Change your DB's password - malware/virus/bot created/found!

[gorski]

Here's the original German text...

Dreambox Virus/Bot entdeckt!

Hab da was krasses erlebt heute ... wusste gar nicht das es sowas gibt

Mein Kumpel hatte Tagelang probleme mit seiner dreambox. jeden tag gecrasht
und danach waren irgendwelche dateien im /lib/ ordner ausgetauscht und
enigma startete nicht mehr. Musste immer neu flashen und nächsten Tag
ging wieder nix.

Hab ihm dann heute mal geholfen und
rausgefunden das seine box permanent im internet erreichbar war weil er
portfreigabe gemacht hat für telnet und ftp damit er von der arbeit und
so auf die box kommt. Leider standard username/passwort mit
root/dreambox.

Eben war seine box wieder hinüber. Konnte dann
im aktivieren FTP und Telnet Log auf seiner Box sehen das sich einer
eingeloggt hat auf der box aus polen, ein paar files auf die box kopiert
hat und irgendnen unfug gemacht hat.

Konnte lustigerweise die IP selber im browser und ftp erreichen mit standard root/dreambox login, war eine ENIGMA1 Box ...

Auf dieser fremden box lief ein prozess names "m5" das wohl permanent
irgendwelche internet ip ranges gescannt hat und probiert hat sich dort
mit root/dreambox einzuloggen und wenn login erfolgreich, dann wurde der
bot auch da installiert und ein paar libs ausgetauscht die den bot
starten. Diese Box hat dann wohl jeden Tag meinen Kumpel probiert zu
infizieren und den bot zu installieren.

Da es LIBS sind für enigma1 crashte aber die box von meinem kumpel immer weil die für
POWERPC und nich MIPSEL kompiliert sind ...

Kann in dem kompilierten "m5" binary nich viel erkennen, aber es ist aufjedenfall
nen BOT der IP's scannt und sich dann probiert damit zu verbreiten.

Aber da sind ein paar text strings zu erkennen die klar drauf hindeuten das
es sich um einen bot handelt, befehle wie DDOS, IP Scans usw usw.

Code:

PRIVMSG %s :* .login                <password>        - login to bot's party-line
PRIVMSG %s :* .logout                                 - logout from bot's party-line
PRIVMSG %s :* *** Miscs Commands
PRIVMSG %s :* .exec                 <commands>        - execute a system command
PRIVMSG %s :* .version                                - show the current version of bot
PRIVMSG %s :* .status                                 - show the status of bot
PRIVMSG %s :* .help                                   - show this help message
PRIVMSG %s :* *** Scan Commands
PRIVMSG %s :* .advscan <a> <b>      <user> <passwd>   - scan with user:pass (A.B) classes sets by you
PRIVMSG %s :* .advscan <a> <b>                        - scan with d-link config reset bug
PRIVMSG %s :* .advscan->recursive   <user> <pass>     - scan local ip range with user:pass, (C.D) classes random
PRIVMSG %s :* .advscan->recursive                     - scan local ip range with d-link config reset bug
PRIVMSG %s :* .advscan->random      <user> <pass>     - scan random ip range with user:pass, (A.B) classes random
PRIVMSG %s :* .advscan->random                        - scan random ip range with d-link config reset bug
PRIVMSG %s :* .advscan->random->b   <user> <pass>     - scan local ip range with user:pass, A.(B) class random
PRIVMSG %s :* .advscan->random->b                     - scan local ip range with d-link config reset bug
PRIVMSG %s :* .stop                                   - stop current operation (scan/dos)
PRIVMSG %s :* *** DDos Commands:
PRIVMSG %s :* NOTE: <port> to 0 = random ports, <ip> to 0 = random spoofing,
PRIVMSG %s :* use .*flood->[m,a,p,s,x] for selected ddos, example: .ngackflood->s host port secs
PRIVMSG %s :* where: *=syn,ngsyn,ack,ngack m=mipsel a=arm p=ppc s=superh x=x86
PRIVMSG %s :* .spoof          <ip>                    - set the source address ip spoof
PRIVMSG %s :* .synflood       <host> <port> <secs>    - tcp syn flooder
PRIVMSG %s :* .ngsynflood     <host> <port> <secs>    - tcp ngsyn flooder (new generation)
PRIVMSG %s :* .ackflood       <host> <port> <secs>    - tcp ack flooder
PRIVMSG %s :* .ngackflood     <host> <port> <secs>    - tcp ngack flooder (new generation)
PRIVMSG %s :* *** IRC Commands:
PRIVMSG %s :* .setchan        <channel>               - set new master channel
PRIVMSG %s :* .join           <channel> <password>    - join bot in selected room
PRIVMSG %s :* .part           <channel>               - part bot from selected room
PRIVMSG %s :* .quit                                   - kill the current process

Der prozess lief auf der box aus polen dutzende mal und hatte dutzende
aktivie Internet verbindungen .... war also fleissig dabei fremde boxen
im internet zu suchen wo man sich mit root/dreambox einloggen konnte.
Und wenn das gelang wurden ein paar dateien ausgetauscht ... schlecht
für enigma2 boxen das es sich dabei um powerpc libs handelt udn danach
gar nix mehr geht.

Hab mir die Bot Binaries mal geladen und gezippt, vlt kann da ja einer was mit anfangen aber vorsicht!!!

Find ich krass ... wusste gar nich das es dreambox viren gibt. Zugegeben
eine Box im internet zu haben ohne passwort bzw. mit standard
root/dreambox login is nicht gerade schlau, aber das es Bots gibt die
solche dreamboxen suchen und infizieren finde ich schon krass!!!

[MOD] Anhang entfernt[/MOD]

An English online translation...

Dreambox virus/bot discovered!

Got something crass experienced today ... did not know that there is something

My buddy had problems for days with his dreambox. crashed every day and
then any files were in the / lib / folder and replaced enigma no longer
started. Always had to re-flash and the next day went again nothing.

Did he then helped times today and found out that his box permanently
accessible on the internet was because he made port release for telnet
and ftp, so he comes home from work and so on the box. Unfortunately,
standard username / password with root / dreambox.

Up his box was over again. Could then enable FTP and Telnet to log his box to see
which one has logged in to the box from poland, some files have copied
to the box and irgendnen made mischief.

Funny enough, the IP itself in the browser and ftp could achieve with standard root / dreambox login, ENIGMA1 was a box ...

On this strange box was a process named "m5" which has scanned probably
permanently any internet ip ranges and has tried there with root /
dreambox log and when login is successful, the bot was installed there
and exchanged a few libs that offered the . start This box has to infect
then probably tried every day my buddy and offered to install.

As there are for LIBS enigma1 but crashed out of the box because my buddy always are compiled for PowerPC and MIPSEL nich ...

Can in the compiled "m5" binary nich see much, but it's NEN BOT repays the IP's scanned and then tried to spread it.

But there are a couple of text strings to recognize the clear on it
indicate that it is a bot, commands such as DDOS, IP scans etc etc.

Code:

PRIVMSG %s :* .login                <password>        - login to bot's party-line
PRIVMSG %s :* .logout                                 - logout from bot's party-line
PRIVMSG %s :* *** Miscs Commands
PRIVMSG %s :* .exec                 <commands>        - execute a system command
PRIVMSG %s :* .version                                - show the current version of bot
PRIVMSG %s :* .status                                 - show the status of bot
PRIVMSG %s :* .help                                   - show this help message
PRIVMSG %s :* *** Scan Commands
PRIVMSG %s :* .advscan <a> <b>      <user> <passwd>   - scan with user:pass (A.B) classes sets by you
PRIVMSG %s :* .advscan <a> <b>                        - scan with d-link config reset bug
PRIVMSG %s :* .advscan->recursive   <user> <pass>     - scan local ip range with user:pass, (C.D) classes random
PRIVMSG %s :* .advscan->recursive                     - scan local ip range with d-link config reset bug
PRIVMSG %s :* .advscan->random      <user> <pass>     - scan random ip range with user:pass, (A.B) classes random
PRIVMSG %s :* .advscan->random                        - scan random ip range with d-link config reset bug
PRIVMSG %s :* .advscan->random->b   <user> <pass>     - scan local ip range with user:pass, A.(B) class random
PRIVMSG %s :* .advscan->random->b                     - scan local ip range with d-link config reset bug
PRIVMSG %s :* .stop                                   - stop current operation (scan/dos)
PRIVMSG %s :* *** DDos Commands:
PRIVMSG %s :* NOTE: <port> to 0 = random ports, <ip> to 0 = random spoofing,
PRIVMSG %s :* use .*flood->[m,a,p,s,x] for selected ddos, example: .ngackflood->s host port secs
PRIVMSG %s :* where: *=syn,ngsyn,ack,ngack m=mipsel a=arm p=ppc s=superh x=x86
PRIVMSG %s :* .spoof          <ip>                    - set the source address ip spoof
PRIVMSG %s :* .synflood       <host> <port> <secs>    - tcp syn flooder
PRIVMSG %s :* .ngsynflood     <host> <port> <secs>    - tcp ngsyn flooder (new generation)
PRIVMSG %s :* .ackflood       <host> <port> <secs>    - tcp ack flooder
PRIVMSG %s :* .ngackflood     <host> <port> <secs>    - tcp ngack flooder (new generation)
PRIVMSG %s :* *** IRC Commands:
PRIVMSG %s :* .setchan        <channel>               - set new master channel
PRIVMSG %s :* .join           <channel> <password>    - join bot in selected room
PRIVMSG %s :* .part           <channel>               - part bot from selected room
PRIVMSG %s :* .quit                                   - kill the current process

The process ran on the box from poland dozens times and had dozens activate
Internet connections .... was so busy this strange box on the internet
looking for where you could log in as root / dreambox. And if that
succeeded a few files have been replaced ... bad for enigma2 boxes it
this is powerpc libs UDN did nothing more then go.

Got my bot binaries times loaded and zipped, vlt can since a something with but beware!

I find crass ... nich even knew that there is virus dreambox. Added to a
box on the internet have no password or with standard root / dreambox
login is not just smart, but that bots are looking for such a dream box
and infect I find pretty wicked!

[MOD] appendix removed [/ MOD]

So much for those "pearls" how Linux boxes do not need any 'special' protection...

[jay]

So much for those "pearls" how Linux boxes do not need any 'special' protection...

wer telnet nach außen öffnet, hat es nicht besser verdient.
wer das dann auch noch mit einem default passwort macht, erst recht nicht.
und wer dann denkt, wegen den bescheuerten fehlern einiger völlig ahnungsloser anwender sei dann "linux unsicher", dem ist auch nicht mehr zu helfen...

jay

[gorski]

Actually, a guy complained he did not have anything opened and he changed the default pass...

So, VPN it is...

[jay]

soso,
"he did not have anything opened"?
und sein router hat den portforward auf magische weise von selbst eingerichtet?

[googgi]

nein, das war wahrscheinlich der Typ aus Polen


Seine Box nach aussen zu öffnen mit Standardpasswort ist grob fahrlässig.
Ist ungefähr so wie eine unversperrte Haustür, wo der Einbrecher nur die Türklinke zu drücken braucht...

[suchmich1983]

nein, das war wahrscheinlich der Typ aus Polen


Seine Box nach aussen zu öffnen mit Standardpasswort ist grob fahrlässig.
Ist ungefähr so wie eine unversperrte Haustür, wo der Einbrecher nur die Türklinke zu drücken braucht...

Amen!!

[gorski]

Hehe, a Dutchman made a parallel with going to prostitutes without a condom...

Jay, that was another user/example - the difference of definite or indefinite article, you see...