Kodi hacked

PvD

Heute hat mich mein Sohn angerufen, mit dem Hinweis, dass sein XBMC seit 2 Tagen recht langsam wäre - und mit dem Wunsch, mal online nachzuschauen, was da los ist.
Ok, Konsole an und los.

top: Prozessorauslastung ca. 190-200% (Celeron), Verursacher: xmrd - ein Daemon
uptime: > 6, kein Wunder, wenns ruckelt

Jetzt wird's interessant:
neue Dateien im home-Verzeichnis, natürlich alle ausführbar - etwas googlen offenbart, wofür die gut sind :

vyattad
pty
udevd

zusätzlich 2 Textdateien:

msg.txt mit dem Inhalt: Hi
tst.txt mit dem Inhalt: messirod@outlook.com

Interessante Sachen finden sich dann noch unter /tmp, darunter besagtes xrnd, welches scheinbar zyklisch mit einem
Key gestartet wird:

Code

ps -ef | grep xmrd
xbmc     12370     1 99 19:15 ?        00:00:01 /tmp/xmrd -c x -M stratum+tcp://45Fj1P2s9LiVEVoW4p81cSKP5og6GSF3m9YUQc51o6KzXw1ByufNoTa88NEWBeE7dtjRZRCDj3Ly4a95by6sfzP3UmX3741.x@xmr-eu.dwarfpool.com:8005:8050:8080:8100/xmr

Interessant, oder?

sarbes

Hast du mal einen Portscan von draußen auf den Router ausgeführt? Vll. findest du die IP bei Shodan.

Über den internen Webserver (wenn angestellt) kann man mit den Rechten von Kodi auf alle Dateien zugreifen. Dazu braucht es aber immer noch einen Zugangspunkt von außen. Sind dubiose Add-ons/Repos installiert?

freaksworth

Ein miner. Wird sich nicht lohnen.

PvD

Sind dubiose Add-ons/Repos installiert?

Zitat von membrane

Nein. War meine erste Frage an Sohnemann . Auch ein ls -l bringt nichts verdächtiges.

PvD

Im Home-Verzeichnis liegen noch ein paar interessante html's, die mehrfach runtergeladen/erzeugt wurden (allerdings fast zum gleichen Zeitpunkt):

Code

<tbody>
<tr>
<td>
<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tbody>
</tbody>
</table>
</td>
</tr>
<tr>
<td>
<table style="max-width:600px; border-top:#4285f4 1px solid; border-right:#4285f
4 1px solid; min-width:332px; border-bottom:#4285f4 1px solid; border-left:#4285
f4 1px solid; border-bottom-left-radius:5px; border-top-left-radius:5px; border-
top-right-radius:5px; border-bottom-right-radius:5px" width="100%" border="0" ce
llspacing="0" cellpadding="0" bgcolor="#F5F9FD">
<tbody>
<tr height="25">
<td rowspan="3" width="32"></td>
<td></td>
<td rowspan="3" width="32"></td>
</tr>
<tr>
<td align="left"><img src="https://upload.wikimedia.org/wikipedia/commons/thumb/
b/b5/PayPal.svg/2000px-PayPal.svg.png" class="x_CToWUd" style="height:33px; widt
h:115px; display:block" height="32" width="92"></td>
</tr>
<tr>
<td>
<table style="min-width:300px" border="0" cellspacing="0" cellpadding="0">
<tbody>
<tr>
<td style="padding-top:15px; font-size:27px; font-family:Calibri,Arial,Helvetica
; color:#4285f4; line-height:1.25">
Verify your account information</td>
</tr>
<tr>
<td style="padding-top:15px; font-size:16px; font-family:Calibri,Arial,Helvetica
; color:#202020">
Dear Customer,</td>
</tr>
<tr>
<td style="font-size:16px; font-family:Calibri,Arial,Helvetica; color:#202020">R
ecently, there's been activity in your PayPal account that seems unusual compare
d to your normal account activities. Please [definition='1','0']log[/definition] in to PayPal to confirm your ide
ntity and update your password and security questions. To help protect your acco
unt, no one can send money or withdraw money. In addition, no one can add money
to your account, add a card, add a bank account, remove any bank accounts, remov
e credit cards, send refunds, or close your account .<br>
<br>
Your account's security is our top priority, and we noticed that one or more of
your account settings has recently been changed ( like your Password, Phone Numb
er, Email or your Recover Email ).<br>
<br>
<table style="margin-bottom:20px; margin-top:8px" border="0" cellspacing="0" cel
lpadding="0">
<tbody>
<tr valign="top">
<td width="0"></td>
<td align="center"><img src="https://ci6.googleusercontent.com/proxy/8-TvqI07V6c
6EfMmOpioytN1akb1_MYoQR5JjP9FrOcBKg-A1ob9_8rI-og2hhemR-SKt-PTzEc8LHrxdtQOnK5WmXq
FWq16_l4IuCD9uPzGQipSyU_VqCQpBegNZjcIuYnKtg=s0-d-e1-ft#https://www.gstatic.com/a
ccountalerts/devices/windows_laptop_wallpaper_big.png" class="x_CToWUd" style="h
eight:48px; width:48px; display:block" height="48" width="48"></td>
<td width="15"></td>
<td style="line-height:1.2"><span style="font-size:16px; font-family:Calibri,Ari
al,Helvetica; color:#202020">Windows</span><br>
<span style="font-size:14.8px; font-family:Calibri,Arial,Helvetica; color:#20202
0">Thursday, mars 30, 2017 03:25 PM ( Coordinated Universal Time )<br>
Special Capital Region of Moscow, Russia.</span></td>
</tr>
</tbody>
</table>
Don't authorize these changes? Review your<a href="https://cabinets4contractors.
us/twitter/kink.html" target="_blank" style="text-decoration:none; color:#4285f4
"> Recently used devices</a> now.<br>
<br>
<div style="text-align:center; background-color:#4184f3; width:180px; display:in
line-block; font-family:Calibri,Arial,Helvetica; color:#FFFFFF; font-size:17px;
padding-top:8px; padding-bottom:8px; border-radius:3px">
<a href="https://cabinets4contractors.us/twitter/kink.html" target="_blank" styl
e="text-decoration:none; color:#FFFFFF">Verify Your Account</a> </div>
<br>
<br>
Log in to your PayPal account as soon as possible. We may ask you to confirm inf
ormation you provided when you created your account to make sure you're the <a h
ref="https://cabinets4contractors.us/twitter/kink.html" target="_blank">Account
Holder</a> and follow the steps to confirm your recent identity and account acti
vity and we should your respond within 48 Hours before :<a href="https://cabinet
s4contractors.us/twitter/kink.html" target="_blank" style="text-decoration:none;
 color:#4285f4"> February 25, 2017</a><br>
*Please take care of it right away to avoid<a href="https://cabinets4contractors
.us/twitter/kink.html" target="_blank" style="text-decoration:none; color:#4285f
4"> suspension of services account</a></td>
</tr>
<tr height="32">
</tr>
<tr>
<td style="font-size:16px; font-family:Calibri,Arial,Helvetica; color:#202020; l
ine-height:1.5">
Sincerely,<br>
The PayPaI Accounts team</td>
</tr>
<tr height="16">
</tr>
<tr>
<td>
<table style="font-size:13px; font-family:Calibri,Arial,Helvetica; color:#b9b9b9
; line-height:1.5">
<tbody>
<tr>
<td>This email can't receive replies. For more information, visit the <a href="h
ttps://cabinets4contractors.us/twitter/kink.html" target="_blank" style="text-de
coration:none; color:#4285f4">PayPaI Accounts Help Center</a>.</td>
</tr>
</tbody>
</table>
</td>
</tr>
</tbody>
</table>
</td>
</tr>
<tr height="32">
</tr>
</tbody>
</table>
</td>
</tr>
<tr height="16">
</tr>
<tr>
<td style="font-size:10px; max-width:600px; font-family:Calibri,Arial,Helvetica;
 color:#bcbcbc; line-height:1.5">
</td>
</tr>
<tr>
<td>
<table style="font-size:14px; font-family:Calibri,Arial,Helvetica; color:#666666
; padding-bottom:5px; line-height:16px">
<tbody>
<tr>
<td>You received this mandatory email service announcement<br>
to update you about important changes to your <span class="x_il">PayPaI</span> p
roduct or account.</td>
</tr>
<tr>
<td>
<div style="direction:ltr; text-align:left">▒ 2017 <span class="x_il">PayPaI</sp
an> All rights reserved </div>
</td>
</tr>
</tbody>
</table>
</td>
</tr>
</tbody>

Alles anzeigen

freaksworth

Führt wohl am neu aufsetzen nichts vorbei. Spam/fishing Schleuder auch noch.
Hast Du zu besagter Zeit mal ins auth.[definition='1','0']log[/definition] oder ähnliches geschaut?

PvD

Zitat von freaksworth

Führt wohl am neu aufsetzen nichts vorbei. Spam/fishing Schleuder auch noch.

Sehe ich auch so.

Zitat von freaksworth

Hast Du zu besagter Zeit mal ins auth.[definition='1','0']log[/definition] oder ähnliches geschaut

Nein.

infinity

Nutzt du oder dein Sohn einen VPN oder smartDNS service auf dem Gerät? Also wird bspw. eine OpenVPN Verbindung aufgebaut für Geo-Unblocking/Privacy etc.?

PvD

Nein, Kodi wird 'ganz normal' als Receiver/Mediacenter genutzt. Ich vermute einen Portscan auf die 22 und ein erfolgreiches Login. Der Schaden hält sich ja in Grenzen, da offensichtlich andere Ziele verfolgt wurden (Botnetz/Spamnetz). Im /tmp befinden sich zudem noch eine user.txt und passwd.txt mit den gängigsten Einträgen (findet man aber auch im Netz). Wenn ich wieder Zugriff auf die Maschine habe, werde ich sie mal hier posten. Für den einen oder anderen sicherlich interessant

Schlimmer wäre es bei einem gezielten Angriff auf das System/Kodi gekommen. Wie war das mit den gespeicherten Zugangsdaten in den Addons?
Plugin automatisch nachladen?

tavoc

sofern der SSH Dienst nach außen offen ist und ein Standardpasswort verwendet wird ist es kein richtiger Hack. Hier ist es dann eher Sorglosigkeit.
Es stellt kein Problem dar SSH nur für einen bestimmten Nutzer zu verwenden (der nur SSH darf und sonst keine Rechte hat) und für alle anderen SSH zu verbieten. Andere Aktionen können innerhalb der Session dann per su ausgeführt werden. Für den SSH Nutzer kann dann auch ein vernünftiges Passwort vergeben werden und evtl. zusätzlich sowas wie fail2ban nachinstalliert werden.

Sofern du in den Plugins Logindaten hinterlegt hast die Geld kosten (z.b. Amazon), würde ich da auch das Passwort ändern

PvD

Zitat von tavoc

sofern der SSH Dienst nach außen offen ist und ein Standardpasswort verwendet wird ist es kein richtiger Hack. Hier ist es dann eher Sorglosigkeit.

Da gebe ich Dir vollkommen Recht .

SLiX

Kann dafür fail2ban sehr empfehlen. Dieses Tool bannt ips nach x erfolglosen Logins innerhalb y Zeit
BAuf einem vps meist eines der ersten installs (bei mir)

infinity

Hmm... Aber mit einem einfachen portscan geht das doch gar nicht, oder? Das NAT des Routers macht das Gerät dich gar nicht erreichbar für einen portscan aus dem Internet. Zumindest verstehe ich das so.

PvD

Port 22 geht durch die Portweiterleitung ans Gerät - Fernwartung per SSH halt in Verbindung mit ungenügender Absicherung.

freaksworth

Ist das irgendein *Elec oder was heißt standard Password?
War denn der Webserver nun eigentlich auch von aussen erreichbar?

BigChris

Zitat von SLiX

Kann dafür fail2ban sehr empfehlen. Dieses Tool bannt ips nach x erfolglosen Logins innerhalb y Zeit

Ich hatte mir ein Script geschrieben, was mich per PushBullet auf dem Smartphone benachrichtigt, wenn sich per SSH eingelogt wurde.
Das ist auch hilfreich,

PvD

Zitat von freaksworth

Ist das irgendein *Elec oder was heißt standard Password?

Das ist ein 14.04 Kodibuntu, damals hat man der Einfachheit halber xbmc/xbmc verwendet und in der Regel nicht abgeändert. Soweit das Ding abgeschottet im Heimnetz steht, passiert ja auch nichts.

Zitat von freaksworth

War denn der Webserver nun eigentlich auch von aussen erreichbar?

Ich komme zur Zeit nicht drauf, da das Teil aus ist und 30km weit weg steht.

infinity

Zitat von BigChris

Ich hatte mir ein Script geschrieben, was mich per PushBullet auf dem Smartphone benachrichtigt, wenn sich per SSH eingelogt wurde.Das ist auch hilfreich,

Hast du das Skript vielleicht irgendwo noch rumliegen? Fänd ich für meinen Seafile-Server eigentlich doch sehr sehr praktisch, würde mich jedenfalls beruhigen.

DaVu

Zitat von BJ1

Port 22 geht durch die Portweiterleitung ans Gerät - Fernwartung per SSH halt in Verbindung mit ungenügender Absicherung.

Däng....

Das ist natürlich, wenn Standardmäßig offen und immer noch XBMC/XBMC als User/Passwort vergeben war ein Eigentor

Sorry, wenn man es so hart sagen muss.

freaksworth

Naja, hilfreich ist relativ. Ist ja eigentlich zu spät, aber beruhigend vielleicht.
Aber dieser Fall ist dann wohl geklärt.

Jetzt mitmachen!