[fli4l] Auffälligkeit bei aktiver Verbindung

Friedrich Bartel FrBartel at hotmail.com
Sa Mai 24 13:56:50 CEST 2014 

Am 24.05.2014 13:08, schrieb Helmut Sieckmann:
> Hallo,
> ich fand gestern eine Auffälligkeit unter aktive Verbindungen im Web
> Interface:
>
>                    Quelle                   Ziel
>
> ipv4	tcp	1.85.141.35 55326	WAN IP	8080	ESTABLISHED
>
> Die Adresse 1.85.35.x gehört laut Whois Abfrage der China Telekom
Adressblock der China Telekom.

Laufen irgendwelche exotischen Bildschirmschoner, Tools, Taskbars
permanent auf einem Client-PC? Autostarts kontrollieren.

Programmsymbole von Pricegong-. Aktien-, Wetter-Tools etc. in der 
Taskleiste? Bitte auch die ausgeblendeten Symbole kontrollieren.
(Windows 7 und höher)

Kann sein das irgendwelche Keylogger, Spy- oder Maleware sich da 
eingenistet.
Malwarebytes drüber laufen lassen und Superantispyware. Wenn die nichts
finden Hitmanpro. Die heutigen (Bezahl-)Virenscanner decken leider nur
einen Teil der zu findenden Schadsoftware ab.

Beim Fli nach untypischen Tasks suchen. Ggf. das letzte Build noch mal
auf die Maschine schieben und mit neuem Passwort, um auszuschließen das
der Fli nicht gehackt wurde.

Beim DSL-Modem/Modemrouter das letzte gültige BIOS vom Hersteller
einspielen. Die unsrigen Schlapphüte brüsten sich damit, das sie Geräte
hacken können und ihre BIOS-Version draufschieben um das LAN 
auszuspionieren. Anreiz für die sind immer Linuxrechner, weil
Windowsbüchsen leichter zu knacken und zu überwachen sind.

Bei den DSL-Modem-Routern wurden seit Anfang 2014 offene Serviceports,
wie z.B. 32764 gefunden. Die Schwachstellen sind schon seit 2012
bekannt.

Betroffen waren Fritzbox, Netgear, Linksys ,D-Link, Cisco Belkin und
Aususgate.
>
> Wie kommt die aber als Quelle in Frage? Ich kann mir keinen Reim daraus
> machen.
Wie auch die unsrigen Schlapphüte sind auch die aus dem Ausland
neugierig. Linux-Rechner sind da immer eine Herausforderung.

Damals bei den Olympischen Spielen in China hatte ich permanent
Anfragen von Rechnern aus dem Regierungsviertel. Kein Plan was die
Herren in Deutschland suchten.

> Ich habe sie auf jeden Fall erstmal gedroppt...
Sollte man.
>
> Wer kann dazu was sagen?
Läuft eine VoIP-Telefonanlage made in China z.B. Huawai etc, hinter dem Fli?

> Mfg Helmut
>

Friedrich

Mehr Informationen über die Mailingliste Fli4L