Trojaner?

Radioman2000 · 30. August 2013, 13:30

Ich habe soeben das hier auf meiner brandneu geflashten Ultimo (zehn Minuten alt) gefunden. Ist das ein Trojaner?

:// special //
:levels
_Built in levels_
Level 10: Partyline user.
User below this level can not DCC CHAT the mech.
Level 70: Channel master.
User can get the mech to join new channels by inviting it.
Level 80: Bot master.
User may change protected topics, enforced modes, is not
checked for massmodes/masskicks/clones/revenge kick, can
remove passwords with SETPASS, always gets ctcp ping
replies and is not affected by PROT levels of other users.
Level 100: Owner.
Superuser, what can he *not* do?
Level 200: Bot.
Bots can not execute commands by /msg or in any other way.
Is also unaffected by massmodes/kicks/clones/revenge, etc...
Only bots added with botlevel (200) will be autoopped as
a responce to NEEDOP across network links with other bots.
:protection
Protection level can be 0 through 4 where the specific levels
are as follows:
0 No protection.
1 Reop/unban, do nothing to offender.
2 Reop/unban, deop offender.
3 Reop/unban, kick offender.
4 Reop/unban, kickban offender.
Protection must be toggled on for a channel for anything to happen.
See also: USER
:------------------------------------------------------------------------------
:// commands //
:access
Usage: ACCESS [channel] [nick|userhost]
Show someones access level. If no arguments are given, the bot
will display your access level.
See also: USTATS, USERLIST
:add
Usage: ADD <handle> <channel> <nick|userhost> <level> [aop] [prot] [pass]
Adds a user on all channels (*) or a certain channel. The handle is
used reference the user in other commands.
level Can be between 0 and 100, or 200 for bots.
aop Either 0 or 1 (0 = no, 1 = yes)
prot Can be 0 through 4. See "HELP protection" for information
on protection levels.
pass Assigns the person a password.
Note: If no arguments are given except the userlevel, all others are
assumed to be 0 with no password.
See also: DEL, HOST, LEVELS
:addserver
Usage: ADDSERVER <host> [port]
Adds a server to the EnergyMechs internal server list.
If no port is given, the default of 6667 is used.
See also: SERVER, SERVERLIST, DELSERVER :away
Usage: AWAY [message]
Sets the bot away. If no message is specified, previous
away status and message is removed.
:ban
Usage: BAN [channel] <nick|mask>
Ban a user on a channel. If a mask is given,
a ban using the mask will be placed.
See also: UNBAN, SITEBAN, KB, SCREW
:banlist
Usage: BANLIST [channel]
Show the banlist for a channel.
See also: BAN, UNBAN
:bye
Usage: BYE
Ends the current DCC session
See also: CHAT
:cchan

tonskidutch · 30. August 2013, 13:40

ein Bot kann einiges
auch wenn richtige kommando's in linux gegeben werden und "die ausführbar sind"

was du da genau hast ist irgendwas, aber wo der log herkommt ist so nicht nachzuempfinden
neu flashen,
ohne backup restoren und ende mit dem zeug

IN welche datei dein text stand muss du aber auch noch angeben.

ciao

Radar · 30. August 2013, 13:41

Welches Verzeichnis, wie heisst die Datei wo das alles drinnen steht.
Was hast Du zusätzlich alles installiert.

Hat es mit der Oscam jetzt geklappt? War mal kurzfristig nicht so oft hier.
Radar
Edit: ups @tonski war schneller D:

Radioman2000 · 30. August 2013, 13:45

Da gibt es einen Cronjob:

* * * * * /home/root/.sshd/.sshd/update >/dev/null 2>&1

Eigenartige Sache. Ich habe mir die 6.0.1 von hier auf einen Stick gezogen, den an die Box gesteckt und auch keine alten Configs aufgespielt. Das muß also ziemlich schnell gegangen sein.

Das mit Oscam hat soweit geklappt. Nur eine Sache bereitet mir da Kopfzerbrechen. Das darf ich aber hier nicht posten.

tonskidutch · 30. August 2013, 13:48

zeige mal dcc_e2
telnet
netstat -a

Radioman2000 · 30. August 2013, 13:51

So sieht das aus:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:8001 0.0.0.0:* LISTEN

tcp 0 0 0.0.0.0:8002 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:17000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:netbios-ssn 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:http 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:ftp 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:telnet 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:https 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:microsoft-ds 0.0.0.0:* LISTEN
tcp 0 0 (null):12000 10.2.2.20:54972 TIME_WAIT
tcp 0 0 (null):58955 (null):ssh ESTABLISHED
tcp 0 1121 (null):telnet (null):3263 ESTABLISHED
tcp 0 0 (null):12000 10.2.2.20:54969 TIME_WAIT
tcp 0 0 10.2.2.2:34401 10.2.2.20:ssh ESTABLISHED
tcp 0 0 (null):microsoft-ds (null):1025 ESTABLISHED
tcp 0 0 (null):12000 10.2.2.20:54971 TIME_WAIT
tcp 0 0 (null):telnet p508C79CA.dip0.t-ipconnect.de:43578
ESTABLISHED
tcp 0 0 (null):12000 10.2.2.20:54970 TIME_WAIT
tcp 0 0 (null):12000 10.2.2.20:54973 TIME_WAIT
tcp 0 0 (null):telnet p508C79CA.dip0.t-ipconnect.de:50593
ESTABLISHED
tcp 0 0 :::ssh :::* LISTEN
udp 0 0 (null):netbios-ns 0.0.0.0:*
udp 0 0 10.2.2.2:netbios-ns 0.0.0.0:*
udp 0 0 0.0.0.0:netbios-ns 0.0.0.0:*
udp 0 0 (null):netbios-dgm 0.0.0.0:*
udp 0 0 10.2.2.2:netbios-dgm 0.0.0.0:*
udp 0 0 0.0.0.0:netbios-dgm 0.0.0.0:*
udp 0 0 0.0.0.0:openvpn 0.0.0.0:*
udp 0 0 0.0.0.0:51905 0.0.0.0:*
udp 0 0 0.0.0.0:mdns 0.0.0.0:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 6 [ ] DGRAM 861 /dev/log
unix 2 [ ACC ] STREAM LISTENING 2408 /tmp/camd.socket
unix 2 [ ] DGRAM 23 @/org/kernel/udev/udevd
unix 2 [ ACC ] STREAM LISTENING 886 /var/run/avahi-daemon/s
ocket
unix 2 [ ACC ] STREAM LISTENING 754 /var/run/dbus/system_bu
s_socket
unix 2 [ ACC ] STREAM LISTENING 3325 /tmp/.sock.hbbtv.url
unix 2 [ ] DGRAM 4304
unix 2 [ ] DGRAM 3380
unix 2 [ ] STREAM CONNECTED 3331
unix 3 [ ] STREAM CONNECTED 889 /var/run/dbus/system_bu
s_socket
unix 3 [ ] STREAM CONNECTED 888
unix 3 [ ] STREAM CONNECTED 883
unix 3 [ ] STREAM CONNECTED 882
unix 2 [ ] DGRAM 880
unix 2 [ ] DGRAM 864
unix 3 [ ] STREAM CONNECTED 2131
unix 3 [ ] STREAM CONNECTED 2130

doe0201 · 30. August 2013, 13:52

Trojaner ist das an sich keiner, das ist ein IRC-Bot. Wieso der auf der Box ist, ist allerdings eine gute Frage.

Radioman2000 · 30. August 2013, 14:01

Ich habe die Box wirklich gerade erst geflasht und sonst nix.

tonskidutch · 30. August 2013, 14:02

tcp 0 0 (null):telnet p508C79CA.dip0.t-ipconnect.de:50593

ESTABLISHED

was du für ein verkehr drauf hast ist ja leider nicht ganz eindeutig aber nicht erlaubt.
du hast etwas geöffnet was pandora in einer Kiste eingesperrt hatte.
ciao

tonskidutch · 30. August 2013, 14:04

Radioman2000 schrieb:

Ich habe die Box wirklich gerade erst geflasht und sonst nix.

dan hast du dein PC infiziert
rechner = PC

ugalla · 30. August 2013, 14:04

tonskidutch schrieb:

tcp 0 0 (null):telnet p508C79CA.dip0.t-ipconnect.de:50593

ESTABLISHED

was du für ein verkehr drauf hast ist ja leider nicht ganz eindeutig aber nicht erlaubt.
du hast etwas geöffnet was pandora in einer Kiste eingesperrt hatte.
ciao

Ich verstehe leider nur Bahnhof.

dude71 · 30. August 2013, 14:05

welches image ,bzw ist es ein backup ?

welche plugins drauf

greetz

Radioman2000 · 30. August 2013, 14:07

tonskidutch schrieb:

Radioman2000 schrieb:

Ich habe die Box wirklich gerade erst geflasht und sonst nix.

dan hast du dein PC infiziert
rechner = PC

Der ist sauber. Habe ich schon geschaut bzw. eben schauen lassen.

Jep, Telnet war eben offen, da SSH (noch) nicht gefunzt hat.

tonskidutch · 30. August 2013, 14:10

ist schon eine such aufgabe
aber hast du : httpallowed = 127.0.0.1,10.0.0.20 usw
?

Radar · 30. August 2013, 14:12

Bin da jetzt überhaupt nicht der große Meister, aber wie funktioniert eigentlich unser Feet?
Oder das Update der Box?
Irgendwie wird da ja auch erkannt was auf der Box installiert ist und was nicht.
Radar
Edit: Vielleicht war oder ist da auf der HD was drauf von früher?

Fukkel · 30. August 2013, 14:14

Das muss von Dir angestoßen werden.

Radar · 30. August 2013, 14:16

Würde heissen, das bei Radiomann2000 ist "automatisiert"?
Radar

tonskidutch · 30. August 2013, 14:17

D:
muss man auch wissen aber der wo ich drauf deutete ist nix vom system
das ist ein softcam
ciao

Radioman2000 · 30. August 2013, 14:30

Jetzt kommt bei mir wieder der Laie durch. Ich kann Euch die Fragen nicht beantworten. Mein Linux-Experte beseitigt gerade alles, ändert Paßwörter, etc.

Ich bin nun auch schon schlauer geworden: mein Schwager war vorhin mit seinem Laptop da und war damit im Netz. Das "ja" auf "ist der auch sauber" war nicht viel wert. Denn jetzt kam heraus, daß es vor einigen Wochen Post von seinem Anbieter hatte, der ihn freundlicher Weise darauf hingewiesen hat, daß über seinen Anschluß böse Dinge betrieben werden.

eimsbush · 30. August 2013, 14:34

... ein Antivirus Plugin... ? Oder gibts das schon D: evtl clamav

Der Virus sitzt meist vor und nicht in der Box D: Und dagegen ist noch kein Kraut gewachsen.