Speedtouch 585 - DNS Fehler? oder Zomby?

ZombyKillah · 21.11.2009, 01:20

Gerätedetails:
Produktname: SpeedTouch 585
Softwareversion:5.3ri.9.0
Softwarevariante:CG
Startprogrammlader-Version:1.0.8

Das Gerät hat jetzt ca. ein Jahr brav seinen Dienst verrichtet.
Seit ca. 3 Wochen tritt manchmal plötzlich der Fehler auf, dass das Internet ausfällt.
Nach erster Analyse schien der DNS aus-zufallen, daher war meine erste Vermutung, das irgendein Server am Router eingetragen ist, der nicht erreichbar ist.
Als ich den Fehler letztens hatte, habe ich alle DNS Server ausprobiert, die am Router eingetragen waren.
Beide haben funktioniert.
Die DNS Weiterleitung vom Modem aber nicht (-> Fehler vom Speedtouch).

Der selbe Fehler trat beim Modem meines Vaters (Gleiches Modell) ca. 1 Monat vorher auf.

Für mich ist die Lösung einfach, da ich nur den DHCP ändere, so dass ich direkt mit den DNS Server rede.

Meine Frage am ganzen:
Was ist los?
Kann es sein, dass die Wartungsschnittstelle der Telekom von einen Bot Netzwerk ausgenutzt wird welches dieses Phänomen als Nebenwirkung hat?

zigeina · 21.11.2009, 09:42

Zitat:

Zitat von ZombyKillah

Kann es sein, dass die Wartungsschnittstelle der Telekom von einen Bot Netzwerk ausgenutzt wird welches dieses Phänomen als Nebenwirkung hat?

ja natürlich, seit da im team der TA diese russengruppe mitarbeitet, werden systematisch heimmodems gehackt

scherz beiseite. wie wärs mit aktueller und offizieller firmware

ZombyKillah · 21.11.2009, 14:39

http://www.heise.de/newsticker/meldu...rn-208535.html
Die Bot Netze haben sich in der Zwischenzeit auf Sicherheitslücken von Heimroutern spezialisiert.
Und jede Form der Wartungsschnittstelle ist eine potentielle Sicherheitslücke.

Wenn diese oder eine andere Sicherheitslücke bei einen Gerät gefunden wird und ein Bot dieses beginnt auszunutzen hat es logisch zur Folge, dass es nicht lange dauern wird, bis alle Geräte mit dieser Firmware betroffen sein werden.

However ... das Internet geht, lediglich der DNS Lookup funktioniert nicht.
Der Rest ist eine Standard Telekom Konfiguration, wenn das Gerät nun ein Bot ist, kann es mir eigentlich scheiß egal sein, solange meine Internetperformance nicht leidet.
Ein Update erscheint mir daher als zu aufwändig.

ZombyKillah · 21.11.2009, 15:50

Anderseits könnte das auch die Häufung an fehlerhaften Verschlüsselungszertifikaten erklären.
Ach was solls, ich hau mal eine neue Firmware drauf.

ANOther · 21.11.2009, 20:27

> Und jede Form der Wartungsschnittstelle ist eine potentielle Sicherheitslücke.

interessehalber:
klär mich mal auf, wie diese(diese, keine andere!!) wartungsschnittstelle ausgenutzt werden kann...

zigeina · 21.11.2009, 22:24

Ein Bot-Netz, das vor allem aus Routern besteht, fällt aus dem Rahmen. Normalerweise werden vor allem PCs mit Windows versklavt, um als Zombies zu dienen. Psybot hat sich hingegen anscheinend auf kleine Netzwerk-Router für Heimanwender spezialisiert, auf denen ein Embedded Linux für MIPS-CPUs läuft.
und der 585v7 ist definitiv nicht so ein router.
weiters gibts die möglichkeiten von verseuchten lokalen pc's, die mittels UPnP den router umkonfigurieren, und womöglich die dns einträge umbiegen.
die remote wartungszugänge sind ein anderes thema --> aber genauso suspekt

Irokese · 29.11.2009, 17:34

[OT]
Wahnsinn.............was für ein spanisches Dorf

!!
[/OT]

ZombyKillah · 29.11.2009, 19:16

Also ... allgemeine Info ...
Habe die Telekom kontaktiert, welche Firmware ich installieren darf ...
Das wäre die 5.3.9.2 ...

Zitat:

Sie können andere Firmware auf eigene Gefahr mit Verlust der
Gerwährleistung verwenden.

Eine Position die ich auch verstehe ... however ... UPnP ist bei meinen Router deaktiviert.
Hab bei meinen Routern hinter dem TK-Gerät den DNS fix eingestellt.
Somit ist es mir egal, was dass Gerät der Telekom im Internet anstellt.

Seit ca. 1-2 Montaten ist bekannt, dass sich einige Bot-Netze auf Home-Router spezialisiert haben ...
Bekannt gemacht wurde, dass die Bots hauptsächlich schlechte Standart-Konfigurationen ausnutzen wie:
http - aus dem Internet erreichbar
ssh/telnet - aus dem Internet erreichbar und mit Standartpasswort versehen
Würde mich aber nicht wundern, wenn die Angriffe bereits wesentlich intelligenter sind.

ANOther · 29.11.2009, 19:37

> Seit ca. 1-2 Montaten ist bekannt

DAS?

is zum einen etwas länger schon bekannt, zum anderen trafs etwas andere geräte...
und - IIRC ist der fernzugang auf die alcatelgurken schon länger deaktiviert...
---
btw
selbst wenn...
mit einem standarTpasswort kämst du nie und nimma rein

--..--..--..--

> Würde mich aber nicht wundern, wenn die Angriffe bereits wesentlich intelligenter sind

mich auch nicht, allerdings gibts lohnendere ziele als ein modem, welches von ernigen anbietern verwendet wird, und das auch noch in 235.000 verschiedenen softwareständen...
IMHO sollte man sich als fritz!user eher gedanken machen...

21.11.2009, 01:20	#1
ZombyKillah Trashtroll Registriert seit: 19.10.2008 Ort: far away but still in austria Beiträge: 1.194 Mein Computer	Speedtouch 585 - DNS Fehler? oder Zomby? Gerätedetails: Produktname: SpeedTouch 585 Softwareversion:5.3ri.9.0 Softwarevariante:CG Startprogrammlader-Version:1.0.8 Das Gerät hat jetzt ca. ein Jahr brav seinen Dienst verrichtet. Seit ca. 3 Wochen tritt manchmal plötzlich der Fehler auf, dass das Internet ausfällt. Nach erster Analyse schien der DNS aus-zufallen, daher war meine erste Vermutung, das irgendein Server am Router eingetragen ist, der nicht erreichbar ist. Als ich den Fehler letztens hatte, habe ich alle DNS Server ausprobiert, die am Router eingetragen waren. Beide haben funktioniert. Die DNS Weiterleitung vom Modem aber nicht (-> Fehler vom Speedtouch). Der selbe Fehler trat beim Modem meines Vaters (Gleiches Modell) ca. 1 Monat vorher auf. Für mich ist die Lösung einfach, da ich nur den DHCP ändere, so dass ich direkt mit den DNS Server rede. Meine Frage am ganzen: Was ist los? Kann es sein, dass die Wartungsschnittstelle der Telekom von einen Bot Netzwerk ausgenutzt wird welches dieses Phänomen als Nebenwirkung hat? ____________________________________ It's more fun to write crap that nothing! Just kidding. Ich bin für kreative Rechtschreibung, da kann man keine Fehler machen

21.11.2009, 14:39	#3
ZombyKillah Trashtroll Registriert seit: 19.10.2008 Ort: far away but still in austria Beiträge: 1.194 Mein Computer	http://www.heise.de/newsticker/meldu...rn-208535.html Die Bot Netze haben sich in der Zwischenzeit auf Sicherheitslücken von Heimroutern spezialisiert. Und jede Form der Wartungsschnittstelle ist eine potentielle Sicherheitslücke. Wenn diese oder eine andere Sicherheitslücke bei einen Gerät gefunden wird und ein Bot dieses beginnt auszunutzen hat es logisch zur Folge, dass es nicht lange dauern wird, bis alle Geräte mit dieser Firmware betroffen sein werden. However ... das Internet geht, lediglich der DNS Lookup funktioniert nicht. Der Rest ist eine Standard Telekom Konfiguration, wenn das Gerät nun ein Bot ist, kann es mir eigentlich scheiß egal sein, solange meine Internetperformance nicht leidet. Ein Update erscheint mir daher als zu aufwändig. ____________________________________ It's more fun to write crap that nothing! Just kidding. Ich bin für kreative Rechtschreibung, da kann man keine Fehler machen

21.11.2009, 15:50	#4
ZombyKillah Trashtroll Registriert seit: 19.10.2008 Ort: far away but still in austria Beiträge: 1.194 Mein Computer	Anderseits könnte das auch die Häufung an fehlerhaften Verschlüsselungszertifikaten erklären. Ach was solls, ich hau mal eine neue Firmware drauf. ____________________________________ It's more fun to write crap that nothing! Just kidding. Ich bin für kreative Rechtschreibung, da kann man keine Fehler machen

21.11.2009, 20:27	#5
ANOther Hero Registriert seit: 01.07.2008 Beiträge: 958	> Und jede Form der Wartungsschnittstelle ist eine potentielle Sicherheitslücke. interessehalber: klär mich mal auf, wie diese(diese, keine andere!!) wartungsschnittstelle ausgenutzt werden kann... ____________________________________ Wenn der letzte Baum gerodet, der letzte Fluß vergiftet, der letzte Fisch gefangen ist, fressen wir die Vegetarier...

21.11.2009, 22:24	#6
zigeina *****troll Registriert seit: 24.03.2003 Ort: wien Alter: 66 Beiträge: 1.701	Ein Bot-Netz, das vor allem aus Routern besteht, fällt aus dem Rahmen. Normalerweise werden vor allem PCs mit Windows versklavt, um als Zombies zu dienen. Psybot hat sich hingegen anscheinend auf kleine Netzwerk-Router für Heimanwender spezialisiert, auf denen ein Embedded Linux für MIPS-CPUs läuft. und der 585v7 ist definitiv nicht so ein router. weiters gibts die möglichkeiten von verseuchten lokalen pc's, die mittels UPnP den router umkonfigurieren, und womöglich die dns einträge umbiegen. die remote wartungszugänge sind ein anderes thema --> aber genauso suspekt ____________________________________ .................................. dieser hilfreiche beitrag kostet nichts, außer ein paar bier .................................. Tante Jolesch: „Was ein Mann schöner is wie ein Aff, is ein Luxus!“.

29.11.2009, 17:34	#7
Irokese Jr. Member Registriert seit: 20.11.2009 Ort: Kärnten Alter: 57 Beiträge: 27	[OT] Wahnsinn.............was für ein spanisches Dorf!! [/OT]

29.11.2009, 19:37	#9
ANOther Hero Registriert seit: 01.07.2008 Beiträge: 958	> Seit ca. 1-2 Montaten ist bekannt DAS? is zum einen etwas länger schon bekannt, zum anderen trafs etwas andere geräte... und - IIRC ist der fernzugang auf die alcatelgurken schon länger deaktiviert... --- btw selbst wenn... mit einem standarTpasswort kämst du nie und nimma rein --..--..--..-- > Würde mich aber nicht wundern, wenn die Angriffe bereits wesentlich intelligenter sind mich auch nicht, allerdings gibts lohnendere ziele als ein modem, welches von ernigen anbietern verwendet wird, und das auch noch in 235.000 verschiedenen softwareständen... IMHO sollte man sich als fritz!user eher gedanken machen... ____________________________________ Wenn der letzte Baum gerodet, der letzte Fluß vergiftet, der letzte Fisch gefangen ist, fressen wir die Vegetarier...

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)