Hackerangriff Telekom
Moderatoren: Heaterman, Finger, Sven, TDI, Marsupilami72, duese
Hackerangriff Telekom
Man hört es derzeit überall:
http://www.heise.de/newsticker/meldung/ ... 06556.html
https://www.bsi.bund.de/DE/Presse/Press ... 12016.html
Scheint eine Lücke in den Speedport-Routern zu sein, in meinem Bekanntenkreis sind mehrere Telekom-Kunden mit Speedport und einige mit FritzBox.
Diejenigen mit FritzBox hatten keinerlei Probleme, mir eingeschlossen. Diejenigen, die einen Speedport haben waren von dem Angriff durch die Reihe betroffen, einige konnten garnicht mehr ins Netz, andere nur sporadisch.
Spätestens jetzt sollte jedem klar sein, dass ein Speedport am besten gleich bei Auslieferung ersetzt wird..
http://www.heise.de/newsticker/meldung/ ... 06556.html
https://www.bsi.bund.de/DE/Presse/Press ... 12016.html
Scheint eine Lücke in den Speedport-Routern zu sein, in meinem Bekanntenkreis sind mehrere Telekom-Kunden mit Speedport und einige mit FritzBox.
Diejenigen mit FritzBox hatten keinerlei Probleme, mir eingeschlossen. Diejenigen, die einen Speedport haben waren von dem Angriff durch die Reihe betroffen, einige konnten garnicht mehr ins Netz, andere nur sporadisch.
Spätestens jetzt sollte jedem klar sein, dass ein Speedport am besten gleich bei Auslieferung ersetzt wird..
Re: Hackerangriff Telekom
Hatte Sontags das Problem.
Inzwischen geht alles wieder.
Das der Router Mist ist wusste ich von Anfang an.
Hatte aber vorher nicht einmal ein Problem zumindest was Internet und Telefon betrifft.
Über die Einstellmöglichkeiten Reden wir besser nicht die sind arg kastriert. Oder wenig vorhanden.
Inzwischen geht alles wieder.
Das der Router Mist ist wusste ich von Anfang an.
Hatte aber vorher nicht einmal ein Problem zumindest was Internet und Telefon betrifft.
Über die Einstellmöglichkeiten Reden wir besser nicht die sind arg kastriert. Oder wenig vorhanden.
Re: Hackerangriff Telekom
Bei uns geht weder Telefon noch Internet... , wir haben eine Fritzbox.
Die DSL Verbindung steht, aber IPv4 und IPv6 Verbindungen werden nicht aufgebaut bzw. leben nur wenige Minuten.
Die DSL Verbindung steht, aber IPv4 und IPv6 Verbindungen werden nicht aufgebaut bzw. leben nur wenige Minuten.
Re: Hackerangriff Telekom
Dann wende Dich mal an AVM, die haben auf Fatzebook eben geschrieben, dass denen keine Angriffe auf FritzBoxen bekannt sind.
-
- Beiträge: 193
- Registriert: Mo 12. Jan 2015, 19:24
Re: Hackerangriff Telekom
Versuch mal einen anderen DNS Server ( zur not mal eben Googles 8.8.8.8) das hatt bei mir das Problem an der Fritzbox behoben. Der Telekom eigene scheint auch nicht ganz gesund zu sein.
Re: Hackerangriff Telekom
DNS-Probleme passen erschreckend gut zu den Folgen des bekannten Angriffs. Auf dem Server, der die Software ausgeliefert hat, habe ich Schadsoftware für 7 Plattformen gefunden. Zwei davon sind Speedports. Von dem Rest spricht (noch?) keiner.Versuch mal einen anderen DNS Server ( zur not mal eben Googles 8.8.8.8) das hatt bei mir das Problem an der Fritzbox behoben. Der Telekom eigene scheint auch nicht ganz gesund zu sein.
Die beiden Speedportsoftwares spielen sich gegenseitig in die Hände, versuchen aber (Stand: 28.11. irgendwann mittags) nicht, die weiteren Plattformen anzugreifen. Die Verbreitung weiterer Schadsoftware wäre damit unabhängig von der Speedportsoftware möglich, ist aber nicht im großen Stil bemerkt worden (zum Mitdenken: Das Problem wurde gefunden, weil entsprechender heftiger Traffic beim ISC aufgefallen ist, nicht bei der Telekom!)
Wenn einfach nur ein Bruchteil von 900000 genannten Routern betroffen ist (z.B. 100000), dürfte ein weiteres systematisches Problem noch nicht aufgefallen sein.
Re: Hackerangriff Telekom
Wir in der Arbeit tippen darauf, des es ein fehlerhaftes Update war, das sie als Hackerangriff verkauft haben, drum konnten sie es auch so schnell beheben...
Re: Hackerangriff Telekom
Nope, das war defintiv kein fehlerhaftes Update. Von den Paketen, die von infizierten Routern verschickt wurden, habe ich Mitschnitte. Der Ausbreitungsmechanismus ist damit bekannt.
Kurz zusammengefasst gab es folgende Fehler:
1. Der Router nimmt von JEDEM ohne irgendeine Form der Authentifikation Konfigurationsänderungen an
2. Der Router ist außerdem nicht gegen Shellinjection gesichert, so dass man in einer "Konfigurationsänderung" beliebigen Code verstecken kann.
2. ist schlimm genug und das aktuell eskalierte Problem (das gestopft sein dürfte). 1. ist mehr so der ultimative Horror.
Kleiner Hinweis am Rande: Die Schadsoftware ist auf 2014 datiert, es kam gerade nur eine neue Version raus (vermutlich mit dem Fehler, der die Router totgelegt hat). Das Ding ist also seit Ewigkeiten im Umlauf.
Kurz zusammengefasst gab es folgende Fehler:
1. Der Router nimmt von JEDEM ohne irgendeine Form der Authentifikation Konfigurationsänderungen an
2. Der Router ist außerdem nicht gegen Shellinjection gesichert, so dass man in einer "Konfigurationsänderung" beliebigen Code verstecken kann.
2. ist schlimm genug und das aktuell eskalierte Problem (das gestopft sein dürfte). 1. ist mehr so der ultimative Horror.
Kleiner Hinweis am Rande: Die Schadsoftware ist auf 2014 datiert, es kam gerade nur eine neue Version raus (vermutlich mit dem Fehler, der die Router totgelegt hat). Das Ding ist also seit Ewigkeiten im Umlauf.
Re: Hackerangriff Telekom
Ich sehe da keinen Bezug zumnForum bisher....
Re: Hackerangriff Telekom
Das Thema finde ich aus Bastlersicht insofern interessant, als das der Trend zu immer mehr Vernetzung geht und dass man sich so vielleicht sensibilisieren kann, wie man es gescheit macht statt Türen zu öffnen oder gar Zombies zu gebären.
Und dann interessiert es mich noch aus Sicht eines potentiell Betroffenen. In Wikipedia lese ich zu dem angeblich angegriffenen Wartungssystem TR-069, dass es http-/https-basiert übertragen soll. Ein oberflächlicher Blick in die Unterlagen beim Urheber http://www.broadband-forum.org zeigt mir jedoch zumindest bei der Weiterentwicklung ein ganzes Bündel weiterer Protokolle. Das ist total unübersichtlich, und nun fühle ich mich, auch wenn ich keinen der zur Zeit betroffenen Router besitze, doch gefährdet.
@ferdimh:
Du sprachst sieben betroffene Plattformen an. Magst Du zu den bisher ungenannten noch etwas sagen, um ggf. Gefährdungen erkennen zu können? Hast Du Tipps für Schutzmaßnahmen?
Und dann interessiert es mich noch aus Sicht eines potentiell Betroffenen. In Wikipedia lese ich zu dem angeblich angegriffenen Wartungssystem TR-069, dass es http-/https-basiert übertragen soll. Ein oberflächlicher Blick in die Unterlagen beim Urheber http://www.broadband-forum.org zeigt mir jedoch zumindest bei der Weiterentwicklung ein ganzes Bündel weiterer Protokolle. Das ist total unübersichtlich, und nun fühle ich mich, auch wenn ich keinen der zur Zeit betroffenen Router besitze, doch gefährdet.
@ferdimh:
Du sprachst sieben betroffene Plattformen an. Magst Du zu den bisher ungenannten noch etwas sagen, um ggf. Gefährdungen erkennen zu können? Hast Du Tipps für Schutzmaßnahmen?
- zauberkopf
- Beiträge: 9535
- Registriert: So 11. Aug 2013, 15:33
- Wohnort: gefährliches Halbwissen
Re: Hackerangriff Telekom
ähh... WTF ?!1. Der Router nimmt von JEDEM ohne irgendeine Form der Authentifikation Konfigurationsänderungen an
2. Der Router ist außerdem nicht gegen Shellinjection gesichert, so dass man in einer "Konfigurationsänderung" beliebigen Code verstecken kann.
Moment.. wir haben November 2016... ich komme mir gerade vor wie 1996..
probiere doch mal : router.ip/../../../../etc/passwd..
Naja.. recht hasste.. aber ich muss gerade noch mal alte Zeiten revue passieren lassen..Ich sehe da keinen Bezug zumnForum bisher....
Früher gabs ne tolle website.. ich glaube nannte sich rootshell oder so, da gabs zu jedem System auch die passend dokumentierte Sicherheitslücke.
Damit habe ich gelernt, und irgendwann habe ich dann exploits auch mal selber geschrieben.
Jedenfalls.. wir hatten viel viel Spass !
Hab dann aber auch dem Systemadmin nen Zettel auf seinen Drucker geschickt : "Du.. ändere mal Dein Passwort und deaktivere diesen... Dienst hier. Ein Freund.. "Frank.. guck mal.. der Rechner hat aber viele Netzwerkkarten..
lass mal sehen.. JAN ! DAS IST DER ZENTRALROUTER DER UNI! Ja ja.. keine Panik..
Philsophisch gesehen.. ist das halt Kreatives Softwarefrickeln...
Letztens las ich wieder ein paar Bücher aus dem Dune Zyklus.. SciFi ohne Computer.. Eine Welt in der "Denkmaschinen" verboten sind.. faszinierend !
Re: Hackerangriff Telekom
Danke für die Tips mit den alternativen DNS Adressen.
Ich habe die OpenDNS 208.67.222.222 und 208.67.220.220 eingetragen, leider ohne Erfolg.
Auch mit Google DNS 8.8.8.8 geht es nicht.
Der Router wurde jedesmal nach eintragen der geänderten DNS Server neu gestartet.
Nach wie vor wird eine DSL Verbindung aufgebaut, ein Login und IPv4 oder IPv6 Verbindung ist nicht möglich.
Ich habe die OpenDNS 208.67.222.222 und 208.67.220.220 eingetragen, leider ohne Erfolg.
Auch mit Google DNS 8.8.8.8 geht es nicht.
Der Router wurde jedesmal nach eintragen der geänderten DNS Server neu gestartet.
Nach wie vor wird eine DSL Verbindung aufgebaut, ein Login und IPv4 oder IPv6 Verbindung ist nicht möglich.
Re: Hackerangriff Telekom
Die anderen 5 Plattformen kann man (ebenso wie die zwei bekannten) lediglich am Befehlssatz des Prozessors unterscheiden. Mehr Infos kann ich aus dem Binary nicht herauslesen.Du sprachst sieben betroffene Plattformen an. Magst Du zu den bisher ungenannten noch etwas sagen, um ggf. Gefährdungen erkennen zu können? Hast Du Tipps für Schutzmaßnahmen?
Und damit kann ich ungefähr so viel sagen: Es liegt Material vor, mit dem Theoretisch ungefähr jeder Router angegriffen werden könnte.
Man findet unter dem von mir vorhin geposteten Link den Server von dem aus der Schadcode verteilt wurde. Dort kann man sich ihn auch herunterladen bzw die weiteren Dateien, wenn man die "1" bis zur 7 hochzählt.
Re: Hackerangriff Telekom
Keine Probleme, trotz kompletter T-Anschur Ausrüstung.
- Fritzler
- Beiträge: 12604
- Registriert: So 11. Aug 2013, 19:42
- Wohnort: D:/Berlin/Adlershof/Technologiepark
- Kontaktdaten:
Re: Hackerangriff Telekom
Shitports der Telekom ebenBei unseren eigenen Tests des Netzwerkchecks simulierten wir mit "netcat -l -p 7547" einen offenen TR-069-Port. Der wurde schneller von fremden System angegriffen, als wir selbst unsere Tests starten konnten
Da hat man eine Fernwartungsschnittstelle bei der seid über einem Monat der Exploit bekannt ist und solche Fernwartungsschnittstelle wird nicht genutzt um etwa die Lücke zu stopfen...
Erst als es richtig brannte und diese Schnittstelle bereits ausgenutzt wurde für den Hack gabs auf einmal innerhalb eines Tages ein Update, sieh an.
GANZ schwache Leistung der Telekom!
Lesestoff:
https://isc.sans.edu/forums/diary/Port+ ... ems/21759/
- zauberkopf
- Beiträge: 9535
- Registriert: So 11. Aug 2013, 15:33
- Wohnort: gefährliches Halbwissen
Re: Hackerangriff Telekom
Kurz : KAnnst Du 8.8.8.8 überhaupt anpingen ?Ich habe die OpenDNS 208.67.222.222 und 208.67.220.220 eingetragen, leider ohne Erfolg.
Auch mit Google DNS 8.8.8.8 geht es nicht.
Der Router wurde jedesmal nach eintragen der geänderten DNS Server neu gestartet.
(ping 8.8.8.8)
Wenn ja, hast Du die DNS im Router eingetragen ?
Das würde das erklären.
Ich habe meine Clients auf 8.8.8.8 umgestellt, weil der Router an dem ich hänge diesbezüglich total die macke zu haben scheint.. 8.8.8.8 geht einfach fixer.
Re: Hackerangriff Telekom
ich hab (auf empfehlung eines freundes) die 8.8.8.8 als DNS-server bei mir in der netzwerkumgebebung eingetragen und dann konnte ich wieder ganz normal surfen.zauberkopf hat geschrieben:Kurz : KAnnst Du 8.8.8.8 überhaupt anpingen ?Ich habe die OpenDNS 208.67.222.222 und 208.67.220.220 eingetragen, leider ohne Erfolg.
Auch mit Google DNS 8.8.8.8 geht es nicht.
Der Router wurde jedesmal nach eintragen der geänderten DNS Server neu gestartet.
(ping 8.8.8.8)
Wenn ja, hast Du die DNS im Router eingetragen ?
Das würde das erklären.
Ich habe meine Clients auf 8.8.8.8 umgestellt, weil der Router an dem ich hänge diesbezüglich total die macke zu haben scheint.. 8.8.8.8 geht einfach fixer.
interessanter weise konnte ich, internetseiten, deren IP ich kannte, vorher ganz normal aufrufen. nur das klassische surfen ging nicht. auch telegram (nachtichten-dienst, chat mit freunden) ging weiterhin. einige apps auf dem schmierfon, welche offensichtlich direkt feste IPs ansprachen, funktionierten noch.
egal, angriff ist vorbei und ich als endanwender kann wieder surfen
Re: Hackerangriff Telekom
Bei mir arbeitet eine Fritzbox 7490 ohne Probleme.
Habe keine Ausfälle von Internet, Telefon und Co zu vermelden.
Das Speedport gedöns was einen die Telekom angedreht hat wurde
würde sehr schnell gegen die Fritzbox ersetzt.
Für zwei Dinge taugen die Speedport Teile noch was. Zum
Tontaubenschiesen oder das man diese Thermisch behandelt.
Habe keine Ausfälle von Internet, Telefon und Co zu vermelden.
Das Speedport gedöns was einen die Telekom angedreht hat wurde
würde sehr schnell gegen die Fritzbox ersetzt.
Für zwei Dinge taugen die Speedport Teile noch was. Zum
Tontaubenschiesen oder das man diese Thermisch behandelt.
Re: Hackerangriff Telekom
Ich habe die DNS Server in der Fritzbox eingetragen, ist übrigens auch eine 7490.zauberkopf hat geschrieben:Kurz : KAnnst Du 8.8.8.8 überhaupt anpingen ?Ich habe die OpenDNS 208.67.222.222 und 208.67.220.220 eingetragen, leider ohne Erfolg.
Auch mit Google DNS 8.8.8.8 geht es nicht.
Der Router wurde jedesmal nach eintragen der geänderten DNS Server neu gestartet.
(ping 8.8.8.8)
Wenn ja, hast Du die DNS im Router eingetragen ?
Das würde das erklären.
Ich habe meine Clients auf 8.8.8.8 umgestellt, weil der Router an dem ich hänge diesbezüglich total die macke zu haben scheint.. 8.8.8.8 geht einfach fixer.
Es geht weder VoIP noch Internet, daher geht auch kein Ping irgendwo hin.
Selbst die Box im internen LAN reagiert komisch langsam, ich habe zufällig noch die neue Laborversion des Fritz OS 06.69 hier, die flashe ich jetzt gerade auf die Box.
Weiß jemand, wie ich prüfen kann, ob auf der FritzBox eine Schadsoftware läuft?
Danke.
Re: Hackerangriff Telekom
Ach ja, Nachtrag:
Die Telekom hat gerade noch eine SMS geschickt:
Die Telekom hat gerade noch eine SMS geschickt:
... heute konnten wir die Störung leider nicht beheben. Ab 8 Uhr am nächsten Werktag kümmern wir uns direkt wieder darum ...
- Captain Einsicht
- Beiträge: 1320
- Registriert: Di 24. Feb 2015, 16:15
- Wohnort: Ruppichteroth
Re: Hackerangriff Telekom
Die SMS kenne ich nur zu gut.
Schon mal einen anderen Router getestet ?
Geht bei der Laborversion noch Telnet ?
Walter
Schon mal einen anderen Router getestet ?
Geht bei der Laborversion noch Telnet ?
Walter
Re: Hackerangriff Telekom
Der Vorgänger von der Friztbox war ein Speedport. Den habe ich an die Telekom zurück geschickt.Captain Einsicht hat geschrieben:Die SMS kenne ich nur zu gut.
Schon mal einen anderen Router getestet ?
Geht bei der Laborversion noch Telnet ?
Walter
Telnet habe ich noch nicht getestet.
- Captain Einsicht
- Beiträge: 1320
- Registriert: Di 24. Feb 2015, 16:15
- Wohnort: Ruppichteroth
Re: Hackerangriff Telekom
Muss man vorher über das Telefon Freischalten (nicht die Dümmste idee) aber wen ich mich nicht Irre wird das nicht mehr bei allen Boxen unterstützt.
Hatte vor paar Wochen auch mit dem W-Lan von meiner Box Probleme aber da muss ich noch auf Fehlersuche gehen USB 3.0 hat sie nicht und meine Ersatzkiste meldet Brav Störung ist aber nicht der Hackerangriff weil schon Tage zuvor kein DSL mehr Synchron war.
Walter
Hatte vor paar Wochen auch mit dem W-Lan von meiner Box Probleme aber da muss ich noch auf Fehlersuche gehen USB 3.0 hat sie nicht und meine Ersatzkiste meldet Brav Störung ist aber nicht der Hackerangriff weil schon Tage zuvor kein DSL mehr Synchron war.
Walter