Hallo! Ich habe hier eine Gigaset T440 (IP-basierte TK-Anlage), auf der hat sich möglicherweise ein Virus eingenistet. Die Auswirkung ist dergestalt, dass die Anlage im Abstand von ca. 1 bis 2 Minuten (differiert), eine TCP-Verbindung zu völlig obskuren externen IP-Adressen aufbauen will. Das verhindert zwar die Firewall des Routers, aber der damit verbundene Prozess bewirkt jedesmal, dass laufende Gespräche (und Fax-Verbindungen) für ca. 10s einen Tonausfall haben. Nun bin ich kein Linux-Profi, komme aber per SSH auf die Anlage. Mit dem Kommando netstat habe ich herausgefunden, dass da z.B. immer Verbindungen zu den Adressen "madang1.tiare" und "madang2.tiare" aufgebaut werden sollen. Leider wirft Google bei den Begriffen nur eine handvoll Meldungen, bevorzugt in Französisch aus, in denen jemand vermutet, dass er einen Virus auf dem Raspberry hat. Der zugehörige Prozess heisst lt. netstat "1021/l0". Gibts ein Linux-Kommando, diesem Prozess erstmal die Nutzung jeglicher Netzwerkverbindugnen zu verbieten? Ich wollte clamav installieren, aber auf der Gigaset gibts kein apt-get ... Danke für Tips!
Angehängte Dateien:
-
netstat1.jpeg
130 KB
:
Bearbeitet durch User
Frank E. schrieb: > zu den Adressen "madang1.tiare" und "madang2.tiare" Da ist der Rest abgeschnitten, mit -n verhinderst Du den DNS-Lookup und siehst die IP-Adresse. > Der zugehörige Prozess heisst lt. netstat "1021/l0". 1021 ist die Process ID, l0 der Name. Evtl. mal mit "find / -name l0" suchen, oder Du guckst Dich mal in /proc/1021 um, da findest Du weitere Details. > Gibts ein Linux-Kommando, diesem Prozess erstmal die Nutzung jeglicher > Netzwerkverbindugnen zu verbieten? Das ginge per Firewall-Rule, aber eine so unklare Situation schreit eher nach einer sauberen Neuinstallation.
Hallo Frank. Wie hmm schon geschrieben hat -n damit man die IP sieht und nicht den halben DNS Namen. Hing die Gigaset jemals offen im Internet? Oder zB Portweiterleitung SSH oder Webinterface? Die hatte doch bisher nur einen ISDN Anschluss oder schon immer VoIP? Irgendwelche Default Passwörter auch in der DMZ nicht geändert? http-alt ist Port 8080. Die IP 211.103.199.98 deutet aber schonmal auf China und nichts gutes hin. ClamAV usw kannst du vergessen - entweder du kennst dich mit Linux gut aus und kannst den Virus entfernen und das System manuell auf weiteren Befall prüfen oder du installierst komplett neu. Schau mal hier: http://joshrendek.com/2016/06/building-honeypots-and-analyzing-linux-malware/ >> DDOS.Flood / DnsAmp Grüsse einmal quer durch B Martin
Ich war so "mutig", mit "kill 1021" den Prozess zu beenden. jetzt sind die obskuren Verbindungen erstmal weg, aber die TK-Analge nimmt keine Anrufe mehr von Aussen entgegen. Habe zwar Fernzugriff per SSH und Web-GUI und da scheint Alles in Ordnung (z.B. alle SIP-Accounts registriert) und rausrufen geht auch (mit Softphone auf einem Rechner im dortigen Netz getestet) ... aber es bleibt dabei, kein Anruf von Aussen wird angenommen ... Scheisse.
Das ist ziemlich eindeutig ein Trojaner. Ich habe mir gerade mal 202.28.32.30:8080 angeguckt, das ist ein recht spartanischer IRC-Server, ein typischer Command&Control-Server. Verbreitet wird sowas meistens per Brute-Force-Angriff per SSH oder FTP, Einfallstor sind i.d.R. Accounts wie root/root oder admin/12345. Frank E. schrieb: > da scheint Alles in > Ordnung (z.B. alle SIP-Accounts registriert) Am besten mal ein "tcpdump -n port 5060" laufenlassen und gucken, ob wirklich Anrufe reinkommen oder z.B. die Firewall wegen eines zu knappen UDP-Timeouts die Session entsorgt hat. Die Linux-Trojaner, die ich bisher seziert habe, waren eher primitiv und konnten im wesentlichen mit dem C&C-Server reden und auf Befehl von dort ein paar verschiedene Attacken starten, ein Abfangen von SIP-Sessions ist eher unwahrscheinlich.
Hmmm schrieb: > Verbreitet wird sowas meistens per Brute-Force-Angriff per SSH oder FTP, > Einfallstor sind i.d.R. Accounts wie root/root oder admin/12345. Vielleicht auch beim Telefon-Bubu mit den Damen aus Thailand: http://www.what-is-my-address-ip.com/whois-ip-address-202.28.32.0.html
Icke ®. schrieb: > Vielleicht auch beim Telefon-Bubu mit den Damen aus Thailand: Was sich halt so "Akademie der Kunst und Kultur" nennt. ;-) Da jedenfalls landet man bei dieser Adresse. Thailändische Uni.
:
Bearbeitet durch User
Unabhängig davon würde ich mal überlegen, ob evtl. irgendwelche einfachen 0815-Passwörter noch benutzt werden, die erst den Prozess ermöglichen?
A. K. schrieb: > Was sich halt so "Akademie der Kunst und Kultur" nennt. ;-) Die Durchwahl führt wahrscheinlich zur Fakultät für Human- und Sozialwissenschaften... =8P
Martin schrieb: > Hallo. > > Was ist aus dem Virus geworden? > > > Martin Ich war gezwungen, die Gigaset-Anlage abzubauen, habe Sie durch einen lüfterlosen Mini-PC mit 3CX ersetzt, die Software (bzw. die GUI, drunter ist in jedem Falle Asterisk) ist mir sowieso sympatischer ... Ich weiss auch nicht, ob ich da noch viel Zeit dran verschwenden werde, Garantie war abgelaufen. Ich werde Gehäuse/Hardware nutzen (Rackmount-Design, enthält immerhin ein internes Netzteil und einen 12-Port PoE-Switch) und ebenfalls 3CX drauf machen ... und bei Gelegenheit wieder verkaufen.
:
Bearbeitet durch User
Informiere doch bitte auch Gigaset über das Problem, sofern du vermutest dass du keinen Konfigurationsfehler gemacht hast (z.B. root passwort "1234" gesetzt).
Aus der Abteilung für saubere Terminologie und verbale Korrektheit: Hmmm schrieb: > Das ist ziemlich eindeutig ein Trojaner. Es handelt sich vermutlich um Schadsoftware oder unerwünschte Software, aber keinen Trojaner. Unter einem Trojaner (kurzform für "Trojanisches Pferd", also genaugenommen das Gegenstück zu den eigentlichen Trojanern) wird eine Software verstanden, die vom Opfer freiwillig installiert wird, ohne daß dieses seine schädlichen Komponenten kennt. Der OP hat die fragliche Software wohl nicht selbst installiert, sondern sie dürfte eher von den Crackern vermöge eines nicht weiters identifizierten Exploits gepflanzt worden sein.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.