KD-one: Sicherheitsproblem? Zufall?

Hi alle,

Wie schon in diesem Thread <> besprochen, hab ich gravierendProbleme mit meinem Router.
Immer wieder stürzt er aus unerfindlichen Gründen ab.
Diesmal aber geschah etwas äusserst merkwürdiges.
Nachdem der Router abgestürzt war, war das Zugangspasswort zur Konfigurationsseite gelöscht und die Konfiguration somit frei zugänglich, zusätzlich waren die Inbound Packetfilter alle gelöscht, mit denen ich bestimmte Ports von aussen explizit für den Zugriff gesperrt hatte.
In den Logfiles tauchen öfter 10 und mehr Zugriffsversuche derselben IP auf ein und denselben Port auf.
Zusammen mit den bisherigen, unerklärlichen Abstürzen , den teilweise trotz Firewall offenen Ports und dem letzten Ereignis habe ich nun wirklich den Verdacht, jemand versucht mich zu hacken.
Hab ich Paranoia, oder ist meine Befürchtung begründet?

Gruß

Kurt

--
Nein, ich beantworte keine Anfragen per e-mail.
ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
"Das ist das Merkmal des grossen und guten Menschen, dass er immer zuerst auf das Ganze und auf andere sieht, auf sich zuletzt."  (Adalbert Stifter; oest. Schriftsteller; 1805-1868)
http://elektro-dunzinger.at
http://shop.elektro-dunzinger.at
  1. Hi alle,

    Sorry, hier der link zum Thread [pref:t=82805&m=483193]

    Gruß

    Kurt

    --
    Nein, ich beantworte keine Anfragen per e-mail.
    ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
    "Mancher Mensch hat ein grosses Feuer in seiner Seele, und niemand kommt, um sich daran zu waermen."  (Vincent van Gogh; holl. Maler; 1853-1990)
    http://elektro-dunzinger.at
    http://shop.elektro-dunzinger.at
    1. Hallo KD-one,

      Hi alle,

      Sorry, hier der link zum Thread [pref:t=82805&m=483193]

      Hmm, Du schreibst dort in [pref:t=82805&m=483634], dass Du ein P2P-Netzwerk betreibst. Vielleicht hilft Dir folgender Link einen Schritt weiter: http://www.dsl-webseiten.de/forum/showthread.php?s=0513920236574392b236f89b72a01646&threadid=14725

      Selbstverständlich solltest Du auch CKs Hinweis nicht aus den Augen lassen :-)

      Freundliche Grüsse,

      Vinzenz

      1. Hi Vinzenz,

        Hmm, Du schreibst dort in [pref:t=82805&m=483634], dass Du ein P2P-Netzwerk betreibst. Vielleicht hilft Dir folgender Link einen Schritt weiter: http://www.dsl-webseiten.de/forum/showthread.php?s=0513920236574392b236f89b72a01646&threadid=14725

        Selbstverständlich solltest Du auch CKs Hinweis nicht aus den Augen lassen :-)

        *lol*
        Nein, mit Filesharing hab ich nichts am Hut, schliesslich kann ich es mir als Firma gar nicht leisten, mit Raubkopien zu arbeiten.
        Mit P2P ist lediglich gemeint, daß ich keinen eigenen Server betreibe, sondern alle Rechner gleichberechtigt(natürlich mit, je nach Fall, eingeschränkten Rechten) im Intranet agieren.

        Gruß

        Kurt

        --
        Nein, ich beantworte keine Anfragen per e-mail.
        ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
        "Alles, was gelernt werden kann, ist nicht der Muehe wert, gelernt zu werden."  (Laotse; chin. Philosoph; 4.-3. Jh. v. Chr.)
        http://elektro-dunzinger.at
        http://shop.elektro-dunzinger.at
    2. Hi Kurt,

      Sorry, hier der link zum Thread [pref:t=82805&m=483193]

      Dass da einer versucht, bei dir auf port 445 reinzukommen deutet schon sehr auf einen Virus hin:

      http://news.google.de/news?q=virus port 445&hl=de&lr=&ie=UTF-8&sa=N&tab=wn

      Weiters findest du sicher auf den Seiten von Trendmicro.

      Viele Grüße, Rolf

      --
      KnowHow veröffentlichen statt Patentieren!
      1. Hi Rolf Rost,

        Dass da einer versucht, bei dir auf port 445 reinzukommen deutet schon sehr auf einen Virus hin:

        http://news.google.de/news?q=virus port 445&hl=de&lr=&ie=UTF-8&sa=N&tab=wn

        Nö, kann eigentlich nicht sein.
        Meine Systeme werden alle von KAV in der Version 5.0.121 geschützt, die Updates werden alle 3 Stunden ausgeführt und einmal täglich wird in der Nacht jedes System geprüft.
        Abgesehen davon, daß KAV imho der zuverlässigste Virenschutz ist, kann ich nicht an eine Infektion glauben.

        Gruß

        Kurt

        --
        Nein, ich beantworte keine Anfragen per e-mail.
        ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
        "Mut ist eine Tugend, doch Angst beweist Vernunft, Bewusstsein und Phantasie. Die Kunst ist es abzuwaegen."  (Moriartes, gr. Philosoph, 314-244 v. Chr.)
        http://elektro-dunzinger.at
        http://shop.elektro-dunzinger.at
        1. Hallo KD-one,

          Dass da einer versucht, bei dir auf port 445 reinzukommen deutet schon sehr auf einen Virus hin:
          Nö, kann eigentlich nicht sein.
          Meine Systeme werden alle von KAV in der Version 5.0.121 geschützt, die Updates werden alle 3 Stunden ausgeführt und einmal täglich wird in der Nacht jedes System geprüft.
          Abgesehen davon, daß KAV imho der zuverlässigste Virenschutz ist, kann ich nicht an eine Infektion glauben.

          Du hast Rolf falsch verstanden. Nicht Deine Rechner sind virenverseucht, sondern viele im Internet sind von aktuellen Würmern befallen. Diese Rechner durchsuchen das Internet nach neuen Opfern, probieren systematisch ganze IP-Bereiche durch und erwischen dabei auch Dich - nur nicht auf dem falschen Fuß.

          Freundliche Grüsse,

          Vinzenz

          1. Hi Vinzenz,

            Du hast Rolf falsch verstanden. Nicht Deine Rechner sind virenverseucht, sondern viele im Internet sind von aktuellen Würmern befallen. Diese Rechner durchsuchen das Internet nach neuen Opfern, probieren systematisch ganze IP-Bereiche durch und erwischen dabei auch Dich - nur nicht auf dem falschen Fuß.

            Ja, scheint so.
            Hab ich wohl missverstanden. :-)

            Gruß

            Kurt

            --
            Nein, ich beantworte keine Anfragen per e-mail.
            ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
            "Verstand ohne Gefuehl ist unmenschlich, Gefuehl ohne Verstand ist Dummheit."  (Egon Bahr; dt. Journalist u. Politiker; geb. 1922)
            http://elektro-dunzinger.at
            http://shop.elektro-dunzinger.at
  2. Hallo KD-one,

    interessant waere das genaue Modell deiner "Firewall".

    Grüße,
     CK

    --
    <zentrum> wie war noch mal die option in make.conf fuer das benutzen von pipes um das compile zu beschluenigen?
    <CK1> CFLAGS="-pipe"
    <torsten> Oder man frage einen Gentooer seiner Wahl, wie man 2 km Compilerswitches fuer seine CPU hinbekommt ;)
    http://wwwtech.de/
    1. Hi Christian,

      interessant waere das genaue Modell deiner "Firewall".

      Es handelt sich dabei um die integrierte Firewall meines Routers US-Robotics 8000A.
      http://www.usr-emea.com/products/p-wired-product.asp?prod=net-bb-rout02&loc=grmy

      Gruß

      Kurt

      --
      Nein, ich beantworte keine Anfragen per e-mail.
      ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
      "Der Beruf ist eine Schutzwehr, hinter welche man sich erlaubterweise zurueckziehen kann, wenn Bedenken und Sorgen allgemeiner Art einen anfallen."  (Friedrich Willhelm Nietzsche; dt. Philosoph; 1844-1900)
      http://elektro-dunzinger.at
      http://shop.elektro-dunzinger.at
      1. Hallo KD-one,

        interessant waere das genaue Modell deiner "Firewall".

        Es handelt sich dabei um die integrierte Firewall meines Routers
        US-Robotics 8000A.

        Welche Firmware-Version? Alle dieser Router bis Version 2.5 haben einen
        Buffer-Overflow-Bug im eingebauten HTTP-Server. Der kann die Firewall
        zum Absturz bringen und uU auch dazu genutzt werden, beliebigen Code
        auszufuehren.

        Grüße,
         CK

        --
        Nur die Weisesten und die Dümmsten können sich nicht ändern.
        http://wwwtech.de/
        1. Hi Christian,

          Welche Firmware-Version? Alle dieser Router bis Version 2.5 haben einen
          Buffer-Overflow-Bug im eingebauten HTTP-Server. Der kann die Firewall
          zum Absturz bringen und uU auch dazu genutzt werden, beliebigen Code
          auszufuehren.

          Nein, das kann nicht die Ursache sein. Die Firmwareversion ist 2.7, also die letztgültige.

          Gruß

          Kurt

          --
          Nein, ich beantworte keine Anfragen per e-mail.
          ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
          "Tadele nicht den Fluss, wenn du ins Wasser faellst."  (ind. Sprichwort)
          http://elektro-dunzinger.at
          http://shop.elektro-dunzinger.at
          1. Hallo KD-one,

            Welche Firmware-Version? Alle dieser Router bis Version 2.5 haben
            einen Buffer-Overflow-Bug im eingebauten HTTP-Server. Der kann
            die Firewall zum Absturz bringen und uU auch dazu genutzt werden,
            beliebigen Code auszufuehren.

            Hier meinte ich natuerlich den Router, nicht die "Firewall" :-)

            Nein, das kann nicht die Ursache sein. Die Firmwareversion ist 2.7,
            also die letztgültige.

            Ja, aber in den Changelogs steht nichts von einem Bugfix dafuer. Ich
            waere mir da nicht so sicher, dass der bereits gefixed ist. Dass
            ich V. 2.5 erwaehnt habe, liegt daran, dass es bei bekanntwerden mit
            diesen Versionen getestet wurde :-)

            Grüße,
             CK

            --
            Echte Hacker benutzen Aexte. (Thomas Walter in de.org.ccc)
            http://wwwtech.de/
            1. Hi Christian,

              Ja, aber in den Changelogs steht nichts von einem Bugfix dafuer. Ich
              waere mir da nicht so sicher, dass der bereits gefixed ist. Dass
              ich V. 2.5 erwaehnt habe, liegt daran, dass es bei bekanntwerden mit
              diesen Versionen getestet wurde :-)

              Na super, also besteht durchaus eine reelle Chance, daß mein Netzwerk von aussen ferngesteuert wird, respektive, daß versucht wird, dies zu tun?
              Shit Happens, dann wird wohl wirklich ein neuer Router fällig.
              Die Firmwareversion ist ja zumindest schon ein halbes Jahr alt, folglich ist auch kaum damit zu rechnen, daß da bald ein Fix rauskommt.
              Danke dir auf alle Fälle für dein Bemühen.

              Gruß

              Kurt

              --
              Nein, ich beantworte keine Anfragen per e-mail.
              ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
              "Kein Problem wird geloest, wenn wir traege darauf warten, dass Gott allein sich darum kuemmert."  (Martin Luther King; am. Buergerrechtler; 1929-1968)
              http://elektro-dunzinger.at
              http://shop.elektro-dunzinger.at
              1. Hallo KD-one,

                Na super, also besteht durchaus eine reelle Chance, daß mein
                Netzwerk von aussen ferngesteuert wird, respektive, daß versucht
                wird, dies zu tun?

                So, wie du die Symptome betreibst (regelmaessige Abstuerze nach
                Online-Schaltung, beim letzten mal sogar Passwort leer) kann das
                durchaus sein, ja.

                Wobei ich dir das natuerlich nicht garantieren kann. Ich weiss nur,
                was auf Bugtraq gepostet wird.

                Die Firmwareversion ist ja zumindest schon ein halbes Jahr alt,
                folglich ist auch kaum damit zu rechnen, daß da bald ein Fix
                rauskommt.

                Du kannst ja mal U.S. Robotics anschreiben und nachfragen.

                Danke dir auf alle Fälle für dein Bemühen.

                Gern.

                Grüße,
                 CK

                --
                Unsere Vorstellungen von der Ewigkeit sind genauso nuetlich wie die Mutmassungen eines Kuehkens ueber die Aussenwelt bevor es die Eierschale aufbricht.
                http://wwwtech.de/
                1. Hi Christian Kruse,

                  So, wie du die Symptome betreibst (regelmaessige Abstuerze nach
                  Online-Schaltung, beim letzten mal sogar Passwort leer) kann das
                  durchaus sein, ja.

                  Nun, es ist nicht nach dem Onlinegehen, das Phänomen tritt in unregelmäßigen Abständen auf und es sind äusserlich auch keine Anzeichen vorhanden, wann das passiert. beim letzten Crash bin ich draufgekommen, als ich das Selfforum aktualisieren wollte. Sämtliche LED´s haben völlig normal geleuchtet, obwohl der Router abgestürzt war. Lediglich die WAN-Statusleuchte ging nach dem Aktualisierungsversuch aus.

                  Wobei ich dir das natuerlich nicht garantieren kann. Ich weiss nur,
                  was auf Bugtraq gepostet wird.

                  Die Firmwareversion ist ja zumindest schon ein halbes Jahr alt,
                  folglich ist auch kaum damit zu rechnen, daß da bald ein Fix
                  rauskommt.

                  Du kannst ja mal U.S. Robotics anschreiben und nachfragen.

                  Ja, das werde ich auf alle Fälle mal tun. Vielleicht wissen die eine Lösung.

                  Gruß

                  Kurt

                  --
                  Nein, ich beantworte keine Anfragen per e-mail.
                  ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
                  "Das Glueck besteht darin, in dem zu Masslosigkeit neigenden Leben das rechte Mass zu finden."  (Leonardo da Vinci; it. Universalgenie; 1452-1519)
                  http://elektro-dunzinger.at
                  http://shop.elektro-dunzinger.at
              2. Hallo KD-one,

                Shit Happens, dann wird wohl wirklich ein neuer Router fällig.

                Warum folgst Du nicht dem Vorschlag von Sven aus dem anderen Thread und versuchst es mal mit fli4l? Rolf hat auf seiner Perlbase einen Artikel dazu http://perlbase.xwolf.de/cgi-bin/perlbase.cgi?display=16&id=13 geschrieben.

                Freundliche Grüsse,

                Vinzenz

                1. Hi Vinzenz,

                  Warum folgst Du nicht dem Vorschlag von Sven aus dem anderen Thread und versuchst es mal mit fli4l? Rolf hat auf seiner Perlbase einen Artikel dazu http://perlbase.xwolf.de/cgi-bin/perlbase.cgi?display=16&id=13 geschrieben.

                  Naja, weil ich Linux "fürchte".
                  Andererseits, müsste ich mir dazu einen alten Rechner besorgen, was ja an sich nicht so sehr ein großes Problem sein sollte. Da stellt sich mir dann aber die Frage, ob ich nicht überhaupt einen Server aufsetzen und mich von P2P verabschieden sollte.
                  Spätestens da aber scheitere ich aber ob meinen Kenntnissen.
                  Wenn schon Server, dann Linux, keinesfalls Windows.
                  Abgesehen davon, daß ich von Linux/Unix minus null Ahnung habe, aber kann Linux/Unix überhaupt mit Windows auf dieser Ebene zusammenarbeiten? Du siehst, am Willen scheitert es nicht, alleine an den Kenntnissen.

                  Gruß

                  Kurt

                  --
                  Nein, ich beantworte keine Anfragen per e-mail.
                  ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
                  "Verantwortlich ist man nicht nur fuer das, was man tut, sondern auch fuer das, was man nicht tut."  (Laotse; chin. Philosoph; 4.-3. Jh. v. Chr.)
                  http://elektro-dunzinger.at
                  http://shop.elektro-dunzinger.at
                  1. Moin,

                    Warum folgst Du nicht dem Vorschlag von Sven aus dem anderen Thread und versuchst es mal mit fli4l?
                    Naja, weil ich Linux "fürchte".

                    http://www.fli4l.de/german/extern/doku/stable/doc/deutsch/html/index.html könnte ein Einstieg sein, um Dich von der Furcht zu befreien.

                    aber kann Linux/Unix überhaupt mit Windows auf dieser Ebene zusammenarbeiten?

                    Warum nicht :-)? Wenn Du mit dem IE browst, arbeitest Du ja auch ständig mit Linux/Unix/etc-Systemen.

                    Viele Grüße

                    Swen Wacker

                    1. Hi Swen,

                      Naja, weil ich Linux "fürchte".
                      http://www.fli4l.de/german/extern/doku/stable/doc/deutsch/html/index.html könnte ein Einstieg sein, um Dich von der Furcht zu befreien.
                      aber kann Linux/Unix überhaupt mit Windows auf dieser Ebene zusammenarbeiten?
                      Warum nicht :-)? Wenn Du mit dem IE browst, arbeitest Du ja auch ständig mit Linux/Unix/etc-Systemen.

                      Nuja, nun habt ihr mir den Mund wässrig gemacht, ich werd mich mal in die doku vertiefen... ;-)

                      Gruß

                      Kurt

                      --
                      Nein, ich beantworte keine Anfragen per e-mail.
                      ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
                      "Der Zufall ist der einzig legitime Herrscher des Universums."  (Napoleon I.; fr. Kaiser; 1769-1821)
                      http://elektro-dunzinger.at
                      http://shop.elektro-dunzinger.at