[Problem] Wie Mirai App im Netzwerk finden?

mankmill

Mitglied
Mitglied seit
12 Dez 2004
Beiträge
628
Punkte für Reaktionen
2
Punkte
18
Halo!
Die Telekom hat mich angeschrieben, dass in meinem Netzwerk ein Gerät sein muss, dass mit Mirai verseucht ist. Gibt es ein Netzwerk tool, mit dem ich alle meine dranhängenden Sachen überprüfen kann? Außer fw updates konnte ich bisher nichts positives zur Problembehebung beitragen. Besonders so was wie Fernseher, Radio, Sat Empfänger oder eine PS4 kann ich nicht testen. Bin für jeden Tipp dankbar.

VG mankmill
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
15,879
Punkte für Reaktionen
302
Punkte
83
Laut deiner Signatur ist die FB bei dir veraltet. Solltest also mal Geräte Neustarten und dann Update prüfen für SmartTV ect.

Speedport verwendest ja laut Signatur nicht, sonst ne IP Cam in Verwendung?

Achtung: Es geht hier nicht um Windows-PCs, sondern um embedded Linux, wie es in Überwachungskameras, Fernsehern, Satelliten-TV-Empfängern, Routern, Druckern, VoIP-Telefonen, ... zur Anwendung kommt.

Die Mirai-Malware läuft nur im RAM, ein Reboot des Systems ist daher ausreichend, um die Infektion zu entfernen. Am besten macht man das, während das Gerät nicht per Internet erreichbar ist.
Quelle: https://www.cert.at/services/blog/20161010095630-1789.html
 
Zuletzt bearbeitet von einem Moderator:

mankmill

Mitglied
Mitglied seit
12 Dez 2004
Beiträge
628
Punkte für Reaktionen
2
Punkte
18
Also sollte es ausreichend sein Port 23 und 2323 zu blocken und alle Geräte neu zu starten. Das klingt mir fast zu einfach. Schön wärs. Updates habe ich keine neuen für meine Sachen gefunden.

VG mankmill
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
15,879
Punkte für Reaktionen
302
Punkte
83
Also für deine FB gibt es schon mehrere Updates, aktuell ist 06.60 und es steht 06.80 in Startlöchern.
 

thtomate12

IPPF-Promi
Mitglied seit
28 Okt 2010
Beiträge
5,165
Punkte für Reaktionen
6
Punkte
38
Du kannst den Traffic aller Geräte ins Internet, auch von anderen Leute in deinem Netzwerk (Datenschutz!), bei der "Routing-Schnitstelle" beim Paketmitschnitt sehen.
 

mankmill

Mitglied
Mitglied seit
12 Dez 2004
Beiträge
628
Punkte für Reaktionen
2
Punkte
18
Wo ist das?
 

mankmill

Mitglied
Mitglied seit
12 Dez 2004
Beiträge
628
Punkte für Reaktionen
2
Punkte
18
Du machst es aber wirklich spannend... Ich habe bei mir noch keinen Paketmitschnitt auf der Fritz!Box finden können.
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,099
Punkte für Reaktionen
1,000
Punkte
113
Und ... hast Du schon mal "das Internet" zu diesem Thema befragt oder auch nur das IPPF? Damit meine ich aber nicht diejenigen, die hier aktuell lesen (und schreiben) - es gibt tatsächlich so etwas wie eine Suchfunktion und Du bist tatsächlich nicht der Erste, der diesen Paketmitschnitt benutzen will. Klingt komisch ... ist aber so.
 

thtomate12

IPPF-Promi
Mitglied seit
28 Okt 2010
Beiträge
5,165
Punkte für Reaktionen
6
Punkte
38
In den unteren Zeilen gibt es irgendwo "Inhalt", dann in der unteren Zeile des rechten Fensters gibt es "Fritzbox Support" und da ist dann der Link auf den Paketmitschnitt.
 

mankmill

Mitglied
Mitglied seit
12 Dez 2004
Beiträge
628
Punkte für Reaktionen
2
Punkte
18
Danke Dir für diese Info. Diese Seite hatte ich noch nie vorher gesehen.

VG mankmill
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
15,879
Punkte für Reaktionen
302
Punkte
83
Und dann? Kennst wireshark überhaupt, und wonach da suchen solltest und so? ;)
 

Goggo16

Mitglied
Mitglied seit
12 Sep 2008
Beiträge
626
Punkte für Reaktionen
2
Punkte
18
Würde mich auch interessieren, wie man als Normalo so was mit überschaubarem Aufwand hin bekommt.

LG, Goggo
 

mankmill

Mitglied
Mitglied seit
12 Dez 2004
Beiträge
628
Punkte für Reaktionen
2
Punkte
18
Und dann? Kennst wireshark überhaupt, und wonach da suchen solltest und so? ;)
Ich hatte eigentlich gehofft, dass es ein tool gibt, was mein Netzwerk durchsucht und dann sagt, welches Gerät betroffen ist, ohne dass ich mit wireshark den Datenstrom analysieren muss, da ich gerade nicht weiß, wonach ich suchen soll! Da du scheinbar in der Lage bist soetwas zu analysieren, kannst Du uns hier gern dein Wissen teilen.
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
15,879
Punkte für Reaktionen
302
Punkte
83
Arbeite nicht wirklich mit dem Tool, und hatte bisher nie Zombis im Netzwerk die zum Bot mutieren.

Ich halte Firmware auf Geräten aktuell, besonders für den Router, den du Laut Signatur immer noch nicht geupdatet hast.

In dem Tool würde ich wohl schauen auf die IP, ob nen Gerät besonders oft/viele Verbindungen aufbaut obwohl es eigentlich eher untätig sein sollte.

Würde auch für IP Cam kein Internet erlauben, besonders bei billigen China Cams.

Frage ist ja auch, ob Problem noch besteht, oder es sich durch Neustart der Geräte erledigt hat. Holzhammermethode zum Neustart wäre einfach Hauptsicherung für ca. halbe Minute raus.
 
Zuletzt bearbeitet von einem Moderator:

rmh

Aktives Mitglied
Mitglied seit
6 Jul 2008
Beiträge
1,870
Punkte für Reaktionen
13
Punkte
38
@mankmill, verwendest du eine SAT-Box, Dreambox oder ein Derivat mit Community Firmware?

- - - Aktualisiert - - -

Du könntest mal den IoTSeeker testen, eine andere Methode ist mir nicht bekannt.
 

mankmill

Mitglied
Mitglied seit
12 Dez 2004
Beiträge
628
Punkte für Reaktionen
2
Punkte
18
Mein Sat Empfänger VU+ läuft mit einer community firmware. Die hatte ich auch als erstes in Verdacht. Der hatte ich aber bisher immer vertraut. Es könnte allerdings sein, dass sich da bei dem einen oder anderen Addon bei einem update etwas mit eingeschlichen hatte. Jedenfalls habe ich den schon mal platt gemacht und ohne Addons aufgefrischt. Danke mit dem Tipp vom IoTSeeker. Werde mal zusehen, ob ich ihn mit einer Linux Live CD zum laufen bringe. Ich habe selber nur Windows.

VG mankmill
 

rmh

Aktives Mitglied
Mitglied seit
6 Jul 2008
Beiträge
1,870
Punkte für Reaktionen
13
Punkte
38
Evtl kannst du dir den IoTSeeker auch sparen, der macht nämlich nichts anderes, als die in der devices.cfg definierten user/pass Kombinationen ausprobieren, sobald er ein Gerät gefunden hat, das zu den üblichen Verdächtigen zählt. Mein Tipp wäre also sämliche "remotefähigen" ports von außen zu schließen und gleichzeitig dafür zu sorgen, dass kein Gerät am Netz hängt, das noch ein Default-Passwort hat. Bei der VU+ bitte unbedingt ein passwort für root vergeben und für alle anderen Zugänge wie telnet (am besten abschalten) und ftp ein eigenes kreieren.
 

mankmill

Mitglied
Mitglied seit
12 Dez 2004
Beiträge
628
Punkte für Reaktionen
2
Punkte
18
Werde ich mal so machen. Mal sehen, ob sich die Telekom dann noch mal meldet.

VG mankmill
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
15,879
Punkte für Reaktionen
302
Punkte
83
Melde dich dann besser bei den, wundert schon fast, dass die dich nicht sperren und erst freischalten nachdem den Behebung bestätigst.

Hast bestimmt aus der Email oder vom Telefonat ne Ticket ID oder so, und dann kann der ggf. ja noch mal schauen/prüfen ob inzwischen ok ist.
 
3CX

Neueste Beiträge

Statistik des Forums

Themen
235,582
Beiträge
2,062,864
Mitglieder
356,343
Neuestes Mitglied
markusgrau