Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Hallo,
ich habe eine eMail von der Telekom bekommen, dass bei meiner IP Adresse der Mirai gefunden wurde.
Wie kann ich das Gerät identifizieren? Kann der Mirai alles befallen?
Folgende Geräte sind am Router (Fritzbox 7390) angeschlossen:
Amazon Alexa
Wii U
Xbox one s
Sony+Samsung Blueray Player
Lenovo Tablet (Android 5.0)
Samsung S8
HTC U11
VU+ Solo4K
Laptop mit Win10
Kann ich davon schon was ausschließen? Die Smartphones und der Vu+ sind ständig im Internet, alles andere wird nur nach Bedarf mit Strom versorgt und sind somit vom Internet getrennt.
Ich halte auch immer alles uptodate.
Vielen Dank für die Erste Hilfe.
hoffentlich hast du auf keinen Link aus der Mail geklickt. Ich würde lieber bei der telekom nachfragen, ob die wirklich von dort ist.
Zudem kannst du nebenbei mal dein System nach dem Mirai scannen.
In der Vergangenheit hab es da wohl schon Warnungen seitens der telekom, da dadurch wohl das netz lahmgelegt wurde. Mit google findet man da einiges. Nur würde ich nicht immer die Echtheit der Mail annehmen, nur wiel sie echt ausseiht. Rückfrage bei der telekom bringt hier Sicherheit. Sollte deine IP von Mirai betroffen sein, helfen sie dir sicher, das zu beheben.
Bei Unsicherheit bei der Telekom nachfragen und ja die Telekom versendet solche E-Mails, bisher einmal in meinem Bekanntenkreis gehabt. Hier war es der Desktop PC.
uns liegen Hinweise von Sicherheitsexperten vor, dass mindestens ein Rechner oder ein Endgerät, z.B. Smartphone, das sich über Ihren Internetzugang mit dem Internet verbunden hatte, mit einem Virus/Trojaner infiziert ist.
Die folgende IP-Adresse war zu dem genannten Zeitpunkt Ihnen zugeordnet:
1. Bitte stellen Sie sicher, dass Ihr Computer frei von Viren und Trojanern ist. Verwenden Sie hierzu bitte eine Schutzsoftware Ihrer Wahl.
2. Ändern Sie dann alle Telekom Passwörter:
- das 'Persönliche Kennwort' (für die Einwahl ins Internet)
- das 'Passwort' (für das E-Mail- und Kundencenter)
- das 'E-Mail-Passwort' (für E-Mail Programme, wie z.B. Microsoft Outlook)
Dies können Sie zentral im Kundencenter unter https://kundencenter.telekom.de tätigen. Vergessen Sie nicht etwaige Passwörter für Onlinebanking, eBay, Amazon, Paypal und so weiter, falls Sie solche Dienste nutzen.
3. Bitte prüfen Sie auch die Einstellungen Ihres Computers, ob das Betriebssystem und die installierte Software aktuell sind.
Die Reihenfolge ist wichtig, da die neuen Passwörter sonst direkt wieder von Dritten ausgelesen werden könnten, wenn eine vorhandene Schadsoftware nicht zuvor entfernt wurde. Wenn Sie Hilfe benötigen, erreichen Sie uns von Montag bis Samstag zwischen 08:00 Uhr - 22:00 Uhr direkt unter der kostenfreien Rufnummer 0800 5544 300. Halten Sie hierzu Ihre Ticket-Nummer und Zugangsnummer, welche Sie im Betreff finden, bereit.
Benötigen Sie weitere Informationen zu dieser Sicherheitswarnung, antworten Sie uns einfach auf diese E-Mail. Lassen Sie den Betreff bitte unverändert, damit wir Ihre Nachricht richtig zuordnen können.
Große Veränderungen fangen klein an - Ressourcen schonen und nicht jede E-Mail drucken.
Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail und der darin enthaltenen Informationen sind nicht gestattet.
Ergänzung ()
Klingt ja alles nach dem Vu+, kenne mich mit dem Gerät auch nicht sonderlich gut aus, ist halt als SAT Receiver angeschafft worden um TV Sendungen aufzuzeichnen.
Mirai ist eine Malware, die für IoT designed wurde, kann aber über Windows springen.
Ich würde mal mit Malwarebytes Antimalware die Android-Geräte & das Notebook scannen & bei der Fritzbox manuell das aktuelle Firmware-Image überspielen.
die Android Handys und die VU+ dürften für Mirai die Hauptkandidaten sein ... aber auch ein Windowsrechner kann man nicht zu 100% ausschließen
Ergänzung vom 04.12.2017 08:56 Uhr: Klingt ja alles nach dem Vu+, kenne mich mit dem Gerät auch nicht sonderlich gut aus, ist halt als SAT Receiver angeschafft worden um TV Sendungen aufzuzeichnen.
aktuellste Firmware einspielen von der Herstellerseite händisch nicht per link, der könnte bereits manipuliert sein. Sichere PW vergeben. Zugang beschränken.
Hallo,
ich habe eine eMail von der Telekom bekommen, dass bei meiner IP Adresse der Mirai gefunden wurde.
Wie kann ich das Gerät identifizieren? Kann der Mirai alles befallen?
Folgende Geräte sind am Router (Fritzbox 7390) angeschlossen:
Amazon Alexa
Wii U
Xbox one s
Sony+Samsung Blueray Player
Lenovo Tablet (Android 5.0)
Samsung S8
HTC U11
VU+ Solo4K
Laptop mit Win10
.
These vulnerable embedded systems are typically listening for inbound telnet access on TCP/23 and TCP/2323; additionally, a remote-control backdoor is also present in Mirai, accessible via TCP/103
Also ich habe die Fritzbox nach offenen Ports durchforstet und alles deaktviert bzw. gelöscht, Passwörter geändert und dann die Vu+ vom Netz getrennt, die Rootpasswörter geändert, komplett vom Strom getrennt, neugestartet und wieder verbunden und updates gefahren.
Die Androidgeräte und den Laptop per Suchlauf von Antivirenprogramme durchlaufen und dabei wurde nix gefunden, wie kann ich jetzt sicher sein dass der Mirai weg ist?
Vielleicht war die Email auch nur ein Fake mal in den Header schauen ob die wirklich von der Telekom stammt ,
das der VU+ angegriffen wird kann ich mir nicht so ganz vorstellen mhh beim VU+ vielleicht
die tage ein Neues Image aufgespielt aus unbekannter Quelle das könnte eine Ursache sein`?
deine Firtzbox ist an sich sicher aber recht Alt kein Telekom Router ,
nach Aktivitäten suchen wo Du sicher bist nicht was gemacht zu gaben z.b. wenn man nicht zu hause ist oder schläft ,
Aktiviere in deiner Fritzbox mal den Taffic Monitor beobachte über paar Stunden hinweg ob sehr große Daten mengen gesendet empfangen/gesendet werden wenn du nichts machst, vielleicht hat sich auch jemand bei über Wlan rein gehackt?
Wlan würde ich erst mal deaktivieren und sicherheitshalber den Schlüssel ändern und wenn länger außer haust bist den Router ausschalten so lange nicht klar ist was da los ist ?
PC mit einer Anti Viren Boot CD untersuchen und auch das
Lenovo Tablet untersuchen nur wenn du damit über Wlan oft on warst ,
Also so würde ich vorgehen .. so an Vorsichtsmaßnahmen erst mal
Das Wlan ist tagsüber immer aus wenn ich auf der Arbeit bin, wohne auch im Dorf mit alten Menschen, kann mir kaum vorstellen das jemand in der Nähe überhaupt Internet hat da die Bandbreite mehr als beschränkt ist.
Traffic Monitor zeigt über Stunden keine Aktivität.
Ich hoffe das die Mail ein Fake war aber die Mailadresse ist nur für die Telekom und mehr als die Rechnung kommt da nichts rein im Monat, dass schon seit Jahren, deswegen meine große Sorge.
In welchen Abständen soll man sich einen neuen Router kaufen? Der ist jetzt drei Jahre alt zumindest vor drei Jahren gekauft, günstig sind die Teile ja auch nicht.
Houzebomb@
Mann soll sich nur einen Neuen kaufen wenn Neue Standards der Alte nicht unterstützt
und man diese braucht, wie z.b. IP Telefon,Vorting schneller besseres Wlan ,
Updates gibt es ja von AVM immer wenn Sicherheitslücken bekannt sind da mußt man sich keinen Kopf machen.
Traffic Monitor mal weiter an lassen über mehrere Tage und Stunden ,
frag doch bei der Telekom nach ob das ein Fake gewesen ein könnte ?
Habe nicht gesagt das man einen Neuen Router deswegen kaufen soll nur festgestellt das deiner schon älter ist, der Test ist vom 2010 also ist die ca. 7 Jahre auf dem Markt schon,
wenn sich jemand über Wlan rein geheckt und der das nicht gelöscht hat kann man das sehen
in der Liste Alle Geräte .
A: Devices that become infected with Mirai can be cleaned by restarting them. However, due to constant scanning for devices by the botnet, vulnerable devices can become re-infected within a matter of minutes of going back online unless the default credentials are changed.
Changing default settings and rebooting the gateway should remove any trace of infection. However, if the product continues to use factory credentials, the device will likely become reinfected -- and may also place local devices connected to the gateway at risk.
Wenn man mit einem Script Java das OS und den Browser online auslesen kann dann muss so was auch möglich sein wenn man so eine Benachrichtigung bekommt nur alleine die IP ist kein Hinweis , würde da noch mal anrufen und sagen du findest nix die sollen dir mitteilen
welches OS gelockt wurde zu der IP Adresse ,
im meinem Link ist doch beschreiben wie man das beim PC macht musste nur machen .
Das ein Smart Gerät infiziert VU+ so was habe ich noch nie gehört das so was möglich ist,
der kann doch eigenständig nicht viel hoch laden außer EPG Updates, App -Aktualisierung wenn der das hat.
Wenn deine Geräte auf irgendeine weise mit einander vernetzt sind das alles trennen und wenn on gehst
immer nur das ein Gerät am Router ist das wenn Schad Cord irgendwo sein sollte das sich das nicht weiter verbreitet .
Noch mal bei der Telekom anrufen die sollen mal im Protokoll schauen welches Gerät das war .
Woher soll die Telekom wissen, welches Gerät das sein soll?
Wüsste die Telekom das, hätten die von mir sofort eine Anzeige, weil die gar nicht in meinem Netzwerk was sehen können geschweige denn dürfen.
Und ja die iot-Malwares gibt es sehr wohl. Die Geräte können dann für alles mögliche missbraucht werden, und wenns nur dazu ist neue Geräte zu befallen
Ergänzung ()
Allgemein: Die Emails der Telekom werden immer zusätzlich noch per Post verschickt. Insofern sind sie leicht prüfbar und meistens authentisch.
In mir bekannten Fall wurde ein anderes System angegriffen/befallen und der Weg zurückverfolgt.
Ich zitiere aus Wikipedia:
Mirai (Japanisch für Zukunft) ist eine Linux-Schadsoftware, mit deren Hilfe Bot-Netze aufgebaut werden können. Damit können beispielsweise gezielte Attacken durch absichtliche Überlastungen von Netzen durch andere Systeme (Distributed Denial of Service (DDoS)) organisiert werden.
