Abo
  1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › DDoS: Das Internet of Things…

Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

  1. Thema

Neues Thema Ansicht wechseln


  1. Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: LordGurke 27.09.16 - 01:03

    Seit vorletzter Woche Freitag sehe ich Traffic auf Port 23/TCP (telnet), der nicht mehr wirklich als Hintergrundrauschen durchgeht sondern auf manchen Prefixen deutlich sichtbar ist.
    Wo sonst innerhalb eines /24-Präfixes vielleicht 1-2 SYN-Pakete pro Sekunde kommen beobachte ich bei mir gerade so um die 10-12 SYNs pro Sekunde von den unterschiedlichsten Source-IPs.

    Wenn man sich mal einen Honeypot aufstellt sieht man, dass versucht wird mittels simpelster - Bruteforce kann man es eigentlich nicht nennen - Passwortprobiererei auf die Telnet-Konsole zu kommen und Befehle auszuführen.
    Die Befehle sind offenbar auf Embedded-Linux ausgerichtet - zumindest wird Busybox vorausgesetzt und ARM-Binaries nachgeladen. Alles irgendwo in temporären Verzeichnissen, die nach einem Reboot wieder leer sind (z.B. /tmp oder /var/run).
    Diese Binaries enthalten Mechanismen um weitere Geräte (auch im LAN!) anzugreifen und ebenfalls zu infizieren. Und einer der Usernamen der probiert werden soll ist "dreambox" - das lässt tief blicken, dass wirklich alles was greifbar ist ans Botnet soll.

    Basierend auf der Erkenntnis und der Tatsache dass sich da gerade gefühlt das halbe Internet gegenseitig scannt, gehe ich stark davon aus dass gerade mit aller Gewalt versucht wird irgendwelche angreifbaren ARM-Büchsen mit Embedded-Linux und Standardkennwörtern zu einem Botnetz zusammenzuschließen. Und nachdem das zeitlich mit den Attacken auf Brian Krebs zusammenpasst...



    1 mal bearbeitet, zuletzt am 27.09.16 01:05 durch LordGurke.

  2. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: chewbacca0815 27.09.16 - 09:52

    LordGurke schrieb:
    --------------------------------------------------------------------------------
    > Wenn man sich mal einen Honeypot aufstellt sieht man, dass versucht wird mittels simpelster - Bruteforce kann man es eigentlich nicht nennen - Passwortprobiererei auf die Telnet-Konsole zu kommen und Befehle auszuführen.

    Da brauchst Du nichtmal Bruteforce, das Root-Passwort eines bekannten Waschmaschinenherstellers ist simplerweise Ziffer 1 ...

  3. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: LordGurke 27.09.16 - 11:41

    Ja, Bruteforce ist das falsche Wort. "Bekannte Passwortlisten durchprobieren" trifft es in der Tat eher... Und vermutlich nicht einmal das, wenn die Bots clever genug sind, anhand des Login-Banners das richtige Gerät zu erraten :-/

  4. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: ibsi 27.09.16 - 11:45

    Ernst gemeinte Frage:
    Was kann man mit so einer Waschmaschine machen? Ist da ein Standard-Unix drunter wo man tatsächlich was mit anfangen kann?

  5. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: LordGurke 27.09.16 - 12:18

    Es reicht offenbar aus, um mit einfacher Software z.B. sinnlose HTTP-Requests an Webseiten zu stellen.
    Es war auch eine Liste von Browsern in der Binary enthalten, die damit wahrscheinlich gespoofed werden können.

    Normalerweise läuft auf solchen Dingern ein absolut minimalistischer Linux-Kernel mit Busybox und ein paar eigenen Binaries vom Hersteller - braucht insgesamt teilweise weniger als 5 MB RAM.

  6. Danke (k/t)

    Autor: ibsi 27.09.16 - 12:23

    Danke

  7. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: chewbacca0815 27.09.16 - 13:14

    ibsi schrieb:
    --------------------------------------------------------------------------------
    > Ernst gemeinte Frage:
    > Was kann man mit so einer Waschmaschine machen? Ist da ein Standard-Unix drunter wo man tatsächlich was mit anfangen kann?

    Ein Embedded Linux. Mit der WaMa brauchst Du garnix anfangen, aber wenn Du per root drauf bist, kannst Du SSH aufmachen und dann per SSH-Tunnel jede beiliebe IP im internen Netz ansprechen. Diese Backdoor kann größer nicht sein :o)

  8. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: lear 27.09.16 - 15:14

    Nächste Frage: warum ist das Ding nach außen offen? Tunnelt es sich per UPnP raus, damit man den Waschvorgang in der Cloud loggen kann? Telefoniert es nach Hause, damit der Hersteller die schmuddeligkeit seiner Kunden kennt?

    Ich kann mir ja noch vage vorstellen, warum man eine Waschmaschine ans lokale Netz anschließt, aber ans Internet???

  9. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: SoniX 27.09.16 - 16:24

    Denk mal wieviele Leute da draussen sind die keine Ahnung haben. Die stecken das Kabel dort rein wo es reinpasst und haben ein Erfolgserlebnis wenn es grün aufleuchtet.

    Und ja, klar auch Clouddienste. Alles mögliche ist inzwischen per Handy erreichbar. Nur nehmen die Hersteller Sicherheit oft nicht ernst und der User hat keine Ahnung.

  10. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: LordGurke 27.09.16 - 16:27

    Du musst die Geräte ja nicht mal zwingend am Internet haben. Es reicht, wenn ein einziges Gerät in deinem LAN irgendwie aufgemacht wird, dann wird alles in deinem lokalen Netz gleich mit angegriffen ;-)
    Und aufmachen kannst du die viele Geräte auch per HTTP...

  11. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: chewbacca0815 27.09.16 - 16:52

    lear schrieb:
    --------------------------------------------------------------------------------
    > Nächste Frage: warum ist das Ding nach außen offen? Tunnelt es sich per UPnP raus, damit man den Waschvorgang in der Cloud loggen kann?

    Volltreffer! Die App muss ja irgendwie den Ping raushauen können, damit man in der App sehen kann, dass die Maschine fertig ist.

    Und die Smartgrid-Steuerung muss auch irgendwie aufgebaut werden, damit die Maschine den günstigen Überhangstrom aus all den Photovoltaikanlagen abgreifen kann. Aber keine Sorge, nicht der Hersteller der Waschmaschine wird den Verschmutzungsgrad der Wäsche erfahren, sondern Dein Stromanbieter, der das Smartgrid zur Verfügung stellt ;-)

  12. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: chewbacca0815 27.09.16 - 16:54

    LordGurke schrieb:
    --------------------------------------------------------------------------------
    > Es reicht, wenn ein einziges Gerät in deinem LAN irgendwie aufgemacht wird, dann wird alles in deinem lokalen Netz gleich mit angegriffen ;-)

    Jupp, genau so war es gemeint! IoT ist die einfachste und gefährlichste Backdoor für's eigene Netz.

    > Und aufmachen kannst du die viele Geräte auch per HTTP...

    Aber über HTTP kannst Du keinen Tunnel aufbauen, um per HTTP-Relay auf andere Adressen zu kommen; geht nur per SSH ;-)

  13. Re: Seit vorletzter Woche Freitag ist mächtig was los auf dem Telnet-Port

    Autor: whitbread 29.09.16 - 06:32

    LordGurke schrieb:
    --------------------------------------------------------------------------------
    > Du musst die Geräte ja nicht mal zwingend am Internet haben. Es reicht,
    > wenn ein einziges Gerät in deinem LAN irgendwie aufgemacht wird, dann wird
    > alles in deinem lokalen Netz gleich mit angegriffen ;-)

    Naja, das ist die Realität in vielen Haushalten, was aber nicht heisst, dass es so bleiben muss.
    Um beim Beispiel der Waschmaschine zu bleiben: Diese gehört eben in ein Netzwerksegment, das (wenn man denn überhaupt seine WaMa in der Cloud haben will) ausschliesslich Zugang zum Internet, aber sicher nicht auf das LAN haben sollte.
    Aber ich vermute, dass AVM-Nutzer bspw. mit einer neuen Farbe für IoT Geräte an ihrer Fritte überfordert wären.
    Daher müssen diese uns aktuell so umgebenden Themen in die Schule! Dann kann Junior dem Opa und dem Papa ganz schnell alles so einrichten, wie es sein sollte. Die Realität ist aber leider, dass die Schule WA-Gruppen nutzt und auf eine eigene HP verzichtet und alles über FB macht... :(

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BG BAU - Berufsgenossenschaft der Bauwirtschaft, Berlin
  2. Stadtverwaltung Kaiserslautern, Kaiserslautern
  3. MACH AG, Berlin, Lübeck
  4. Medion AG, Essen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 64,90€ (Bestpreis!)
  2. (reduzierte Überstände, Restposten & Co.)
  3. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

  1. Streaming: Apple und Netflix aus Auktion um South Park ausgestiegen
    Streaming
    Apple und Netflix aus Auktion um South Park ausgestiegen

    Insidern zufolge könnte der Bieterwettstreit um die Streaming-Rechte der Zeichentrickserie South Park bis zu 500 Millionen US-Dollar erreichen. Netflix soll sein Angebot bereits zurückgezogen haben. Auch Apple will wohl nicht mitbieten - was am jüngsten Verbot der Sendung in China liegen soll.

  2. Google: Vorabwiderspruch bei Street View wird überprüft
    Google
    Vorabwiderspruch bei Street View wird überprüft

    Googles Street View ist in Deutschland bisher kaum verfügbar, das Bildmaterial ist veraltet und Häuser sind oft verpixelt. Grund ist der Vorabwiderspruch gegen die Anzeige von Häusern, den viele Besitzer in Anspruch nahmen. Google lässt nun prüfen, ob neue Aufnahmen ohne Vorabwiderspruch möglich sind.

  3. Datenschutz: Zahl der Behördenzugriffe auf Konten steigt
    Datenschutz
    Zahl der Behördenzugriffe auf Konten steigt

    Behörden in Deutschland haben im bisherigen Jahresverlauf häufiger auf Konten von Bürgern zugegriffen als im Vorjahreszeitraum. Dem Bundesdatenschutzbeauftragten gefällt das nicht - er fordert eine Überprüfung der rechtlichen Grundlage.


  1. 15:12

  2. 14:18

  3. 13:21

  4. 12:56

  5. 11:20

  6. 14:43

  7. 13:45

  8. 12:49