4 replies to this topic

[PhiNet]

Hallo allerseits,

 

entweder habe ich mir einen unbekannten Virus eingefangen oder eine unangenehme Sicherheitslücke im OpenPli 4 image entdeckt.

 

In meinem ET9100 läuft seit ca. 5 Monaten OpenPLI 4.0.

Nachdem ich auf einmal nicht mehr updaten konnte (Ständig die Meldung "Keine updates verfügbar"), setzte ich das System neu auf:

... Nightly Built und dann meine Modifikationen aus dem normalen Feed plus Enhance Movie Center (enigma2-plugin-extensions-enhancedmoviecenter_3.7.4beta20131015_all.ipk)

 

Dieses mal setzte ich auch die Authentifizierung im OpenWebIF auf [Ein].

 

Damit kam ich weder mit (root-dreambox / root-leer / root-neuespasswort / leer-leer / leer-dreambox / leer-neuespasswort) über das web interface auf die Box. Daher änderte ich es wieder auf [Aus]

 

Nun wird es spannend.

Obwohl ich über telnet ein neues PW gesetzt hatte - und auch bestätigt bekommen hatte, konnte ich dann sowohl das OpenwebIF "ohne Passwort" erreichen als auch mich über telnet ohne Passwort verbinden.

 

Alle Alarmglocken schrillten laut auf !!!!

Ich vermutetet eine Virus in meiner Box.

 

Daher nahm ich zuerst einmal die Box vom Netz: Sperren der IP-Adresse in der Router-firewall.

(Nebenbei: Damit degradierte ich die Box mehr oder weniger zu einem Standard-Satreceiver.)

Dann unterzog ich die Box und auch die eingebaute Festplatte einem Virentest mit dem Ergebnis, dass kein Virus/Trojaner/Wurm gefunden wurde.

 

 

Um das Problem zu untersuchen, flashte ich die Box mit dem nightly-built vom 2014-05-09 über einen USB-Stick, änderte ausschließlich die IP des Netzwerkadapters und testete die Passwort-Funktionalität von telnet (vom DOS-prompt aus):

 

1. telnet session:

Dos-Befehl: telnet -f D:\etlognew.log [Box-IP]

 

openpli 4 et9x00

et9x00 login: root (REM: ohne Passworteingabe bekam ich den Boxprompt)

root@et9x00:~# passwd

Changing password for root

Enter the new password (minimum of 5 characters)

Please use a combination of upper and lower case letters and numbers.

New password:

Re-enter new password:

passwd: password changed.

       (nun sollte man eigentlich ohne passwort nicht mehr reinkommen!)

root@et9x00:~# exit

 

 

 

2. telnet-session direkt danach:

 

Dos-Befehl: telnet -f D:\etlognew2.log [Box-IP]

 

openpli 4 et9x00

et9x00 login: root

     (REM Das Folgende sollte wegen des geänderten Passworts m.E. "unter keinen Umständen" gehen!!!!!)

root@et9x00:~# ls

root@et9x00:~# exit

 

Beobachtung: Zwischen der Eingabe "root" und dem Prompt vergingen in beiden Versuchen ca. 20 Sekunden.

 

 

 

 

Hat jemand eine Idee ob ich ev. einen Virus habe oder kann dies jemand auf seiner - hoffentlich virenfreien - Box nachstellen?

Bzw. Hat jemand eine idee wie ich ein wirksames PW setzen kann?

 

Info: Den Webzugriff habe ich in der Vergangenheit eigentlich nur zum Upgrade der Box und gelegentlich zum Streamen von der ZDF-Mediathek verwendet.

 

 

[PhiNet]

In der Zwischenzeit hat ein Freund von mir den Passwort-Test auf seiner ET9200 durchgeführt. Er hatte dieses Problem nicht.

Daher vermute ich mittlerweile einen Eindringling auf meinem System, der sich durch Installation eines neuen OpenPLI aus den nightly builds nicht beseitigen läßt.

 

Daher meine Fragen:

1) Wie kann ich mein System komplett auf Werkseinstellungen zurücksetzen?

 

 

Für die/meine Sicherheit danach - zur Konfiguration der Firewall:

2) Verwenden die Updateserver feste IP-Adessen? Wenn ja, welche?

3) Welche ports werden für den Update benötigt?

 

4) Verwendet die ZDF-Mediathek eine feste IP-Adessen? Wenn ja, welche?

5) Welche ports werden für die ZDF-Mediathek benötigt?

 

In der Hoffnung dass mir jemand zumindest in 1) helfen kann.

 

Vielen Dank im voraus

[PhiNet]

Nun habe ich noch probehalber ein anders Image (nightly build 2014-05-13) von OpenAlliance geflashed. Dieses wies mich im Gegensatz zum nightly built von OpenPLI darauf hin, dass ein Backup der Benutzereinstellung bestünde und ob ich dieses installieren wolle. Ich verneinte dies natürlich. Mein Test des Passwortproblems in telnet, ftp und openwebIF lief daraufhin korrekt durch. D.h: "telnet passwd" änderte das passwort Bei korrektem Passwort funktionierten alle 3. Bei falschem Passwort keins davon. Da ich weiterhin OpenPLI nutzen möchte, kann mir jemand verraten, was ich auf der HD bzw. im System löschen/ändern muss, damit auch das OpenPLI wieder sicher wird?

[betacentauri]

Auf der Festplatte liegt ein Verzeichnis mit dem Namen backup. Benenn es um und flash die Box. Dann werden nicht mehr automatisch die alten Settings eingespielt.

[PhiNet]

@betacentauri:

 

Vielen Dank für die Info.

Nun funktioniert die "Passwortsperre" für OpenWebIf, FTP und Telnet wieder.

Mir wird es zwar nicht mehr nutzen, es wäre m.E. aber für Andere durchaus sinnvoll eine Abfrage in die "Erstinitialisierung" einzubauen, die die Übernahme der Einstellung von HDD/Backup regelt. Insbesondere als auch die Funktion "Werkseinstellungen" per default - zumindest - die passwort-einstellungen übernimmt.

 

 

Vielen Dank nochmal

 

 

PhiNet