Foros ZackYFileS - MUY IMPORTANTE: INTRUSOS en las DreamBox !!!

Foros ZackYFileS (http://foros.zackyfiles.com/index.php)

- SHARING - I+D y Pruebas (http://foros.zackyfiles.com/forumdisplay.php?f=318)

- - MUY IMPORTANTE: INTRUSOS en las DreamBox !!! (http://foros.zackyfiles.com/showthread.php?t=495814)

MUY IMPORTANTE: INTRUSOS en las DreamBox !!!

Dirigido a todos aquellos usuarios de drembox que tengan abierto el puerto 21 hacia el deco y mantengan el Login y Password que traen por defecto las imágenes, "root" y "dreambox", respectivamente.

Si estáis en esa situación, es muy probable que se os haya colado un fichero llamado "XXXX_tool2.tar". Este archivo se autoejecuta y pone en funcionamiento un script llamado "start.sh", abriendo una carpeta en VAR/ llamada "tool2" donde se instala un archivo binario llamado "tvconnector".

Se desconoce exactamente lo que hace este "virus o intruso", pero cabe la posibilidad de que, consigua incluir una D-Line en el fichero "cwshare", con lo que ello implica. Es más, es posible que, dentro de una red sharing, con que a uno sólo de los usuarios se le haya "colado" ... la D-Line pase a otros usuarios de la misma red aún teniendo estos últimos cerrado el puerto 21.

Recomendaciones:

- Revisad la carpeta VAR/ tratando de localizar la carpeta "tool2".
- Revisad vuestro "cwshare" verificando todas vuestras D-Line.
- Quienes se hayan tragado al "intruso" ... deberán borrar sus imágenes y reinstalarlas, tanto en flash como en medios externos.
- Para todos en general, hay que cerrar el puerto 21 en el router y personalizar el password.

Para quienes no sepan cambiar pass a la dream ... os detallamos un sencillo manual:

MANUAL CAMBIO DE PASSWORD EN DREAMBOX

Paso1: Abrir la ventana de MSdos (INICIO-PROGRAMAS-ACCESORIOS-SIMBOLO DEL SISTEMA). Se os abrirá la ventana de MSdos. Poned el comando ... "telnet (ip local de vuestra dreambox)" y pulsad ENTER. De esta forma, entráis por telnet a la dream.

http://www.subir-fotos.com/uploads3/a971ab95a9.jpg

Paso 2: Observaréis una nueva ventana en la que se os pedirá LOGIN y PASS, ponéis los actuales, que si no los habéis cambiado todavía son, por defecto, "root" y "dreambox", respectivamente.

Paso 3: A continuación, escribís el comando "passwd" y os pedirá que escribáis una contraseña que contenga entre 5 y 8 caracteres. Lo hacéis y pulsad ENTER. Pedirá que reescribáis la nueva contraseña, lo hacéis y pulsáis ENTER.

Paso 4: Si todo ha ido bien, veréis un mensaje que dice "PASSWORD CHANGED". Si el mensaje dice "PASSWORD UNCHANGED" ... cerrad la ventan de MSdos y volved a realizar el proceso completo, en algo os habríais confundido.

http://www.subir-fotos.com/uploads3/f2f4baf86d.jpg

Nota: Quienes usen el DCC, tan sólo tendrán que conectar por Telnet con su dream, ejecutar el comando "passwd" y poner la nueva contraseña.

Gracias a satomed, compañero que nos ha alertado de la amenaza.

si se cierra el puerto 21 que nos cerramos a nosotros, podremos salir a internet y descargarno cosas.

saludos

Por supuesto, cerrar el puerto 21 impide que entres a tu dream o a tu pc desde fuera (dependiendo de hacia que hardware lo tengas abierto), pero de dentro a fuera seguirás como hasta ahora.

Saludos.

Gracias amigo
Saludos;

Cita:

Iniciado por X_mano (Mensaje 3226795)

Gracias amigo
Saludos;

Solo un apunte, para dar mas info sobre el tema. Realmente esto solo pasa si tienes un modem adsl o bien el router y tienes mapeado el puerto 21 a tu dream en caso contrario simplemente al realizar una peticion telnet sobre la ip publica solamente acceceran al telnet del router en el caso que este este habilitado. A todas estas explicaciónes añadiria la recomendación de cambiar el password por defecto del router para que la configuración de este no pueda ser modificada. Un saludo a todos. Espero haber contribuido en algo.

una cosa cuando estáis cambiando la contraseña no sale nada pero si la estáis escribiendo
yo recomiendo que la pongáis en cualquier lado después con el rato le dais a copiar para que no se equivoquéis ya que la solución que hay es cargarla la imagen de nuevo

Cuidadin con el CCCAM 2.3.0

sacado de otros foros:

CCCam 2.3.0 esta llevando la mi**da del backdoor más allá todavía.

La más baja escoria de la tierra, Uvadi Team, lo ha hecho mejor aun esta vez. Haciendo segura la muerte del sharing si mantienen esto.

Antes de continuar, pediria a las personas con cerebro y habilidades en programacion, que se bajaran el programa IDA PRO -programa para de-compilar programas ya compilados y obtener su codigo fuente- y que decompilen el cccam por ellos mismos para encontrar la jo**da backdoor programada.

Como funciona:

Cuando instalas CCcam 2.3.0, no ocurre nada especial al principio, y cccam mirará la actividad que tenga el PC o receptor para estar seguro de que nadie le está mirando. Cuando se encuentra cómo y sólo, empieza a mandar la informacion de tu CCcam.cfg al completo a esta IP 176.9.242.159 (un servidor alquilado en Alemania,)
Ahora he recompilado una version para ver con mis ojos lo que hacia el backdoor, y Tachán, algun jo**do dialup italiano se ha conectado al server que acabo de montar, con IP: 2.32.190.9. Y acaba de empezar el trafico desde mi tarjeta.
Esto ellos NO LO PUEDEN OCULTAR en CCcam, muestra un cliente conectado desde uno de tus clientes de tu CCcam.cfg donde la dyndns ha sido eliminada y las caracteristicas de seguridad ya no vuelven a funcionar y CUALQUIERA puede conectarse con ese usuario.

Tengo 2 palabras para el UVADI TEAM -> Dais asco.

El futuro de CCcam esta muerto gracias a esta *******, justo despues del sharing libre y montando su propia super-red sobre tu tarjeta.

Bloquea a todos los clientes que tengas con CCcam 2.3.0 conectados a tu server dado que podran coger los clientes de tu server a traves del propio cliente.

Los ultimos y originales CCCam 2.1.3 y 2.1.4 son seguros y no tienen este codigo backdoor.