https:\/\/heise.de\/security\/dienste\/portscan\/test\/do.shtml<\/a><\/p>\nWenn ein Test ergibt, da\u00df der Port 7547 offen steht, hei\u00dft das noch nicht, da\u00df Ihr Router von einem Botnet gekapert ist, aber die M\u00f6glichkeit ist gegeben. Es ist denkbar, da\u00df Sie durch Konfigurations\u00e4nderungen am Router \u00fcber r\u00e4uberische Webserver geleitet werden und pers\u00f6nliche Daten bekannt werden.<\/p>\n
Wenn der Test ergibt, da\u00df der Port geschlossen ist, hei\u00dft das leider nicht, da\u00df er keinesfalls infiziert ist. Die infizierten Ger\u00e4te schlie\u00dfen den Port nach der Infektion selbst, so da\u00df kein weiterer Download der gleichen Malware erfolgen kann.<\/p>\n
Wenn der Port also bei einem Zwangsrouter offen steht ist es eher ein Zeichen, da\u00df er noch nicht infiziert ist und\/oder f\u00fcr den Hackertrick nicht anf\u00e4llig ist.<\/p>\n
Es gibt dennoch keinen Grund, da\u00df das gesamte Internet auf Ihren Port 7547 zugreifen k\u00f6nnen mu\u00df. Um die Updates durchzuf\u00fchren gen\u00fcgt es, wenn das nur aus dem Netz Ihres Providers m\u00f6glich ist und nicht aus dem gesamten Internet. Telekom und Kabel Deutschland haben inzwischen verlauten lassen, da\u00df Sie versuchen den gesamten Verkehr \u00fcber das TR-069 Protokoll zu blockieren oder dies bereits jetzt zu tun. Das ist die einzig sinnvolle Ma\u00dfnahme gegen weitere Infekte.<\/p>\n
Wie kann man feststellen ob der Router infiziert ist ?<\/p>\n
Der Normalbenutzer kann es gar nicht. Aber… Das sch\u00e4dliche Programm befindet sich nur im Arbeitsspeicher des Routers. Das hei\u00dft startet man den Router neu ist er wieder sauber. Das Problem ist, da die Angriffe im 3-5 Minutentakt erfolgen kann er sich, wenn anf\u00e4llig, sofort wieder infizieren. Wenn Ihr Provider allerdings sein Netz f\u00fcr TR-069 gesperrt hat, kann er es nicht. Dann bleibt er sauber.<\/p>\n","protected":false},"excerpt":{"rendered":"
Durch eine Sicherheitsl\u00fccke in den Fernwartungsservern f\u00fcr Router bei einigen gro\u00dfen Internetprovidern wird derzeit versucht eine Schadsoftware bei mehreren Millionen Kunden-Routern zu implementieren. Daf\u00fcr wird das Protokoll TR-069 via Port….<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11],"tags":[],"_links":{"self":[{"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/posts\/306"}],"collection":[{"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/comments?post=306"}],"version-history":[{"count":7,"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/posts\/306\/revisions"}],"predecessor-version":[{"id":316,"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/posts\/306\/revisions\/316"}],"wp:attachment":[{"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/media?parent=306"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/categories?post=306"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/tags?post=306"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}