Vollständige Version anzeigen : Router auf Backdoor testen


bushido
05.01.2014, 09:17

Router auf Backdoor testen

Nach der Entdeckung des undokumentierten Dienstes (;;;heise~de/newsticker/meldung/Mysterioese-Backdoor-in-diversen-Router-Modellen-2074394;html), über den man unter anderem bei Routern von Linksys und Netgear die Systemkonfiguration manipulieren kann, wird die Liste der betroffenen Geräte (;github~com/elvanderb/TCP-32764) immer länger. Was es mit dem ominösen Dienst auf sich hat, dazu hüllen sich die Hersteller bislang in Schweigen. Ob auch Ihr Router auf dem Port 32764 lauscht, können Sie mit dem Netzwerkcheck von heise Security herausfinden.

Erreichbarkeit im lokalen Netz testen

Um zu checken, ob der Dienst auf Ihrem Router aktiv ist, können Sie das Proof-of-Concept-Skript (;github~com/elvanderb/TCP-32764/blob/master/backdoorolol~py) von Eloi Vanderbeken verwenden. Es setzt ein installiertes Python voraus und wird wie folgt aufgerufen:

python backdoorolol~py --ip <IP-Adresse des Routers>

Das Skript gibt nun eine Einschätzung darüber ab, ob der Dienst läuft (etwa "<IP-Adresse>:32764 is vulnerable!"). Hängen Sie den Parameter --print_conf an den Befehl, um die Konfigurationsdatei ausgeben zu lassen.
Ein Schnelltest gelingt unter Windows auch mit Bordmitteln. Mit dem Befehl telnet <router ip> 32764 herausfinden, ob der Router lauscht. Ab Windows 7 aufwärts müssen Sie Telnet zunächst aktivieren (;support;microsoft~com/kb/978779/de), unter Linux können Sie zu netcat greifen. Wenn der Verbindungsaufbau gelingt, drücken Sie die Enter-Taste. Der Dienst gibt sich durch die Zeichenfolge "ScMM" zu erkennen, es scheint aber auch Varianten zu geben, die etwa "MMcS" schicken.

Erreichbarkeit über das Internet prüfen

Das Worst-Case-Szenario ist, dass der Dienst über das Internet erreichbar ist und somit jedem, der etwa durch einen Portscan darauf aufmerksam wird, Zugriff auf die Router-Konfiguration ermöglicht. Ein Angreifer kann darüber nämlich nicht nur die Einstellungen auslesen - einschließlich aller Passwörter im Klartext, sondern möglicherweise auch manipulieren. So könnte etwa der eingestellte DNS-Server geändert (;;;heise~de/newsticker/meldung/Operation-Ghost-Click-FBI-nimmt-DNSChanger-Botnetz-hoch-1376540;html) werden, was dazu führen kann, dass der Datenverkehr umgeleitet wird.

Um herauszufinden, ob der ominöse Dienst auf Ihrem Router auf der WAN-Schnittstelle lauscht, können Sie den Netzwerkcheck von heise Security (;;;heise~de/security/dienste/portscan/test/go;shtml?scanart=1) benutzen. Wählen Sie unter "Art des Scans" die Option "Mein Scan" und tragen Sie in das Textfeld den Port 32764 ein. Anschließend versucht unser Testsystem eine Verbindung herzustellen. Wenn dies gelingt - und Sie für diesen Port nicht explizit eine Weiterleitung im Router konfiguriert haben - ist Ihr Router potenziell betroffen.
Im zweiten Schritt könnten Sie probieren, ob Sie die Konfigurationsdatei mit dem Python-Skript von Eloi Vanderbeken auslesen können. Um sicherzustellen, dass der Datenverkehr dabei tatsächlich über das Internet geroutet wird, sollten Sie diesen Test von einem anderen Internetanschluss fahren.

Alternativ können Sie den Router Backdoor Scanner (;;;router-backdoor~de/) ausprobieren, der die Konfiguration über einen externen Server auszulesen versucht. Anschließend empfiehlt es sich, die Passwörter zu ändern, da auch der Betreiber der Seite grundsätzlich Zugriff auf die ausgelesen Daten hat. Wenn der Router die Konfiguration tatsächlich über das Internet preisgibt, ist es ratsam, das Gerät aus dem Verkehr zu ziehen und den Hersteller zu kontaktieren. (rei (rei;heise~de))

Quelle: Heise (;;;heise~de/newsticker/meldung/Router-auf-Backdoor-testen-2074844;html)



Vielleicht ganz hilfreich für den ein oder anderen.

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
Dimi
05.01.2014, 13:21

Netgear DGND3800B scheint nicht betroffen zu sein. :)
Bin da gleich hellhörig geworden, als ich "Linksys und Netgear" gelesen hab...


dreamax
05.01.2014, 13:43

1. Der Thread Titel ist unfug.

2. Das Problem ist schon seit fast 10 Jahren bekannt.

3. Wer seinen Router nicht unter Kontrolle hat ist selber dran schuld.


bushido
05.01.2014, 15:18

1. Der Thread Titel ist unfug.

2. Das Problem ist schon seit fast 10 Jahren bekannt.

3. Wer seinen Router nicht unter Kontrolle hat ist selber dran schuld;



Jo, du bist ein Held!

Nicht alle Menschen haben deinen Kenntnisstand, schon mal darüber nachgedacht?


dreamax
05.01.2014, 23:17

Jo, du bist ein Held!

Nicht alle Menschen haben deinen Kenntnisstand, schon mal darüber nachgedacht?


Wer keinen simplen Portscan im lokalen Netzwerk durchführen kann ist Sicherheitstechnisch im Internet sowieso vollkommen verloren.


romestylez
06.01.2014, 18:17

Mein 60 jähriger Opa kann auch keinen Portscan durchführen. Er kann aber sein Notebook nutzen um z;B. Tagesschau und andere Sachen zu gucken.

Sorry aber manchmal schießt du echt über das Ziel hinaus. Klar sollte das jeder halbwegs normale User selber hinbekommen aber es gibt halt auch Leute die nicht auf heise etc. surfen und denen eine solche Lücke eventuell entgeht.


dreamax
08.01.2014, 20:12

Mein 60 jähriger Opa kann auch keinen Portscan durchführen. Er kann aber sein Notebook nutzen um z;B. Tagesschau und andere Sachen zu gucken;

Was willst du mir nun damit sagen?


Sorry aber manchmal schießt du echt über das Ziel hinaus. Klar sollte das jeder halbwegs normale User selber hinbekommen aber es gibt halt auch Leute die nicht auf heise etc. surfen und denen eine solche Lücke eventuell entgeht;

ist Sicherheitstechnisch im Internet sowieso vollkommen verloren;

Trifft auf deinen Opa wohl auch zu.

An was du dich an meinem Beitrag anstößt kann ich leider nicht erkennen.


Targa
11.01.2014, 12:54

Router-Backdoor: Heise stellt Prüf-Tool bereit (;stadt-bremerhaven~de/router-backdoor-heise-stellt-pruef-tool-bereit/)


Ähnliche Themen zu Router auf Backdoor testen
  • hxef Backdoor
    So habe nen Problem also hxdef modded etc läuft alles 1A aber wenn ich das Backdoor öffnen will bzw zugreifen will... Ich starte die bdcli100;exe und dann versuche ich zu connecten... Nun kommt aber beim connecten das hier Host: 74;***;5;*** Port: 21 Pass: blub connecting server ... [...]

  • Backdoor Help
    Moin :> Ich dummes Kind hab gestern über icq ne datei angenommen von nem "Klassenkameraden". Durch Müdigkeit und Leichtsinn hab ich die Datei einfach geöffnet, ohne zugucken ob es eine ;exe datei ist. Aufjedenfall hab ich draufgeklickt und es stellte sich heraus,dass es eine Backdoordatei ist. [...]

  • Tool testen auf Virus-befall testen ?
    hey kann einer kurz von euch ein "tool" nach viren ... testen ? wäre sehr nett und bw geht natürlich raus !! [...]

  • Router Firewall testen
    Hallo zusammen, gibt es irgendeine Möglichkeit zu testen, ob meine Router Firewall aktiv und sicher ist? Ich dachte mir, dass es vielleicht Inet Seiten gibt, wo man seine IP eingibt und die testen, dann ob man direkt durch kommt oder auf gehalten wird? Gruß Darkwing D. [...]



raid-rush.ws | Imprint & Contact pr