Adriano Geplaatst: 24 januari 2007 Geplaatst: 24 januari 2007 Ik kwam op een ander forum een virus waarschuwing tegen. Als je niet achter een firewal zit met je dreambox en je hebt poort 21 open staan kan het zijn dat er een var/tool2 dir op je box is aangemaakt waar de volgende file in kan staan *_tool2.tar. Dat blijkt dus een hacktool te zijn. Hier nog het verhaal in het engels: something is hacking the dreambox when you have port 21 open how they find you i dont know maybe because of 1 cw that leads to 100 others and that leads to 100.000 others and so on when they have hacked you then they uploaded a tarfile 4347_tool2.tar in /var and unpack it in /var/tool2 and then run a script start.sh in /var/tool2 which uses a binary called tvconnector. who thes people are i dont know what this does i dont know i do know that it should not be in youre dreambox this could easy be spyware from who knows my advise is to you all check youre dreambox id you see one of thes files/dir's in youre box FLASH IT dont take any risk maybe youre box is sending data about youre peers maybe youre box is sending data to collect as evidence against you for those who know what this is maybe they can explain i have some files here for examination Toshiba 46RV555D Pioneer VS-922 + WharfedaleDM8000 S-C-T OpenATV 4.1Archsat 85 triple Astra plus Hotbird en een draaibare Triax 88cm
Tazmanius Geplaatst: 24 januari 2007 Geplaatst: 24 januari 2007 Poort 21 is de ftp poort. Deze is dus alleen te benaderen als je de dreambox direct aan je internetverbinding hebt hangen zonder router. (Of in de router de prot zelf forward maar zou niet weten waarom je dat zou doen) Ik heb niet heel veel kennis van de dreambox maar wel van computers/netwerken etc en het ziet er een beetje naar uit dat het een hoax is. Zeker omdat er zo weinig bekend over is. Mocht iemand het bestand aantreffen zou ik het graag eens inzien maar zou me neit te veel zorgen maken. Anders had dream zelf ook wel gewaarschuwd. Topfield 7700HSCI 250GB USB HDD Topfield 4000PVR Maxdigital 225 COMBO CD Familie + HD Wave Frontier T55 - 2x Alps Single (A2+HB)1x Inverto single (A3) 1x Alps dual (A1) Maximum Digitality DiSEqcC 4/1
jackren Geplaatst: 24 januari 2007 Geplaatst: 24 januari 2007 Heb het bestand gevonden op een van mijn db 'en direkt verwijderd en ftp poort gesloten. Zal het bijbvoegen , kan iemand het even nakijken die er verstand van heeft, of en wat het doet. Is er trouwens een firewall plugin die in verschillende images werkt?
dAF2000 Geplaatst: 24 januari 2007 Geplaatst: 24 januari 2007 Citaat: Heb het bestand gevonden op een van mijn db 'en direkt verwijderd en ftp poort gesloten. Zal het bijbvoegen , kan iemand het even nakijken die er verstand van heeft, of en wat het doet. Is er trouwens een firewall plugin die in verschillende images werkt? PLi heeft standaard een firewall in de image. En ik ben wel benieuwd naar die file.
Gast Geplaatst: 25 januari 2007 Geplaatst: 25 januari 2007 Ik wil hiervoor als oplossing ssh op de dreambox gaan plaatsen, heb deze reeds geplaatst, en kan met /hdd/opt/ssh/sbin/sshd deze starten, maar het lukt me niet om het automatisch te laten starten tijdens het booten, wie weet waar ik deze regel kan plaatsen, zodat bij een herstart de daemon automatisch wordt gestart?
jackren Geplaatst: 25 januari 2007 Geplaatst: 25 januari 2007 Citaat: Citaat: Heb het bestand gevonden op een van mijn db 'en direkt verwijderd en ftp poort gesloten. Zal het bijbvoegen , kan iemand het even nakijken die er verstand van heeft, of en wat het doet. Is er trouwens een firewall plugin die in verschillende images werkt? PLi heeft standaard een firewall in de image. En ik ben wel benieuwd naar die file. Hier is het bestandje , nu dubbel ingepakt.1305390-3660_tool2.tar.zip
koekjedebij Geplaatst: 25 januari 2007 Geplaatst: 25 januari 2007 Je hoeft hier echt geen zorgen om te maken, het lijkt erop dat de binary 'tvconnector' voor elke URL wordt uitgevoerd met 'blap' als configfile (dat steeds een andere user-agent gebruikt). Uiteindelijk zal het script falen op de lookup van de genoemde URL's omdat die niet bestaan. Feit is idd dat het niet iets is wat standaard in de image zit en het ook niet zo hoort te zijn dat iemand dat er bij jou op kan zetten. Persoonlijk vind ik dat: - Hang je DB nooit direct aan het internet (ook al heb je er een firewall op draaien). Zet ook geen poorten direct door naar je DB. Als je een (linux)server thuis hebt draaien doe dan alles via portforwarding over SSH. - Verander ALTIJD het standaard root password (ik vermoed dat het grote gros op dit forum dit helemaal niet doet. Elke keer na het flashen moet je dit opnieuw doen). - Gebruik geen telnet maar SSH (ff telnet in /etc/inetd.conf uithashen en inetd kill-huppen). - enz enz Onthoud: telnet=NIET ENCRYPTED, ftp=NIET ENCRYPTED, SSH=WEL ENCRYPTED. met telnet en ftp is dus eenvouding dmv sniffers/tcpdumps je userid/passwd te achterhalen
henkie v Geplaatst: 25 januari 2007 Geplaatst: 25 januari 2007 mauce is er ergens een link om ssh te gebruiken gelijk op je db.. ik maak nu altijd een ssh verbiding met mijn linux server en start dan via deze server een telnet of ftp verbinding met de dbox.. dat loopt dan toch over de ssh encrypted verbinding ? VU+DUO OpenPli DM7000S - NSLU2 met 200 gig hd - USB 1024MB - multitenne 45 - Multiboot PLI Iolite
Ptje Geplaatst: 25 januari 2007 Geplaatst: 25 januari 2007 Wat ik wel heel typisch vind, is dat het alle Pli image`s betreft als ik het een beetje volg. afz. Ptje
dAF2000 Geplaatst: 25 januari 2007 Geplaatst: 25 januari 2007 Citaat: Wat ik wel heel typisch vind, is dat het alle Pli image`s betreft als ik het een beetje volg. afz. Ptje Wie wat waar zie/volg je dat?
koekjedebij Geplaatst: 25 januari 2007 Geplaatst: 25 januari 2007 Citaat: mauce is er ergens een link om ssh te gebruiken gelijk op je db.. ik maak nu altijd een ssh verbiding met mijn linux server en start dan via deze server een telnet of ftp verbinding met de dbox.. dat loopt dan toch over de ssh encrypted verbinding ? Zoals je het nu omschrijft is het goed, je SSH-tunnel loopt dan tot je linuxbak (ik ga er vanuit dat die WEL achter een firewall staat). In dat geval ben je dus al op een veilige (encrypted) manier op je eigen LAN gekomen. Er vanuit gaand dat je eigen LAN VEILIG is hoef je daar natuurlijk niet per se alles encrypted te doen. De reden dat ik van mening ben dat je de dreambox beter niet direct aan het internet kunt hangen is dat de manier waarop dreammedia met security om gaat tegen alle 'regels' in gaat. Even als voorbeeld: - alles op de DB draait onder root, dat is dus eingelijk taboe! Sterker nog, steeds meer linux distros werken alleen nog maar met 'sudoers', zo moet je met ubuntu eerst een root-password setten voordat je een root-shell kunt krijgen. Met dreammedia dus niet! - standaard staan gewoon poorten open, ook al gebruik je de betreffende services niet. Eventjes een snelle portscan levert dit op: PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 80/tcp open http 139/tcp open netbios-ssn 445/tcp open microsoft-ds 3001/tcp open nessusd 8080/tcp open http-proxy 10000/tcp open snet-sensor-mgmt 12000/tcp open cce4x 31337/tcp open Elite Beter is om alles standaard dicht te gooien en alleen datgenen open te zetten wat je daadwerkelijk wilt gebruiken. De dreambox draait dus wel op linux, maar niet zoals het hoort zeg maar..... BLijkbaar heeft dreammedia voor functionaliteit gekozen (om het eenvoudig te houden) en niet voor veiligheid. Ik weet dat je hier lang over door kunt discussieren en iedereen er zo op zijn eigen manier mee om gaat. Maar dit is mijn mening. Even terug op jouw vraag: Als jij -zoals ik begrijp uit jouw vraag- direct naar de DB wilt kunnen SSHen zul je dus een portforward in je firewall direct naar de DB moeten maken (poort 22). Maar dat is juist af te raden, ik neem aan dat je linuxserver van alle security faciliteiten is voorzien (RSA-keys, iptables etc etc etc?). In dat geval zou ik het zeker zo laten. Webinterface, streams etc etc kun je met portforwarding OVER de tunnel heen laten lopen (optie -L op het ssh commando). Over hoe je dat precies moet doen moet je ff googlen. Je moet ff onthouden dat je tunnel niet per se op de dreambox hoeft te termineren om een stream of webinterface te forwarden. Je kunt er maximaal 1 hop vanaf zitten. Dus ff googlen naar portforwarding over SSH.
Gast Geplaatst: 26 januari 2007 Geplaatst: 26 januari 2007 Citaat: Als jij -zoals ik begrijp uit jouw vraag- direct naar de DB wilt kunnen SSHen zul je dus een portforward in je firewall direct naar de DB moeten maken (poort 22). Maar dat is juist af te raden, ik neem aan dat je linuxserver van alle security faciliteiten is voorzien (RSA-keys, iptables etc etc etc?). In dat geval zou ik het zeker zo laten. Mocht je nu wel met ssh een verbinding naar je db willen maken, hoe kun je dan je db configureren, zodat deze daemon automatisch wordt gestart, toevoegen in /etc/inetd.conf lukt niet, doordat deze ro is gemount? Arjan
Gast Geplaatst: 26 januari 2007 Geplaatst: 26 januari 2007 Waarom zou een SSH naar de dreambox minder veilig zijn dan naar een "gewone" PC? (Ik ga er vanuit dat SSH op de dreambox ook protocol versie 2 gebruikt)
koekjedebij Geplaatst: 26 januari 2007 Geplaatst: 26 januari 2007 Citaat: Waarom zou een SSH naar de dreambox minder veilig zijn dan naar een "gewone" PC? (Ik ga er vanuit dat SSH op de dreambox ook protocol versie 2 gebruikt) Ja de dreambox ondersteunt ook ssh2. ssh an sich op de db is inderdaad niet slechter of zo. Ik bedoelde het ook meer in het algemeen (zeker als je al een server ergens anders in je LAN hebt wat al voorzien is van de bovengenoemde access restricties.)
koekjedebij Geplaatst: 26 januari 2007 Geplaatst: 26 januari 2007 Citaat: Mocht je nu wel met ssh een verbinding naar je db willen maken, hoe kun je dan je db configureren, zodat deze daemon automatisch wordt gestart, toevoegen in /etc/inetd.conf lukt niet, doordat deze ro is gemount? Arjan Dat hoeft dus niet, je moet het kind niet met het badwater weggooien maar het kan wel met bijvoorbeeld 'portknocking' maar ik denk niet dat dat door de dreambox wordt ondersteund. NB: ik heb een 7020 en daar is /etc rw maar in jouw geval is dat ro??? kan dat zijn omdat je een 7000 hebt (ik ken alleen de 7020)
Aanbevolen berichten
Maak een account aan of log in om te reageren
Je moet een lid zijn om een reactie te kunnen achterlaten
Account aanmaken
Registreer voor een nieuwe account in onze community. Het is erg gemakkelijk!
Registreer een nieuwe accountInloggen
Heb je reeds een account? Log hier in.
Nu inloggen