Angriff aus dem Internet

**sx2008**

Mein WLAN-Router wurde heute und vor 2 Wochen aus dem Internet angegriffen - sehr mysteriös das Ganze.

Symtome:
* volle Auslastung der 2Mbit DSL-Leitung
* beim Telefonieren kommt es zu Aussetzern
* aus dem Internet wird auf meinen lokalen Proxy-Server zugegriffen und in rasender Folge auf einschläge URLs zugegriffen:

markieren

Code:

			2013-04-09 12:16:32.496 00001ca4 Crunch: Blocked: http://ad.globe7.com/st?ad_type=iframe&ad_size=160x600&section=4189381&pub_url=${www.explorebusinessroad.com}

2013-04-09 12:16:32.527 00001ed8 Crunch: Blocked: http://ib.adnxs.com/ttj?id=1261060

2013-04-09 12:16:32.590 0000084c Crunch: Blocked: http://ad.globe7.com/st?ad_type=iframe&ad_size=120x600&section=4012918&pub_url=${PUB_URL}

2013-04-09 12:16:32.621 00001f60 Crunch: Blocked: http://ads1.ministerial5.com/creative/2-002134049-00001i;size=2

2013-04-09 12:16:32.621 00001d64 Crunch: Blocked: http://ib.adnxs.com/ttj?id=1142116&cb=${CACHEBUSTER}&pubclick=${CLICK_URL}

2013-04-09 12:16:32.652 00003cac Crunch: Blocked: http://ads.yashi.com/1016/

2013-04-09 12:16:32.683 00001a88 Crunch: Blocked: http://ib.adnxs.com/tt?id=866410&cb=${CACHEBUSTER}&pubclick=${CLICK_URL}&referrer=makemoneyhouse.com

Allerdings werden alle URLs von meinem Proxyserver geblockt.

Wenn ich meinen Proxyserver abschalte, kann ich mit Wireshark jede Menge TCP - SYN Pakete mitschneiden, die von ganz unterschiedlichen IPv4-Adressen kommen.
Entweder wurden die IPs gefälscht oder es gibt dort drausen ein Botnetz das meinen Proxyserver benützen möchte.

Ein Neustart des Routers beendet den Spuk weil sich ja dann die öffentliche IP des Routers geändert hat.

Mein Theorie sieht so aus:
ich surfe ganz normal im WWW und greife ungewollt auf einen bösen Webserver zu.
Dieser Webserver kennt nun meine öffentliche IP und den Port.
Der Webserver führt einen Portscan aus und entdeckt meinen Proxyserver.
IP/Port werden an ein Botnetz weitergegeben, das dann meinen Proxyserver für einen DoS-Angriff (oder was immer das soll) benützt.

**Der schöne Günther**

Kein DoS, die scheinen Klicks auf Werbebanner simulieren zu wollen, oder?

**sx2008**

Zitat von Der schöne Günther:

Kein DoS, die scheinen Klicks auf Werbebanner simulieren zu wollen, oder?

Stimmt! Mit sowas kann man ja Geld verdienen.

Mein Proxyserver war bisher auch aus dem LAN erreichtbar.
Das habe ich jetzt geändert, so dass der Proxyserver nur über 127.0.0.1 benützt werden kann.
Aber wie die Hacker über den Router das NAT überwinden ist mir schleierhaft.
Irgendwie haben sie es geschafft aus einer ausgehenden Verbindung eine Eingehende zu machen.

**BUG**

Bist du sicher das der Proxy aus dem Internet nicht erreichbar war? Du könntest ja mal Heise mal einen

Portscan machen lassen.

**Aphton**

Falls es sich außerdem um einen D-Link Router handelt, besteht Bedarf auf Firmware-Update - es kursiert irgende Lücke im Internet.

Ist immer blöd, wenns dann die Router betrifft.

**sx2008**

Zitat von BUG:

Bist du sicher das der Proxy aus dem Internet nicht erreichbar war?

Die Konstellation sieht so aus:

markieren

Code:

			internet <---------> WLAN Router <-------> Notebook (mit Proxy auf 0.0.0.0:8118)
		

Windows 7 Firewall ist aktiv.
Ein Portscan hat keine offene Port ergeben.

Der Router ist eine Congstar Box (Speedport W701V Hardware).
Ich werde mal nach einem Firmware Update schauen.

**Der schöne Günther**

Zitat von Aphton:

Falls es sich außerdem um einen D-Link Router handelt, besteht Bedarf auf Firmware-Update - es kursiert irgende Lücke im Internet.

Stimmt, das war aber doch bei weitem nicht nur D-Link sondern ein ganzer Batzen, oder? Lücke in UPnP oder so etwas...

**sx2008**

Ich glaube ich habe jetzt den Grund gefunden.
Von einem früheren Experiment ist im Router noch eine Portregel übriggeblieben.
Damit kann man vom Internet auf meinen Proxyserver zugreifen.

Aber anscheinend gibt es ein Botnetz, dass nach offenen Proxies sucht und für ihre Zwecke missbraucht.
Da habe wohl noch Glück gehabt dass keine illegalen Dinge darüber gelaufen sind.

**Klaus01**

.. habe ich heute per mail bekommen:

Zitat:

Technische Warnung des Bürger-CERT
Ausgabe vom 10.04.2013
Nummer: TW-T13/0029

BETROFFENE SYSTEME
- D-Link Router DIR-600 HW rev B1, B2 und B5 mit Firmware kleiner
als FW2.16b01
- D-Link Router DIR-645 HW rev A1 mit Firmware kleiner als FW1.04b05

EMPFEHLUNG
Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller
bereitgestellten Sicherheitsupdates [1], um die Schwachstellen zu
schließen. Beachten Sie hierbei unbedingt die Anleitungen in den
jeweiligen ZIP-Archiven (TXT und PDF) zur Durchführung der
Firmware-Updates.

BESCHREIBUNG
Router der Firma D-Link enthalten eine Firewall und in der Regel eine
WLAN-Schnittstelle. Die Geräte sind hauptsächlich für private Anwender
und Kleinunternehmen konzipiert.

D-Link hat mehrere Schwachstelle in den Routern DIR-600 und DIR-645 mit
Firmwareupdates geschlossen. Diese Schwachstellen können von einem
entfernten, anonymen Angreifer ausgenutzt werden, um beliebigen Code
auszuführen oder um Informationen offenzulegen.

QUELLEN
- [1] Neue Firmware-Updates für D-Link Router DIR-645 Rev. A1, DIR-600
Rev. B1 und B2 sowie DIR-600 Rev. B5 vom 2013-04-05
<http://www.dlink.de/cs/Satellite?c=Press_C&childpagename=DLinkEurope-DE%2FDLPressRelease&cid=1197393760264&p=1197318956 476&packedargs=locale%3D1195806663795&pagename=DLi nkEurope-DE%2FDLWrapper>
- [2] PoC vom 2013-04-08
<http://cxsecurity.com/issue/WLB-2013040062>

Grüße
Klaus

Angriff aus dem Internet

Angriff aus dem Internet

AW: Angriff aus dem Internet

AW: Angriff aus dem Internet

AW: Angriff aus dem Internet

AW: Angriff aus dem Internet

AW: Angriff aus dem Internet

AW: Angriff aus dem Internet

AW: Angriff aus dem Internet

AW: Angriff aus dem Internet

Forumregeln

Der schöne Günther Registriert seit: 6. Mär 2013 6.110 Beiträge Delphi 10 Seattle Enterprise	#2 AW: Angriff aus dem Internet 9. Apr 2013, 12:10 Kein DoS, die scheinen Klicks auf Werbebanner simulieren zu wollen, oder?
	Zitat

BUG Registriert seit: 4. Dez 2003 Ort: Cottbus 2.094 Beiträge	#4 AW: Angriff aus dem Internet 9. Apr 2013, 12:46 Bist du sicher das der Proxy aus dem Internet nicht erreichbar war? Du könntest ja mal Heise mal einen Portscan machen lassen. Intellekt ist das Verstehen von Wissen. Verstehen ist der wahre Pfad zu Einsicht. Einsicht ist der Schlüssel zu allem.
	Zitat

Aphton Registriert seit: 31. Mai 2009 1.198 Beiträge Turbo Delphi für Win32	#5 AW: Angriff aus dem Internet 9. Apr 2013, 13:10 Falls es sich außerdem um einen D-Link Router handelt, besteht Bedarf auf Firmware-Update - es kursiert irgende Lücke im Internet. Ist immer blöd, wenns dann die Router betrifft. das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt MfG Geändert von Aphton ( 9. Apr 2013 um 13:20 Uhr)
	Zitat

Der schöne Günther Registriert seit: 6. Mär 2013 6.110 Beiträge Delphi 10 Seattle Enterprise	#7 AW: Angriff aus dem Internet 9. Apr 2013, 15:05 Zitat von Aphton: Falls es sich außerdem um einen D-Link Router handelt, besteht Bedarf auf Firmware-Update - es kursiert irgende Lücke im Internet. Stimmt, das war aber doch bei weitem nicht nur D-Link sondern ein ganzer Batzen, oder? Lücke in UPnP oder so etwas...
	Zitat