AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Angriff aus dem Internet

Ein Thema von sx2008 · begonnen am 9. Apr 2013 · letzter Beitrag vom 10. Apr 2013
Antwort Antwort
Benutzerbild von sx2008
sx2008

Registriert seit: 16. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#1

Angriff aus dem Internet

  Alt 9. Apr 2013, 13:06
Mein WLAN-Router wurde heute und vor 2 Wochen aus dem Internet angegriffen - sehr mysteriös das Ganze.

Symtome:
* volle Auslastung der 2Mbit DSL-Leitung
* beim Telefonieren kommt es zu Aussetzern
* aus dem Internet wird auf meinen lokalen Proxy-Server zugegriffen und in rasender Folge auf einschläge URLs zugegriffen:
Code:
2013-04-09 12:16:32.496 00001ca4 Crunch: Blocked: http://ad.globe7.com/st?ad_type=iframe&ad_size=160x600&section=4189381&pub_url=${www.explorebusinessroad.com}
2013-04-09 12:16:32.527 00001ed8 Crunch: Blocked: http://ib.adnxs.com/ttj?id=1261060
2013-04-09 12:16:32.590 0000084c Crunch: Blocked: http://ad.globe7.com/st?ad_type=iframe&ad_size=120x600&section=4012918&pub_url=${PUB_URL}
2013-04-09 12:16:32.621 00001f60 Crunch: Blocked: http://ads1.ministerial5.com/creative/2-002134049-00001i;size=2
2013-04-09 12:16:32.621 00001d64 Crunch: Blocked: http://ib.adnxs.com/ttj?id=1142116&cb=${CACHEBUSTER}&pubclick=${CLICK_URL}
2013-04-09 12:16:32.652 00003cac Crunch: Blocked: http://ads.yashi.com/1016/
2013-04-09 12:16:32.683 00001a88 Crunch: Blocked: http://ib.adnxs.com/tt?id=866410&cb=${CACHEBUSTER}&pubclick=${CLICK_URL}&referrer=makemoneyhouse.com
Allerdings werden alle URLs von meinem Proxyserver geblockt.

Wenn ich meinen Proxyserver abschalte, kann ich mit Wireshark jede Menge TCP - SYN Pakete mitschneiden, die von ganz unterschiedlichen IPv4-Adressen kommen.
Entweder wurden die IPs gefälscht oder es gibt dort drausen ein Botnetz das meinen Proxyserver benützen möchte.

Ein Neustart des Routers beendet den Spuk weil sich ja dann die öffentliche IP des Routers geändert hat.

Mein Theorie sieht so aus:
ich surfe ganz normal im WWW und greife ungewollt auf einen bösen Webserver zu.
Dieser Webserver kennt nun meine öffentliche IP und den Port.
Der Webserver führt einen Portscan aus und entdeckt meinen Proxyserver.
IP/Port werden an ein Botnetz weitergegeben, das dann meinen Proxyserver für einen DoS-Angriff (oder was immer das soll) benützt.
Angehängte Dateien
Dateityp: zip attack.zip (48,9 KB, 7x aufgerufen)
  Mit Zitat antworten Zitat
Der schöne Günther

Registriert seit: 6. Mär 2013
6.159 Beiträge
 
Delphi 10 Seattle Enterprise
 
#2

AW: Angriff aus dem Internet

  Alt 9. Apr 2013, 13:10
Kein DoS, die scheinen Klicks auf Werbebanner simulieren zu wollen, oder?
  Mit Zitat antworten Zitat
Benutzerbild von sx2008
sx2008

Registriert seit: 16. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#3

AW: Angriff aus dem Internet

  Alt 9. Apr 2013, 13:18
Kein DoS, die scheinen Klicks auf Werbebanner simulieren zu wollen, oder?
Stimmt! Mit sowas kann man ja Geld verdienen.

Mein Proxyserver war bisher auch aus dem LAN erreichtbar.
Das habe ich jetzt geändert, so dass der Proxyserver nur über 127.0.0.1 benützt werden kann.
Aber wie die Hacker über den Router das NAT überwinden ist mir schleierhaft.
Irgendwie haben sie es geschafft aus einer ausgehenden Verbindung eine Eingehende zu machen.
  Mit Zitat antworten Zitat
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#4

AW: Angriff aus dem Internet

  Alt 9. Apr 2013, 13:46
Bist du sicher das der Proxy aus dem Internet nicht erreichbar war? Du könntest ja mal Heise mal einen Portscan machen lassen.
Intellekt ist das Verstehen von Wissen. Verstehen ist der wahre Pfad zu Einsicht. Einsicht ist der Schlüssel zu allem.
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#5

AW: Angriff aus dem Internet

  Alt 9. Apr 2013, 14:10
Falls es sich außerdem um einen D-Link Router handelt, besteht Bedarf auf Firmware-Update - es kursiert irgende Lücke im Internet.

Ist immer blöd, wenns dann die Router betrifft.
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG

Geändert von Aphton ( 9. Apr 2013 um 14:20 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von sx2008
sx2008

Registriert seit: 16. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#6

AW: Angriff aus dem Internet

  Alt 9. Apr 2013, 14:34
Bist du sicher das der Proxy aus dem Internet nicht erreichbar war?
Die Konstellation sieht so aus:
Code:
internet <---------> WLAN Router <-------> Notebook (mit Proxy auf 0.0.0.0:8118)
Windows 7 Firewall ist aktiv.
Ein Portscan hat keine offene Port ergeben.

Der Router ist eine Congstar Box (Speedport W701V Hardware).
Ich werde mal nach einem Firmware Update schauen.
  Mit Zitat antworten Zitat
Der schöne Günther

Registriert seit: 6. Mär 2013
6.159 Beiträge
 
Delphi 10 Seattle Enterprise
 
#7

AW: Angriff aus dem Internet

  Alt 9. Apr 2013, 16:05
Falls es sich außerdem um einen D-Link Router handelt, besteht Bedarf auf Firmware-Update - es kursiert irgende Lücke im Internet.
Stimmt, das war aber doch bei weitem nicht nur D-Link sondern ein ganzer Batzen, oder? Lücke in UPnP oder so etwas...
  Mit Zitat antworten Zitat
Benutzerbild von sx2008
sx2008

Registriert seit: 16. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#8

AW: Angriff aus dem Internet

  Alt 9. Apr 2013, 19:50
Ich glaube ich habe jetzt den Grund gefunden.
Von einem früheren Experiment ist im Router noch eine Portregel übriggeblieben.
Damit kann man vom Internet auf meinen Proxyserver zugreifen.

Aber anscheinend gibt es ein Botnetz, dass nach offenen Proxies sucht und für ihre Zwecke missbraucht.
Da habe wohl noch Glück gehabt dass keine illegalen Dinge darüber gelaufen sind.
Miniaturansicht angehängter Grafiken
port-regel.png  
  Mit Zitat antworten Zitat
Klaus01

Registriert seit: 30. Nov 2005
Ort: München
5.768 Beiträge
 
Delphi 10.4 Sydney
 
#9

AW: Angriff aus dem Internet

  Alt 10. Apr 2013, 16:43
.. habe ich heute per mail bekommen:

Zitat:
Technische Warnung des Bürger-CERT
Ausgabe vom 10.04.2013
Nummer: TW-T13/0029


BETROFFENE SYSTEME
- D-Link Router DIR-600 HW rev B1, B2 und B5 mit Firmware kleiner
als FW2.16b01
- D-Link Router DIR-645 HW rev A1 mit Firmware kleiner als FW1.04b05

EMPFEHLUNG
Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller
bereitgestellten Sicherheitsupdates [1], um die Schwachstellen zu
schließen. Beachten Sie hierbei unbedingt die Anleitungen in den
jeweiligen ZIP-Archiven (TXT und PDF) zur Durchführung der
Firmware-Updates.

BESCHREIBUNG
Router der Firma D-Link enthalten eine Firewall und in der Regel eine
WLAN-Schnittstelle. Die Geräte sind hauptsächlich für private Anwender
und Kleinunternehmen konzipiert.

D-Link hat mehrere Schwachstelle in den Routern DIR-600 und DIR-645 mit
Firmwareupdates geschlossen. Diese Schwachstellen können von einem
entfernten, anonymen Angreifer ausgenutzt werden, um beliebigen Code
auszuführen oder um Informationen offenzulegen.

QUELLEN
- [1] Neue Firmware-Updates für D-Link Router DIR-645 Rev. A1, DIR-600
Rev. B1 und B2 sowie DIR-600 Rev. B5 vom 2013-04-05
<http://www.dlink.de/cs/Satellite?c=Press_C&childpagename=DLinkEurope-DE%2FDLPressRelease&cid=1197393760264&p=1197318956 476&packedargs=locale%3D1195806663795&pagename=DLi nkEurope-DE%2FDLWrapper>
- [2] PoC vom 2013-04-08
<http://cxsecurity.com/issue/WLB-2013040062>
Grüße
Klaus
Klaus
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 03:05 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz