Telekom-Abuse-Meldung: Infected Slurs

Hallo,

in der vergangenen Nacht zwischen 3 und 4 Uhr kam bei mir eine Mail von abuse@telekom.de an. (Mein Provider) Demnach gab es „Auffälligkeiten“ bei meinem Anschluss:

Zeitpunkt sei der 30.5. zu einer bestimmten Uhrzeit, d.h. Fronleichnam (also 3 Tage vorher): „Ein Rechner oder ein Endgerät, z.B. Smartphone, das sich über Ihren Internet-Zugang mit dem Internet verbunden hatte, ist mit einem Schadprogramm/ Malware infiziert.“

Als Hinweis steht da noch: Bitte prüfen Sie Ihre Endgeräte mit einer Schutz-Software. Weitere Informationen: Infected Slurs

Frage an das Forum:

Hat jemand schon mal so eine Mail bekommen? Ist die Mail selbst seriös oder möglicherweise ein Betrug?

Ich nutze selbst GOS, Debian, MacOS und iOS und Lineage OS, Außerdem Pihole mit Unbound. Welche „Schutzsoftware“ könnte man da nutzen?

Ich gewähre Fremden keinen Zugang zu meinen beiden Wlans.

Zu der genannten Uhrzeitan Fronleichnam war ich nicht zu Hause, die Hälfte der Rechner war gar nicht am Netz des Providers. Online war sicher der Raspi fürs Pihole und evtl. ein iPhone, Macbook und Lineage-Gerät. Das muss ich noch in der Familie erfragen.

Infected Slurs scheint etwas wie ein Botnetz zu sein. Hat jemand einen Tipp? Könnte so eine Warnung auch durch etwas anderes ausgelöst werden?

Wie gehe ich am besten vor?

Zu erst musste ich an Operation Endgame denken.
Das passt zumindestens zeitlich.
Telekom ist allerdings nicht Kooperationspartner. Wir haben proaktiv von proofpoint Infos zu betroffenen Geräten und Accounts erhalten.
Is wiederum nichts ungewöhnlich dran.

Wenn Du die e-mail genau prüfen magst, ob sie auch von der Telekom kam, bitteschön einstellen hier als Quelldaten / Header und vorher deine Adressen herausnehmen.
Dort kann man ganz jut sehen, ob es über Telekomserver kam.

Und schaden täts auch nich, Desinfect laufen zu lassen von externem Medium. Gibt gerade eine neue von 2024.

1 „Gefällt mir“

Im Telekom-Anschreiben steht die richtige Zugangsnummer und meine Kundennummer und mein Name. Es ist ein Link drin, der zur Telekom führt, wenn man nur den Mauszeiger drüber hält. Ich habe jetzt mal eine Rückfrage an abuse@telekom.de geschickt und angerufen. Die Meldung der Telekom ist echt.

Also evtl. am Netz waren zum fraglichen Zeipunkt sicher: Raspi (Pihole auf Debian 12) und evtl. standby/online noch ein Lineage-Gerät. Und natürlich der Router (eine Fritzbox).

Zum fraglichen Zeitpunkt war niemand zu Hause. Die anderen Geräte waren nicht im Netz und ausgeschaltet. Debian, Lineage und Fritzbox haben alle das aktuellste OS.

Die Telekom-Abuse-Leute wollten wissen, ob ich irgendwelche billigen Webcams benutze u.ä. Habe ich aber nicht. Sie sagten, irgend ein Gerät in meinem Netz habe sich über einen bestimmten Port mit einer IP in den Niederlanden verbunden.

Bislang wäre mein Raspi vermutlich der Hauptverdächtige. Ich gucke aber auchmal in der Pihole-Historie, wobei ich befürchte, dass die nicht solange zurückreicht.

Gucke heute Abend nach der Arbeit. Bin für jeden Tipp dankbar.

@Franz_Wertigheim Clamav hat mir noch jmd empfohlen. Desinfect kenne ich nicht. Wo bekommt man denn die aktuelle Version? Der verlinkte Inhalt wirkt auf den ersten Blick etwas veraltet.

Desinfektion 2024 kannst Du hier runterladen https://ct.de/desinfect2024

2 „Gefällt mir“

Danke für den Link. Kann man damit nur Windows-Systeme checken, oder auch (festplattenverschlüsselte) Linux und Mac?

Warum fragst du nicht einfach mal, um welche IP und welchen Port es geht und checkst dann deine Firewall-Logs?

Laut Windows -Trojaner jagen und Daten retten mit Desinfec’t 2024 wohl nur für WIndows:

Das c’t-Sicherheitstool Desinfec’t 2024 ist ab sofort erhältlich. Es hilft bei der Analyse von einem womöglich durch Viren infiziertes Windows und bringt Ihre privaten Daten in Sicherheit.

So hatte ich das jetzt auch verstanden. Ich habe nur Linux und MacOS sowie GOS, Lineage und iOS.

So ein Quatsch. Desinfec’t scannt die Dateien auf den vorhandenen Datenträgern. Ob da Linux, Mac, Windows, Solaris, AmigaOS oder sonstwas installiert ist, ist völlig egal.

Die Dateisysteme müssen natürlich eingebunden und entsperrt werden, damit Desinfec’t sie lesen kann.

1 „Gefällt mir“

@bamf: Full ACK

Puh, nichts genaues weiß man nicht. Ohne Netzwerkfirewalllogs oder irgendwelchen konkreteren Infos ist das schwierig.

Würde zunächst mal die Low-Hanging-Fruits abklappern:

  • Irgendwelche Ports offen an der Fritzbox?
  • UPNP war hoffentlich aus?
  • Geräte auf Fehlkonfigurationen geprüft (insbesondere Router und Server)?
  • Auf den Endgeräten auch Firewall aktiviert und zumindest eingehendes auf default-deny?
  • Quellen für Servercontainerimages nachgeprüft?
  • Kostenlose VPN Software installiert?
  • seltene Software installiert (auch seltene Browser Extensions)?

Nachfragen, ob die Telekom immer noch Auffälligkeiten über deinen Anschluss registriert und wenn es nochmal was gibt, sie dich gleich wieder informieren sollen. Vielleicht können Sie dir auch Logs oder andere Infos stellen und etwas dazu sagen, wie sicher sie sich eigentlich sind.

Kannst ja mal ein Live-OS am Server booten und alles scannen lassen. Bin nicht sonderlich optimistisch, aber aufgrund des geringen Aufwands einen Versuch Wert. Linux AVs sind generell nicht so toll. Am Besten soll noch Microsoft Defender sein für Linux, ist aber nicht kostenlos.

1 „Gefällt mir“

@Chief1945 Danke für deine ausführliche Antwort.

„Statusinformationen über UPnP übertragen“ ist in der Fritzbox an. Wieso ist das ein Problem? Vermutlich eine Standardeinstellung, oder?

(Der in der FRITZ!Box vorhandene Dienst Universal Plug & Play stellt für die angeschlossenen Netzwerkgeräte Statusinformationen der FRITZ!Box bereit. UPnP-fähige Anwendungen auf den Netzwerkgeräten können diese Informationen empfangen und somit den Zustand der FRITZ!Box anzeigen. Der UPnP-Dienst ermöglicht somit die Überwachung der FRITZ!Box von einem angeschlossenen Netzwerkgerät aus.)

Heimnetzgeräte haben laut Diagnose keine geöffneten Ports Richtung Internet

Der Pi mit nur Pihole drauf hat keine Firewall. Bin aber auch nicht sicher, ob der das braucht.

Extensions nur Ublock, Noscript, Decntraleyes.

Die übrigen Punkte deiner Liste kann ich ausschließen.

Mit der Telekom hatte ich schon gesprochen… was du schreibst… ist klar. Ich kenne auch die von der Malware angeblich adressierte IP und den Port usw

Leider habe ich in der Fritzbox keine Logs für den genannten Zeitraum mehr.

Ich behalte es jetzt mal im Auge. Sicher online waren zum besagten Zeitpunkt wie gesagt der Router, der Pihole und evtl. ein Lineage-Gerät.

Ich habe UPnD erwähnt, weil UPnP IGD und PCP Portfreigaben machen können, wenn das im Router aktiviert ist. Musst mal gucken, wie das bei Fritzboxen geregelt ist.

1 „Gefällt mir“

Aktualisiert am 15.6.

Nachdem ich jetzt einiges probiert, geklärt und ausgeschlossen habe, u.a. dass es nicht an der Fritzbox liegt, blieb der Raspberry Pi mit Debian und Pihole (sonst nichts drauf) als Hauptverdächtiger übrig. Ich habe ihn jetzt neu aufgesetzt.

Desinfect habe ich mir mal auf einen bootfähigen Stick kopiert. Ich werde das mal noch probieren, erwarte aber nichts, da ich mit dem Router und dem Pi jetzt die Geräte geprüft habe, die zum Zeitpunkt des angeblichen Ereignisses online waren.