Dienstag, 24. September 2013

DD-WRT - Teil eines Router Bot Netz

Lustig - natürlich las ich vor ein paar Tagen die News auf heise dass viele Teil eines großen Bot-Netz sind, aber und das ist lustig, ich habe nur die Überschrift gelesen, und gedacht "OK, wird wohl wieder irgendso einen Telekom oder alten Fritz-Router betreffen".

Heute, hat mich ein Freund auf den Artikel aufmerksam gemeint, und gesagt, hey schau mal, da ist von Deinem Linksys WRT54G Router die Rede - Hmm, ok kurz in der ct nachgeschlagen, und tatsächlich, es gibt einen Artikel in der ct, dass Router mit der alternativen Firmware DD-WRT für ein Bot-Netz ausgenutzt werden. http://www.heise.de/netze/meldung/Root-Luecke-in-freier-Router-Firmware-DD-WRT-6647.html
Nachzulesen in der ct 21/2013: http://www.heise.de/ct/inhalt/2013/21/46/

Hmm, ok, kurz den Artikel überflogen und keinen Hinweis gefunden in welcher DD-WRT Version der Bug den nun behoben ist, also per SSH auf dem Router die verdächtigen Stellen geprüft.

zum einen /etc/init.d/rcS - hier sollte sofern der Router infiziert ist ein ping auf den Google DNS-Server (8.8.8.8) zu finden sein, bzw. per ps einfach prüfen ob ein sniff Prozess läuft. Beides war bei meinem Router nicht der Fall - Glück gehabt.



Dann habe ich doch noch einen Hinweis auf die Version gefunden, lt. ct wurde der Fehler von den DD-WRT Entwicklern schon in der Version "DD-WRT V24 preSP2" entfernt sein - nur in welcher ?

Die DD-WRT.com Seite empfiehlt die Build-Version 13064 - prüfen könnt Ihr das im Router auf der Status-Seite und hier Router, dort steht prominent oben unter System die Build-Version.

Mein DD-WRT läuft aktuell schon seit über 400 Tage durch - eigentlich wären es noch viele Tage länger doch ich habe hier vor einem Jahr im Sommer renoviert und dabei aus Versehen dem Router den Strom abgezogen, ansonsten wären das vermutlich schon die doppelte Anzahl Tagen...


Keine Kommentare:

Kommentar veröffentlichen