Virus na dreamboxu - procitati

    This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

    • Virus na dreamboxu - procitati

      Prije par dana mi se poslo desavati nesto veoma cudno s dreamboxom ( original DM 800HD SE ). Prvi znak uzbune je bio promijenjena root sifra koja nije bila standardna koja se na iskljucivo hard restart boxa dakle samo opciojom "IZ STRUJE" vratila na onu koju sam ja napravio i tada sam imao pristup boxu preko telneta. No tada DCC nije mogao uspostaviti nikakvu vezu s boxom i to ne na nacin da javlja onaj popup SOCKET greska kad nema nikakvog kontakta s boxom nego lijepo javi da je pogresna sifra.
      Desetak minuta nakon toga desava se nesto cudno. Tada telnet putem CMDa javlja da root nije tacan iako koristim istu root sifru koja je radila prije par minuta a DCC se konacno konektuje ali samo na FTP mrezi.
      Ovo vam pricam nakon sto sam na ovom istom forumu pokusao potraziti pomoc vezano za hakovanu IP adresu Ip adresa hakovana jer je generalno to i bio razlog da pokusam uci u box da vidim sta je to mijenjano.
      Ja sam mislio da se radi samo o ukradenom CCcam.cfg fajlu jer ga nije bilo tamo gdje treba biti i iskreno zabavio sam se oko tog dok mi dan kasnije moj internet provajder nije BLOKIRAO internet radi "slanja i primanja nedozvoljenog internet saobracaja". Ima neka procedura koja se mora slijediti u takvim slucajevima kao da se to ne bi ponovilo no sam nacin na koji su to uradili je bio veoma "zastrasujuci", uzeci prirodu dreambox saobracaja jel. Procedura zahtjeva da im se detaljno obrazlozi da li je na svim uredjajima prikopcanim na lokalnu mrezu izvrsen antivirus scan i slicno i moze se zatraziti detaljnije objasnjenje sta se to u stvari desilo. Poslali su mi detaljan log desavanja i s malim korekcijama ga objavljujem ovdje

      Source Code

      1. ​###LOG###
      2. | type: 'tcp'
      3. | region: 'nije bitno'
      4. | timestamp: '2016-12-17 19:42:42'
      5. | sic: 'nije bitno'
      6. | naics: 'nije bitno'
      7. | asn: '2119'
      8. | ip: 'nije bitno'
      9. | port: '52737'
      10. | geo: 'nije bitno'
      11. | cc_port: '23'
      12. | city: 'nije bitno'
      13. | infection: 'linux.mirai'
      14. | detail: 'Gafgyt/Mirai'
      15. | hostname: 'nije bitno'
      Display All

      Oni tvrde da je putem neke od linux masina ( a dreambox je jedini linux kojeg imam u kuci i to jedan jedini box koje je skopcan na net ) u periodu od 2016-12-17 19:42:42 do 2016-12-20 09:54:54 kada je blokiran pristup netu s njihove strane izvrseno vise stotina takozvanih DDos napada s moje adrese. Kao shvataju da to vjerovatno nije neki namjeran akt i vratili su mi pristup nekih 30 sati nakon inicijalne blokade ali samo pod uslovom da totalno formatiram tu linux masinu jer kako jos kazu sansa da se nanovo inficira bez reforamtiranja je 100%. Virus se deaktivira hard resetom ali kako kazu ovi symantec i ostali antivirus strucnjaci svake dvije minute on skanira da li postoji veza s internetom ne bi li uspostavio kontakt s bazom i cim uspostavi ponovo skida virus fajlove. Vise o upravo ovom virusu koji je mene zakacio mozete naci logo-symantec-dark-source a zove se Linux.Mirai Gafgyt trojanac.
      Ja sam na boxu imao OpenPli zadnju verziju od prije nekih mjesec dana i vec dva dana box nije prikopcan na net jer pokusavam pronaci detalje da me ne bi opet zadesio belaj no mislim da je potrebno uraditi sljedece :
      1. Ruter / modem reset do nove IP adrese
      2. DM sprziti ( ali cime ) i dati mu novi lokalni IP
      3. Promijenuti root sifru u neku novu

      Jel ima neko jos koji savjet i da li je iko imao slicnih iskustava ?
      Izvinjavam se na malo poduzem tekstu ali mislim da je bitno da znate da ste mozda i vi u potencionalnoj opasnosti. I da dok nisam zaboravio. Bitna stvar o kojoj pricaju ovi eksperti jeste da ova vrsta virusa iskoristava default logine a ja mogu garantovati da to nije bio slucaj kod mene.
    • O covjece....
      Ti o linuxu ko o raketnoj znanosti i astrofizici.
      Puknes novi image na reciver i stvar zavrsena. Prvo i osnovno pravilo je da nikad nemas otvorene portove u routeru za pristup izvana. Ukoliko ih i imas obavezno je promijeniti standardne portove pristupa i ukoliko imas Sambu - nju deinstalirati.
      Linux sam po sebi nema virusa, ali se moze iskoristiti za sve i svasta.
      MAY THE FORCE BE WITH YOU!

      Gatam sat. drivere na grah, proričem CS na tarot karte, bioenergijom otklanjam probleme s boxeva, centriram antene telekinezom!

    • U prinpicu nije problem s imidžom, već s onim što se naknadno instalira na njega.
      Dakle, po tvom pisanju si imao instalirane plugine, počevši od cccam-a, pa nadalje..
      Pisao sam već milion puta baš na ovom Forumu da nikome ne preporučujem instalacije raznoraznih kompilacija alata i pluginova, npr. popularni i uvek traženi (ne znam zašto?) TSpanel.
      Upravo taj panel sadrži na stotine koječega, a naziv označava TunisiaSat zajednicu, koja često uvali svašta neiskusnim korisnicima: trojance, phishing apps, itd.
      Ako vam treba CCcam, instalirajte samo njega sa nekog repozitorija odakle skidaju i drugi korisnici. Isto tako i Oscam, mgcamd, itd.

      Ne treba vam TSpanel, kao i slični agregatori svega i svačega. Ne budite lenguze, koje bi želele da sve urade onako, "direktorski - na jedan klik daljincem".
      Ako mislite da to ipak treba i može tako (što bi bilo komplikovano kad može "na jedan klik"... da se ne bi slučajno, onako usput, jel'te, nešto i naučilo!?), onda slobodno udrite..
      Taste the fate.
      Ali, posle toga sami rešavajte problem. Nije strašno - preživećete, a da može biti problema - može.
      I nemojte da kažete da niste bili upozoreni - čak vam i autori pomenutog TSpanela saopštavaju da se "ograđuju od mogućih negativnih iskustava, jer su oni samo prikupili pojedinačne pluginove na jedno mesto, a to da li rade neželjene stavri nije njihova odgovornost".

      I ne, ne kažem da je kolega MrTreha prošao korz sve ovo zbog TSpanela. To sam naveo samo kao primer o kojem mnogi ne razmišljaju na pravi način.
      NAPOMENA: Uopšte ne želim da ulazim u polemiku sa "višegodišnjim korisnicima TSpanela koji nikada nisu imali negativnog iskustva". Samo cepajte, vaša stvar i vaš užitak, dragi direktori :evil:

      Pravi razlog lošeg iskustva MrTreha može samo on lično da nasluti / spozna ako analizira šta je sve imao instalirano/aktivirano na linux sat-receiveru, te, kao što je kolega Freon naveo, kako mu je bio podešen router.
      AZBOX Premium HD ● WTK . play Android DVB-S2 STB
      Dish 1.80m Prime focus