[Problem] Wie Mirai App im Netzwerk finden?

mankmill

Mitglied
Mitglied seit
12 Dez 2004
Beiträge
631
Punkte für Reaktionen
2
Punkte
18
Halo!
Die Telekom hat mich angeschrieben, dass in meinem Netzwerk ein Gerät sein muss, dass mit Mirai verseucht ist. Gibt es ein Netzwerk tool, mit dem ich alle meine dranhängenden Sachen überprüfen kann? Außer fw updates konnte ich bisher nichts positives zur Problembehebung beitragen. Besonders so was wie Fernseher, Radio, Sat Empfänger oder eine PS4 kann ich nicht testen. Bin für jeden Tipp dankbar.

VG mankmill
 
Laut deiner Signatur ist die FB bei dir veraltet. Solltest also mal Geräte Neustarten und dann Update prüfen für SmartTV ect.

Speedport verwendest ja laut Signatur nicht, sonst ne IP Cam in Verwendung?

Achtung: Es geht hier nicht um Windows-PCs, sondern um embedded Linux, wie es in Überwachungskameras, Fernsehern, Satelliten-TV-Empfängern, Routern, Druckern, VoIP-Telefonen, ... zur Anwendung kommt.

Die Mirai-Malware läuft nur im RAM, ein Reboot des Systems ist daher ausreichend, um die Infektion zu entfernen. Am besten macht man das, während das Gerät nicht per Internet erreichbar ist.
Quelle: https://www.cert.at/services/blog/20161010095630-1789.html
 
Zuletzt bearbeitet von einem Moderator:
Also sollte es ausreichend sein Port 23 und 2323 zu blocken und alle Geräte neu zu starten. Das klingt mir fast zu einfach. Schön wärs. Updates habe ich keine neuen für meine Sachen gefunden.

VG mankmill
 
Also für deine FB gibt es schon mehrere Updates, aktuell ist 06.60 und es steht 06.80 in Startlöchern.
 
Du kannst den Traffic aller Geräte ins Internet, auch von anderen Leute in deinem Netzwerk (Datenschutz!), bei der "Routing-Schnitstelle" beim Paketmitschnitt sehen.
 
Wo ist das?
 
Du machst es aber wirklich spannend... Ich habe bei mir noch keinen Paketmitschnitt auf der Fritz!Box finden können.
 
Und ... hast Du schon mal "das Internet" zu diesem Thema befragt oder auch nur das IPPF? Damit meine ich aber nicht diejenigen, die hier aktuell lesen (und schreiben) - es gibt tatsächlich so etwas wie eine Suchfunktion und Du bist tatsächlich nicht der Erste, der diesen Paketmitschnitt benutzen will. Klingt komisch ... ist aber so.
 
In den unteren Zeilen gibt es irgendwo "Inhalt", dann in der unteren Zeile des rechten Fensters gibt es "Fritzbox Support" und da ist dann der Link auf den Paketmitschnitt.
 
Danke Dir für diese Info. Diese Seite hatte ich noch nie vorher gesehen.

VG mankmill
 
Und dann? Kennst wireshark überhaupt, und wonach da suchen solltest und so? ;)
 
Würde mich auch interessieren, wie man als Normalo so was mit überschaubarem Aufwand hin bekommt.

LG, Goggo
 
Und dann? Kennst wireshark überhaupt, und wonach da suchen solltest und so? ;)

Ich hatte eigentlich gehofft, dass es ein tool gibt, was mein Netzwerk durchsucht und dann sagt, welches Gerät betroffen ist, ohne dass ich mit wireshark den Datenstrom analysieren muss, da ich gerade nicht weiß, wonach ich suchen soll! Da du scheinbar in der Lage bist soetwas zu analysieren, kannst Du uns hier gern dein Wissen teilen.
 
Arbeite nicht wirklich mit dem Tool, und hatte bisher nie Zombis im Netzwerk die zum Bot mutieren.

Ich halte Firmware auf Geräten aktuell, besonders für den Router, den du Laut Signatur immer noch nicht geupdatet hast.

In dem Tool würde ich wohl schauen auf die IP, ob nen Gerät besonders oft/viele Verbindungen aufbaut obwohl es eigentlich eher untätig sein sollte.

Würde auch für IP Cam kein Internet erlauben, besonders bei billigen China Cams.

Frage ist ja auch, ob Problem noch besteht, oder es sich durch Neustart der Geräte erledigt hat. Holzhammermethode zum Neustart wäre einfach Hauptsicherung für ca. halbe Minute raus.
 
Zuletzt bearbeitet von einem Moderator:
@mankmill, verwendest du eine SAT-Box, Dreambox oder ein Derivat mit Community Firmware?

- - - Aktualisiert - - -

Du könntest mal den IoTSeeker testen, eine andere Methode ist mir nicht bekannt.
 
Mein Sat Empfänger VU+ läuft mit einer community firmware. Die hatte ich auch als erstes in Verdacht. Der hatte ich aber bisher immer vertraut. Es könnte allerdings sein, dass sich da bei dem einen oder anderen Addon bei einem update etwas mit eingeschlichen hatte. Jedenfalls habe ich den schon mal platt gemacht und ohne Addons aufgefrischt. Danke mit dem Tipp vom IoTSeeker. Werde mal zusehen, ob ich ihn mit einer Linux Live CD zum laufen bringe. Ich habe selber nur Windows.

VG mankmill
 
Evtl kannst du dir den IoTSeeker auch sparen, der macht nämlich nichts anderes, als die in der devices.cfg definierten user/pass Kombinationen ausprobieren, sobald er ein Gerät gefunden hat, das zu den üblichen Verdächtigen zählt. Mein Tipp wäre also sämliche "remotefähigen" ports von außen zu schließen und gleichzeitig dafür zu sorgen, dass kein Gerät am Netz hängt, das noch ein Default-Passwort hat. Bei der VU+ bitte unbedingt ein passwort für root vergeben und für alle anderen Zugänge wie telnet (am besten abschalten) und ftp ein eigenes kreieren.
 
Werde ich mal so machen. Mal sehen, ob sich die Telekom dann noch mal meldet.

VG mankmill
 
Melde dich dann besser bei den, wundert schon fast, dass die dich nicht sperren und erst freischalten nachdem den Behebung bestätigst.

Hast bestimmt aus der Email oder vom Telefonat ne Ticket ID oder so, und dann kann der ggf. ja noch mal schauen/prüfen ob inzwischen ok ist.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.