Gefahr aus dem Netz
 "Bot befällt DSL-Router mit Linux")
Bot befällt DSL-Router mit Linux
Schon im Januar hatte der Australier Terry Baume in einem kurzen Paper darauf hingewiesen, das die unter dem Namen Psyb0t firmierende Malware Linux-Systeme befällt. Zumeist sind dies DSL-Router. Betroffen ist eine ganze Palette von Geräten, die die CPU unter Linux nutzen, darunter auch verschiedene Versionen von OpenWRT. Angriffsvektor sind überwiegend Telnet- oder SSH-Zugänge, die auch auf das WAN-Interface des Gerätes horchen sowie schwache oder fehlende Passwörter an diesen Schnittstellen. Dem Vernehmen nach hat die Software verschiedene Angriffswerkzeuge eingebaut, darunter einen Netzwerkscanner und einen Brute Forcer.
Aufmerksamkeit hatte das Botnet erregt, nachdem es eine Website mit IP-Blacklists mit einem Denial-of-Service-Angriff belegt hatte. Verschiedene Quellen berichten von 80.000 - 100.000 Clients, die sich alle bei dem offenkundig schwer zurückverfolgbaren IRC-Kanal angemeldet haben. Einer Mitteilung im Steuerkanal zufolge ist das Botnet mittlerweile deaktiviert, bleibt aber dennoch das erste seiner Art, das im größeren Maßstab Linux-Geräte angegriffen hatte.
Da das Filesystem auf den betroffenen Routern readonly gemountet ist, genügt es in der Regel, das DSL-Modem neu zu booten, ein sicheres Passwort für den Admin-Zugang einzurichten und die Firmware auf den neuesten Stand zu bringen, um den Schädling los zu werden.
Einem Freund empfehlen
Man sieht hier wieder ganz schön. Mann kann noch so ein sicheren Panzerschrank haben. Aber wenn man die Türe offen stehen lässt oder das Passwort 123.. wählt, kommt dennoch jeder rein! Ich fand es schon immer befremdlich, selbst im Intranet hinter der Firewall eine Konfiguration ohne sichere (verschlüsselte) und passwortgeschützte Konfigurationsmöglichkeit offen zu lassen. Denn durch eine kleine Unachtsamkeit bei der Konfiguration ist diese auch aus dem Internet/WAN erreichbar. Ciao Ulf |
