahrscheinlich gespoofed werden können.

    Normalerweise läuft auf solchen Dingern ein absolut minimalistischer Linux-Kernel mit Busybox und ein paar eigenen Binaries vom Hersteller - braucht insgesamt teilweise weniger als 5 MB RAM.

  6. Danke (k/t)

    Autor: ibsi 27.09.16 - 12:23

    Danke

  7. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: chewbacca0815 27.09.16 - 13:14

    ibsi schrieb:
    --------------------------------------------------------------------------------
    > Ernst gemeinte Frage:
    > Was kann man mit so einer Waschmaschine machen? Ist da ein Standard-Unix drunter wo man tatsächlich was mit anfangen kann?

    Ein Embedded Linux. Mit der WaMa brauchst Du garnix anfangen, aber wenn Du per root drauf bist, kannst Du SSH aufmachen und dann per SSH-Tunnel jede beiliebe IP im internen Netz ansprechen. Diese Backdoor kann größer nicht sein :o)

  8. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: lear 27.09.16 - 15:14

    Nächste Frage: warum ist das Ding nach außen offen? Tunnelt es sich per UPnP raus, damit man den Waschvorgang in der Cloud loggen kann? Telefoniert es nach Hause, damit der Hersteller die schmuddeligkeit seiner Kunden kennt?

    Ich kann mir ja noch vage vorstellen, warum man eine Waschmaschine ans lokale Netz anschließt, aber ans Internet???

  9. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: SoniX 27.09.16 - 16:24

    Denk mal wieviele Leute da draussen sind die keine Ahnung haben. Die stecken das Kabel dort rein wo es reinpasst und haben ein Erfolgserlebnis wenn es grün aufleuchtet.

    Und ja, klar auch Clouddienste. Alles mögliche ist inzwischen per Handy erreichbar. Nur nehmen die Hersteller Sicherheit oft nicht ernst und der User hat keine Ahnung.

  10. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: LordGurke 27.09.16 - 16:27

    Du musst die Geräte ja nicht mal zwingend am Internet haben. Es reicht, wenn ein einziges Gerät in deinem LAN irgendwie aufgemacht wird, dann wird alles in deinem lokalen Netz gleich mit angegriffen ;-)
    Und aufmachen kannst du die viele Geräte auch per HTTP...

  11. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: chewbacca0815 27.09.16 - 16:52

    lear schrieb:
    --------------------------------------------------------------------------------
    > Nächste Frage: warum ist das Ding nach außen offen? Tunnelt es sich per UPnP raus, damit man den Waschvorgang in der Cloud loggen kann?

    Volltreffer! Die App muss ja irgendwie den Ping raushauen können, damit man in der App sehen kann, dass die Maschine fertig ist.

    Und die Smartgrid-Steuerung muss auch irgendwie aufgebaut werden, damit die Maschine den günstigen Überhangstrom aus all den Photovoltaikanlagen abgreifen kann. Aber keine Sorge, nicht der Hersteller der Waschmaschine wird den Verschmutzungsgrad der Wäsche erfahren, sondern Dein Stromanbieter, der das Smartgrid zur Verfügung stellt ;-)

  12. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: chewbacca0815 27.09.16 - 16:54

    LordGurke schrieb:
    --------------------------------------------------------------------------------
    > Es reicht, wenn ein einziges Gerät in deinem LAN irgendwie aufgemacht wird, dann wird alles in deinem lokalen Netz gleich mit angegriffen ;-)

    Jupp, genau so war es gemeint! IoT ist die einfachste und gefährlichste Backdoor für's eigene Netz.

    > Und aufmachen kannst du die viele Geräte auch per HTTP...

    Aber über HTTP kannst Du keinen Tunnel aufbauen, um per HTTP-Relay auf andere Adressen zu kommen; geht nur per SSH ;-)

  13. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: whitbread 29.09.16 - 06:32

    LordGurke schrieb:
    --------------------------------------------------------------------------------
    > Du musst die Geräte ja nicht mal zwingend am Internet haben. Es reicht,
    > wenn ein einziges Gerät in deinem LAN irgendwie aufgemacht wird, dann wird
    > alles in deinem lokalen Netz gleich mit angegriffen ;-)

    Naja, das ist die Realität in vielen Haushalten, was aber nicht heisst, dass es so bleiben muss.
    Um beim Beispiel der Waschmaschine zu bleiben: Diese gehört eben in ein Netzwerksegment, das (wenn man denn überhaupt seine WaMa in der Cloud haben will) ausschliesslich Zugang zum Internet, aber sicher nicht auf das LAN haben sollte.
    Aber ich vermute, dass AVM-Nutzer bspw. mit einer neuen Farbe für IoT Geräte an ihrer Fritte überfordert wären.
    Daher müssen diese uns aktuell so umgebenden Themen in die Schule! Dann kann Junior dem Opa und dem Papa ganz schnell alles so einrichten, wie es sein sollte. Die Realität ist aber leider, dass die Schule WA-Gruppen nutzt und auf eine eigene HP verzichtet und alles über FB macht... :(

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Java Softwareentwickler (m/w/d)
    Brückner Maschinenbau GmbH & Co. KG, Siegsdorf
  2. Servicetechniker (w/m/d) 2nd Level
    Bechtle Onsite Services GmbH, Wolfsburg
  3. Softwareentwickler C# (m/w/d)
    Hays AG, Lübeck
  4. SAP Application Manager (m/w/d) Finance
    SCHOTT AG, Mainz

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. LG OLED65C17LB für 1.499€ inkl. 200€ Direktabzug)
  2. danach 7,99€/Monat für Prime-Mitglieder (sonst 9,99€) - jederzeit kündbar
  3. 756,29€ (Bestpreis)
  4. (u. a. Zangen-Set 3-teilig für 37,59€, Schraubendreher-Set 6-teilig für 31€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minidisc gegen DCC: Der vergessene Formatkrieg der 90er-Jahre
Minidisc gegen DCC
Der vergessene Formatkrieg der 90er-Jahre

Vor 30 Jahren hat Sony die Minidisc als Nachfolger der Kompaktkassette angekündigt - und Philips die Digital Compact Cassette. Dass sich an diese nur noch Geeks erinnern, hat Gründe.
Von Tobias Költzsch


    Galaxy Z Flip 3 im Test: Wir wollen ja, dass es klappt
    Galaxy Z Flip 3 im Test
    Wir wollen ja, dass es klappt

    Samsungs Flip 3 ist sehr gut verarbeitet und hat einen besser nutzbaren Außenbildschirm - trotzdem ist uns das Aufklappen immer noch eher lästig.
    Ein Test von Tobias Költzsch

    1. Smartphone Samsung entfernt Werbung aus eigenen Apps
    2. Galaxy Watch 4 Classic im Test Samsungs Tempo plus Googles App-Auswahl
    3. Fotografie Samsung präsentiert 200-Megapixel-Sensor für Smartphones

    Probefahrt mit BMW i4 M50: Für mehr Freude am Fahren
    Probefahrt mit BMW i4 M50
    Für mehr Freude am Fahren

    Der neue BMW i4 M50 bringt seine 400 kW Motorleistung sehr souverän auf die Straße. Und das auf einer Verbrennerplattform.
    Ein Bericht von Friedhelm Greis

    1. Daymak Spiritus Elektroauto macht Krypto-Mining auf drei Rädern
    2. Foxconn Eigene Elektroautos unter dem Namen Foxtron vorgestellt
    3. E-Kleinstwagen Microlino bekommt ein Exoskelett als Offroader