Sind zur Zeit Würmer im Umlauf die eine Fritzbox verseuchen?

cakruege

Neuer User
Mitglied seit
27 Dez 2005
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Hi,

ich hab von meinem Provider eine Email bekommen, daß über meinen Anschluss Spams versendet worden sind.
Ich hab alle Rechner gründlich gescannt mit Desinfect (von heise, selbst bootende CD mit 3 Scannern). Im laufenden Betrieb hab ich auch keine ungewöhnlichen Prozesse gefunden und Wireshark zeigt auch nix.
WLAN ist deaktiviert.

Meine einzige Idee ist jetzt, daß meine Fritzbox 7570 VDSL ( FRITZ.Box_Fon_WLAN_7570_vDSL_LabIPV6.en-de-fr.75.04.81-16961.image ) sich was eingefangen hat.
Die Box hatte den FTP-Server mit sicherem Passwort offen und IPv6 via 6to4 ist an.

Ausgabe von ps auf der Box
Code:
# ps
  PID  Uid        VSZ Stat Command
    1 root       1464 S   init
    2 root            SWN [ksoftirqd/0]
    3 root            SW  [watchdog/0]
    4 root            SW< [events/0]
    5 root            SW< [khelper]
    6 root            SW< [kthread]
   18 root            SW< [kblockd/0]
   32 root            SW  [pdflush]
   33 root            SW  [pdflush]
   34 root            SW< [kswapd0]
   35 root            SW< [aio/0]
   72 root            SW  [pm_info]
   77 root            SW< [CPMAC]
   81 root            SW  [mtdblockd]
  104 root            SW  [tffsd_mtd_0]
  212 root            SW  [cleanup_timer_f]
  223 root            SW  [dectuart_route]
  231 root            SWN [jffs2_gcd_mtd5]
  263 root       3256 S   /usr/sbin/dsl_daemon -r 9 -f /lib/modules/vinax_fw_adsl_B.bin -F /lib/modules/vinax_fw_vdsl.bin -y
  269 root       3256 S   /usr/sbin/dsl_daemon -r 9 -f /lib/modules/vinax_fw_adsl_B.bin -F /lib/modules/vinax_fw_vdsl.bin -y
  270 root       3256 S   /usr/sbin/dsl_daemon -r 9 -f /lib/modules/vinax_fw_adsl_B.bin -F /lib/modules/vinax_fw_vdsl.bin -y
  271 root       3256 S   /usr/sbin/dsl_daemon -r 9 -f /lib/modules/vinax_fw_adsl_B.bin -F /lib/modules/vinax_fw_vdsl.bin -y
  272 root       3256 S   /usr/sbin/dsl_daemon -r 9 -f /lib/modules/vinax_fw_adsl_B.bin -F /lib/modules/vinax_fw_vdsl.bin -y
  274 root       3256 S   /usr/sbin/dsl_daemon -r 9 -f /lib/modules/vinax_fw_adsl_B.bin -F /lib/modules/vinax_fw_vdsl.bin -y
  275 root       3256 S   /usr/sbin/dsl_daemon -r 9 -f /lib/modules/vinax_fw_adsl_B.bin -F /lib/modules/vinax_fw_vdsl.bin -y
  276 root       3256 S   /usr/sbin/dsl_daemon -r 9 -f /lib/modules/vinax_fw_adsl_B.bin -F /lib/modules/vinax_fw_vdsl.bin -y
  283 root        920 R   /usr/sbin/vinax_atmoam
  328 root            SW< [capi_oslib]
  329 root            SW< [capi_oslib]
  330 root            SW  [capitransp]
  337 root            SW  [glob_codecs]
  341 root            SW< [avm_dect_thread]
  345 root            SW  [ksock tcp worke]
  346 root            SW  [ksock tcp serve]
  361 root            SW< [khubd]
  413 root            SW< [kdsld_vinax_ctl]
  436 root      10116 S N ctlmgr
  441 root       4864 S   upnpd
  497 root            SW< [scsi_eh_0]
  498 root            SW< [usb-storage]
  507 root       3868 S   multid -t
  758 root       3868 S   multid -t
  793 root      10116 S N ctlmgr
  797 root      10116 S N ctlmgr
  804 root      10116 S N ctlmgr
  918 root       3104 S   /bin/configd
  928 root       5632 R   telefon a127.0.0.1
  933 root       4996 S < voipd
  949 root       3120 S   pbd
  950 root       3120 S   pbd
  956 root       3120 S   pbd
  957 root       3120 S   pbd
  958 root       4864 S   upnpd
  959 root       4864 S   upnpd
  960 root       4864 S   upnpd
  981 root       1472 S   /usr/sbin/inetd
  988 root        988 S   /bin/run_clock -c /dev/tffs -d
 1002 root       4160 S   dect_manager
 1015 root       1464 S   init
 1149 root       1304 S   /sbin/chronyd -f /var/tmp/chrony.conf
 2542 root       3956 S   dsld -i -n
 2546 root            RWN [kdsld_token]
 2758 root       1468 S   telnetd -l /sbin/ar7login
 3513 root       1488 S   -sh
 3549 root       1468 R   ps

Ideen?

Gruß Carsten
 
Sind alle in der Fritzbox eingetragenen (W)LAN Geräte dir bekannt??

Sind die E-Mails über deinen Internetanschluss oder deinen E-Mail Account gesendet worden?

Ansonsten würde ich an deiner Stelle mit verschiedenen Anti Viren Online Scans zusätzliche Sicherheit verschaffen.
 
Kommt die Email von deinem Email-Provider oder von deinem Internet-Provider?
 
Die Mail kommt von meinem ISP und die Spams sind nicht über einen Smarthost gegangen sondern direkt von der Dialup-IP beim Opfer abgekippt worden.
WLAN ist komplett deaktiviert.
 
Ich dachte eigentlich, mein Fachchinesisch wäre ganz OK, aber....

ISP=Internetserviceprovider (soweit klar)
Smarthost= :confused:
Dialup-IP= :confused:
 
Zuletzt bearbeitet:
Wenn es sich um deine IP Adresse gehandelt hat, würde ich mehrere verschiedene AntiViren Tools über die Rechner laufen lassen. Nicht jedes AntiViren Programm findet auch wirklich alles. Wenn dieses angebliche Programm zu diesem Zeitpunkt noch "brandaktuell" gewesen ist, kann es auch kein Programm finden bzw. identifizieren.
 
Wie gesagt 3 Virenscanner und dabei von CD gebootet ...
 
Na dann würd ichs bestreiten und die Vorlage der vollständigen Abuse-Meldung verlangen.
 
Und das Image ist von AVM heruntergeladen? Im Zweifelsfalle Recover und alles neu eingeben, dann kannst Du sicher sein, wenn die PCs sauber sind, daß von der Box nichts kommt.

Wenn die Mails von der Box kommen sollten, dann müßte ja auch Traffic da sein, wenn kein PC an ist. Ansonsten kann ich nur meinem Vorredner zustimmen und die komplette Abuse-Mail verlangen zur Kontrolle.
 
Hab ich. Ein Spamtrapanbieter (abusix.org) hat einen Viagraspam bekommen und das an [email protected] gemeldet.
Ob die Uhren korrekt synchronisiert waren und ob T-Online die IP richtig dem Anschluss zugeordnet hat kann ich nicht prüfen.

Beitrag 2:
Ja, das Image ist von AVM.

Wie soll ich feststellen ob da Traffic ist wenn die PCs aus sind?

Ich hab schon versucht nprobe aus dem openwrt-repository cross zu compilieren und auf der Box zu starten ( http://www.ntop.org/nProbe.html ).

nprobe schmiert aber mit folgender Meldung ab:
Code:
./nprobe: can't resolve symbol 'getifaddrs'
Ich muss die Frage mal noch im Freetzforum stellen.
 
Stand "ifaddrs.h" beim Kompilieren zur Verfügung?
 
Stand "ifaddrs.h" beim Kompilieren zur Verfügung?

Ja.

Kommt das evtl. daher das die Fritzbox und openwrt andere libs verwendet?
Zur Compilezeit alles ok, aber zur Runzeit mischmasch der nicht funktioniert?

Hier mal ein strace

Code:
# ./strace ./nprobe/
./nprobe/CONTROL/  ./nprobe/usr/
# ./strace ./nprobe/usr/bin/nprobe
execve("./nprobe/usr/bin/nprobe", ["./nprobe/usr/bin/nprobe"], [/* 207 vars */]) = 0
old_mmap(NULL, 20, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aaad000
stat("/etc/ld-uClibc.so.cache", 0x7fc54620) = -1 ENOENT (No such file or directory)
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libnprobe-4.1.so", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=50770, ...}) = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aaae000
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\10\0\1\0\0\0\240\"\0\0004\0\0\0"..., 4096) = 4096
old_mmap(NULL, 118784, PROT_NONE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aabe000
old_mmap(0x2aabe000, 46772, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_FIXED, 3, 0) = 0x2aabe000
old_mmap(0x2aada000, 1618, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0xc000) = 0x2aada000
close(3)                                = 0
munmap(0x2aaae000, 4096)                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libpcre.so.0", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=122327, ...}) = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aaae000
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\10\0\1\0\0\0\300\16\0\0004\0\0\0"..., 4096) = 4096
old_mmap(NULL, 180224, PROT_NONE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aadb000
old_mmap(0x2aadb000, 113364, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_FIXED, 3, 0) = 0x2aadb000
old_mmap(0x2ab06000, 3028, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x1b000) = 0x2ab06000
close(3)                                = 0
munmap(0x2aaae000, 4096)                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libresolv.so.0", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=872, ...}) = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aaae000
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\10\0\1\0\0\0000\3\0\0004\0\0\0"..., 4096) = 872
old_mmap(NULL, 69632, PROT_NONE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2ab07000
old_mmap(0x2ab07000, 852, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_FIXED, 3, 0) = 0x2ab07000
old_mmap(0x2ab17000, 872, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0) = 0x2ab17000
close(3)                                = 0
munmap(0x2aaae000, 4096)                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libdl.so.0", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libdl.so.0", O_RDONLY)          = -1 ENOENT (No such file or directory)
open("/lib/libdl.so.0", O_RDONLY)       = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=9436, ...}) = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aaae000
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\10\0\1\0\0\0000\10\0\0004\0\0\0"..., 4096) = 4096
old_mmap(NULL, 77824, PROT_NONE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2ab18000
old_mmap(0x2ab18000, 6432, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_FIXED, 3, 0) = 0x2ab18000
old_mmap(0x2ab29000, 4272, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x1000) = 0x2ab29000
close(3)                                = 0
munmap(0x2aaae000, 4096)                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libpthread.so.0", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libpthread.so.0", O_RDONLY)     = -1 ENOENT (No such file or directory)
open("/lib/libpthread.so.0", O_RDONLY)  = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=96836, ...}) = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aaae000
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\10\0\1\0\0\0 4\0\0004\0\0\0"..., 4096) = 4096
old_mmap(NULL, 151552, PROT_NONE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2ab2b000
old_mmap(0x2ab2b000, 53416, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_FIXED, 3, 0) = 0x2ab2b000
old_mmap(0x2ab48000, 22440, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0xd000) = 0x2ab48000
old_mmap(0x2ab4e000, 6816, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x2ab4e000
close(3)                                = 0
munmap(0x2aaae000, 4096)                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libpcap.so.1.0", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=214270, ...}) = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aaae000
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\10\0\1\0\0\0\0203\0\0004\0\0\0"..., 4096) = 4096
old_mmap(NULL, 258048, PROT_NONE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2ab50000
old_mmap(0x2ab50000, 182820, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_FIXED, 3, 0) = 0x2ab50000
old_mmap(0x2ab8d000, 3576, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x2d000) = 0x2ab8d000
old_mmap(0x2ab8e000, 1536, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x2ab8e000
close(3)                                = 0
munmap(0x2aaae000, 4096)                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libgcc_s.so.1", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libgcc_s.so.1", O_RDONLY)       = -1 ENOENT (No such file or directory)
open("/lib/libgcc_s.so.1", O_RDONLY)    = 3
fstat(3, {st_mode=S_IFREG|0555, st_size=67104, ...}) = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aaae000
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\10\0\1\0\0\0\340\26\0\0004\0\0\0"..., 4096) = 4096
old_mmap(NULL, 126976, PROT_NONE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2ab8f000
old_mmap(0x2ab8f000, 56452, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_FIXED, 3, 0) = 0x2ab8f000
old_mmap(0x2abad000, 1384, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0xe000) = 0x2abad000
close(3)                                = 0
munmap(0x2aaae000, 4096)                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libc.so.0", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libc.so.0", O_RDONLY)           = -1 ENOENT (No such file or directory)
open("/lib/libc.so.0", O_RDONLY)        = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=619192, ...}) = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aaae000
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\10\0\1\0\0\0000\221\0\0004\0\0\0"..., 4096) = 4096
old_mmap(NULL, 675840, PROT_NONE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2abae000
old_mmap(0x2abae000, 576100, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_FIXED, 3, 0) = 0x2abae000
old_mmap(0x2ac4a000, 7620, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x8c000) = 0x2ac4a000
old_mmap(0x2ac4c000, 25312, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x2ac4c000
close(3)                                = 0
munmap(0x2aaae000, 4096)                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libpcre.so.0", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=122327, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libresolv.so.0", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=872, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libdl.so.0", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libdl.so.0", O_RDONLY)          = -1 ENOENT (No such file or directory)
open("/lib/libdl.so.0", O_RDONLY)       = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=9436, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libpthread.so.0", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libpthread.so.0", O_RDONLY)     = -1 ENOENT (No such file or directory)
open("/lib/libpthread.so.0", O_RDONLY)  = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=96836, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libpcap.so.1.0", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=214270, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libgcc_s.so.1", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libgcc_s.so.1", O_RDONLY)       = -1 ENOENT (No such file or directory)
open("/lib/libgcc_s.so.1", O_RDONLY)    = 3
fstat(3, {st_mode=S_IFREG|0555, st_size=67104, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libc.so.0", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libc.so.0", O_RDONLY)           = -1 ENOENT (No such file or directory)
open("/lib/libc.so.0", O_RDONLY)        = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=619192, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libgcc_s.so.1", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libgcc_s.so.1", O_RDONLY)       = -1 ENOENT (No such file or directory)
open("/lib/libgcc_s.so.1", O_RDONLY)    = 3
fstat(3, {st_mode=S_IFREG|0555, st_size=67104, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libc.so.0", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libc.so.0", O_RDONLY)           = -1 ENOENT (No such file or directory)
open("/lib/libc.so.0", O_RDONLY)        = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=619192, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libc.so.0", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libc.so.0", O_RDONLY)           = -1 ENOENT (No such file or directory)
open("/lib/libc.so.0", O_RDONLY)        = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=619192, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libc.so.0", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libc.so.0", O_RDONLY)           = -1 ENOENT (No such file or directory)
open("/lib/libc.so.0", O_RDONLY)        = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=619192, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libc.so.0", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libc.so.0", O_RDONLY)           = -1 ENOENT (No such file or directory)
open("/lib/libc.so.0", O_RDONLY)        = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=619192, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libc.so.0", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libc.so.0", O_RDONLY)           = -1 ENOENT (No such file or directory)
open("/lib/libc.so.0", O_RDONLY)        = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=619192, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libgcc_s.so.1", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libgcc_s.so.1", O_RDONLY)       = -1 ENOENT (No such file or directory)
open("/lib/libgcc_s.so.1", O_RDONLY)    = 3
fstat(3, {st_mode=S_IFREG|0555, st_size=67104, ...}) = 0
close(3)                                = 0
open("/var/media/ftp/USBMass-StorageDevice-01/nprobe/usr/lib/libc.so.0", O_RDONLY) = -1 ENOENT (No such file or directory)
open("./libc.so.0", O_RDONLY)           = -1 ENOENT (No such file or directory)
open("/lib/libc.so.0", O_RDONLY)        = 3
fstat(3, {st_mode=S_IFREG|0777, st_size=619192, ...}) = 0
close(3)                                = 0
stat("/lib/ld-uClibc.so.0", {st_mode=S_IFREG|0777, st_size=22632, ...}) = 0
mprotect(0x2ab29000, 4096, PROT_READ)   = 0
mprotect(0x2ab48000, 4096, PROT_READ)   = 0
mprotect(0x2ac4a000, 4096, PROT_READ)   = 0
mprotect(0x2aabc000, 4096, PROT_READ)   = 0
ioctl(0, TIOCNXCL, {B38400 opost isig icanon echo ...}) = 0
ioctl(1, TIOCNXCL, {B38400 opost isig icanon echo ...}) = 0
getpid()                                = 5504
getrlimit(RLIMIT_STACK, {rlim_cur=2040*1024, rlim_max=RLIM_INFINITY}) = 0
rt_sigaction(SIGRT_0, {SIG_DFL, [RT_69 RT_70 RT_73 RT_75 RT_77 RT_78 RT_81 RT_83 RT_87 RT_88 RT_90 RT_92 RT_94], SA_STACK|SA_INTERRUPT|SA_SIGINFO|SA_NOCLDWAIT|0x2b26ec4}, NULL, 16) = 0
rt_sigaction(SIGRT_1, {SIG_DFL, [RT_69 RT_70 RT_73 RT_75 RT_77 RT_78 RT_81 RT_83 RT_87 RT_88 RT_90 RT_92 RT_94], SA_STACK|SA_INTERRUPT|SA_SIGINFO|SA_NOCLDWAIT|0x2b26f80}, NULL, 16) = 0
rt_sigaction(SIGRT_2, {SIG_DFL, [RT_69 RT_70 RT_73 RT_75 RT_77 RT_78 RT_81 RT_83 RT_87 RT_88 RT_90 RT_92 RT_94], SA_STACK|SA_INTERRUPT|SA_SIGINFO|SA_NOCLDWAIT|0x2b270d4}, NULL, 16) = 0
rt_sigprocmask(SIG_BLOCK, [RT_0], NULL, 16) = 0
rt_sigprocmask(SIG_UNBLOCK, [RT_1], NULL, 16) = 0
brk(0)                                  = 0x422f04
brk(0x423f04)                           = 0x423f04
brk(0x424000)                           = 0x424000
open("./plugins", O_RDONLY|O_NONBLOCK|O_DIRECTORY) = -1 ENOENT (No such file or directory)
time(NULL)                              = 1274891112
time(NULL)                              = 1274891112
write(1, "26/May/2010 18:25:12 WARNING: Un"..., 9826/May/2010 18:25:12 WARNING: Unable to find plugins directory. nProbe will work without plugins!
) = 98
gettimeofday({1274891112, 642124}, NULL) = 0
time(NULL)                              = 1274891112
time(NULL)                              = 1274891112
write(1, "26/May/2010 18:25:12 WARNING: -n"..., 8426/May/2010 18:25:12 WARNING: -n parameter is missing. 127.0.0.1:2055 will be used.
) = 84
open("/etc/resolv.conf", O_RDONLY)      = 3
ioctl(3, TIOCNXCL, 0x7fc542a8)          = -1 ENOTTY (Inappropriate ioctl for device)
brk(0x425000)                           = 0x425000
read(3, "nameserver 127.0.0.1\n", 4096) = 21
read(3, "", 4096)                       = 0
close(3)                                = 0
open("/etc/hosts", O_RDONLY)            = 3
ioctl(3, TIOCNXCL, 0x7fc542d0)          = -1 ENOTTY (Inappropriate ioctl for device)
read(3, "127.0.0.1 localhost\n", 4096)  = 20
read(3, "", 4096)                       = 0
close(3)                                = 0
socket(PF_INET, SOCK_DGRAM, IPPROTO_IP) = 3
setsockopt(3, SOL_SOCKET, SO_REUSEADDR, [1], 4) = 0
brk(0x427000)                           = 0x427000
pipe([4337816, 4260596])                = 4
clone(child_stack=0x4260d8, flags=CLONE_VM|CLONE_FS|CLONE_FILES|CLONE_SIGHAND) = 5505
write(5, "\2\0\0\0\5\0\0\0\320\7\305*\344\7\305*\314\1\0\0\20E\305\1770\276\304*\344\7\305*"..., 148) = 148
rt_sigprocmask(SIG_SETMASK, NULL, [RT_0], 16) = 0
write(5, "\0\323\264*\0\0\0\0\0\0\0\0x>@\0\0\0\0\0\0\0\0\200\0\0\0\0\0\0\0\0"..., 148) = 148
rt_sigprocmask(SIG_SETMASK, NULL, [RT_0], 16) = 0
rt_sigsuspend([])                       = ? ERESTARTNOHAND (To be restarted)
--- SIGRT_0 (Unknown signal 32) @ 0 (0) ---
sigreturn()                             = ? (mask now [QUIT])
rt_sigprocmask(SIG_SETMASK, NULL, [RT_0], 16) = 0
write(5, "\0\323\264*\0\0\0\0\0\0\0\0\24H@\0\0\0\0\0\0\0\0\200\0\0\0\0\0\0\0\0"..., 148) = 148
rt_sigprocmask(SIG_SETMASK, NULL, [RT_0], 16) = 0
rt_sigsuspend([])                       = ? ERESTARTNOHAND (To be restarted)
--- SIGRT_0 (Unknown signal 32) @ 0 (0) ---
sigreturn()                             = ? (mask now [QUIT])
rt_sigaction(SIGTERM, {0x10000000, [RT_73 RT_74 RT_77 RT_79 RT_80 RT_83 RT_85 RT_86 RT_88 RT_90 RT_92 RT_94], 0x407ae0 /* SA_??? */}, {SIG_DFL, [], 0}, 16) = 0
rt_sigaction(SIGINT, {0x10000000, [RT_73 RT_74 RT_77 RT_79 RT_80 RT_83 RT_85 RT_86 RT_88 RT_90 RT_92 RT_94], 0x407ae0 /* SA_??? */}, {SIG_DFL, [], 0}, 16) = 0
rt_sigaction(SIGPIPE, {0x10000000, [RT_73 RT_74 RT_77 RT_79 RT_80 RT_83 RT_85 RT_86 RT_88 RT_90 RT_92 RT_94], 0x402f80 /* SA_??? */}, {SIG_DFL, [], 0}, 16) = 0
brk(0x42b000)                           = 0x42b000
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aaae000
write(2, "", 0)                         = 0
write(2, "./nprobe/usr/bin/nprobe", 23./nprobe/usr/bin/nprobe) = 23
write(2, ": can't resolve symbol '", 24: can't resolve symbol ') = 24
write(2, "getifaddrs", 10getifaddrs)              = 10
write(2, "'\n", 2'
)                      = 2
munmap(0x2aaae000, 4096)                = 0
exit(1)                                 = ?

---edit---
Das war's. Es wurde die falsche libc benutzt.
 
Zuletzt bearbeitet:
Dass die Scanner nichts gefunden haben, will nichts heissen.
Es gibt durchaus diverse Trojaner / Bots, die sich z. B. nach erfolgreichem Spamversand selbst deinstallieren, um keine Spuren zurückzulassen.

Auch finden Virenscanner anhand von (auch aktuellen) Signaturen oft keine polymorphen / gestealthteten Viren.
Hier hilft dann nur Runtime- bzw. Verhaltensanalyse.

Am Einfachsten ist es, je nach OS, Schadsoftware anhand von ihren Autostarteinträgen zu identifizieren.
Sollte eine Rootkit zur Tarnung im Einsatz sein hilft Sysinternals Autoruns auch nicht viel, also am besten Registry und Co mit einem Livesystem checken.
Hier auch ActiveX-Startup und Alternate Data Streams beachten.

Eine Infektion der Box selbst halte ich zwar nicht für unmöglich, aber für unwahrscheinlich.
 
Entweder der Virus ist weg und hat keine Spuren hinterlassen.
oder die Firma die den Spam gemeldet hat, hat Bockmist gebaut.

Ich hab jetzt nprobe auf dem Router zu laufen, bekomme auch schön die Flows rein und ntop zeigt keinen ungewöhnlichen Verkehr.
 
Ich denke auch, die haben entweder die IP falsch gehabt oder die Zeit oder Dein ISP hat sich vertan oder beide. Daß auf der Box was drauf ist, halte ich für relativ unwahrscheinlich, weil das ja keine normale PC-Architektur ist.
 
@cakruege:
Hat dein E-Mail oder I-Net Provider mit Sanktionen gedroht oder sich sonst irgendwie groß dazu geäußert? Gibt es dazu Hieb- und stichweste Beweise?
 
@sven@mainz:

Freetz wurde schon erfunden, ist nicht so schwer Würmer für Mipsel zu produzieren, wenn man eine exploitbare Lücke hat.

@Elsi29:

Im Wiederholungsfall Sperre.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,512
Beiträge
2,253,338
Mitglieder
374,331
Neuestes Mitglied
darkgeta1973
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.