Ungeklärte Reboots

[Alter Sack]

Es gibt ja immer wieder Meldungen über Reboots, deren Ursache häufig ungeklärt bleibt, ab und
zu habe ich das auch.

Jetzt habe ich mal alle Logs vom Topf zusammengsucht und verglichen, im TMSRemote.log gibt
es unzählige IPs, die scheinbar versuchen sich mit dem Topf zu verbinden, gestern gab es exakt
zu diesem Zeitpunkt einen Reboot:

Aus TMSRemote.log:

Code: Alles auswählen

2017-10-21 18:05:59 RMT: Client connected: ID = 0x00000055, 45.55.14.184[color=Red] <- unbekannt[/color]
2017-10-21 18:06:09 RMT: Closing connection to client
2017-10-21 18:48:42 RMT: Client connected: ID = 0x00000055, 172.104.108.109[color=Red] <- unbekannt[/color]
2017-10-21 18:48:42 ws_parse_header: (length: 106)
2017-10-21 18:48:42 | GET / HTTP/1.1
2017-10-21 18:48:42 !!! invalid request: GET / HTTP/1.1
2017-10-21 18:48:42 RMT: Closing connection to client
2017-10-21 18:48:43 RMT: Client connected: ID = 0x00000055, 172.104.108.109
2017-10-21 18:48:43 ws_parse_header: (length: 178)
2017-10-21 18:48:43 | GET http://clientapi.ipip.net/echo.php?info=20171021164843 HTTP/1.1
2017-10-21 18:48:43 !!! invalid request: GET http://clientapi.ipip.net/echo.php?info=20171021164843 HTTP/1.1
2017-10-21 18:48:43 RMT: Closing connection to client
2017-10-21 18:48:43 RMT: Client connected: ID = 0x00000055, 172.104.108.109
2017-10-21 18:48:43 RMT: Unauthorized access [color=Red]<- Pöser Hacker ?[/color]
2017-10-21 18:48:43 RMT: Closing connection to client[color=Red] <- Reboot[/color]
2017-10-21 18:49:44 RMT: Listening on TCP port 1441
2017-10-21 18:49:44 VFD: Listening on TCP port 1443

Aus TAPSystem.log:

Code: Alles auswählen

2017-10-21 17:56:59 TimerDiags: Current channel: Sky Sport HD 1 (T) @ Tuner 2
2017-10-21 17:57:00 TimerDiags: Service State: PID 0x02ff @ Main = ERROR
2017-10-21 17:57:00 TimerDiags: Service State: PID 0x0302 @ Main = ERROR
2017-10-21 17:57:02 TimerDiags: Service State: PID 0x0302 @ Main = OK
2017-10-21 17:57:03 TimerDiags: Service State: PID 0x02ff @ Main = OK
2017-10-21 17:57:04 TimerDiags: Current EPG event = 'Live F1: 3. Freies Training in Austin, Texas' (2017-10-21 17:55 - 2017-10-21 19:15)
2017-10-21 18:49:40 TimerDiags: --------------------------------
2017-10-21 18:49:40 TimerDiags: TimerDiags V3.4g has been launched
2017-10-21 18:49:40 TimerDiags: SysID=22120(SRP-2401CI+), Firmware=0x0114, Uptime=4294 [color=Red]<- Dateiprüfung nach Reboot (normal ~ 1300)[/color]
2017-10-21 18:49:40 TimerDiags: Bootreason = unknown
2017-10-21 18:49:40 TimerDiags: CHECKPIP disabled
2017-10-21 18:49:40 TimerDiags: CHECKRECMONITOREXTDISK disabled

Dass der Topf via Netzwerk zum Absturz gebracht werden kann ist ja bekannt, das letzte
Beispiel gab es ja gerade erst hier, aber von extern ...

Sehe ich Gespenster, oder könnte da was dran sein

[Alter Sack]

Im TMSRemote.log habe ich seit Anfang September 12 "Unauthorized access", 10 davon einhergehend
mit einem Reboot incl. Dateiprüfung.

Das sind die IPs:

Code: Alles auswählen

2017-10-21 18:48:43 RMT: Client connected: ID = 0x00000055, 172.104.108.109
2017-10-16 20:37:31 RMT: Client connected: ID = 0x00000055, 172.104.108.109
2017-10-15 23:06:52 RMT: Client connected: ID = 0x00000054, 164.52.0.141
2017-10-14 20:16:06 RMT: Client connected: ID = 0x00000053, 164.52.0.141
2017-10-14 18:28:31 RMT: Client connected: ID = 0x00000055, 172.104.108.109
2017-10-04 20:34:16 RMT: Client connected: ID = 0x00000045, 46.17.46.8
2017-09-23 13:34:33 RMT: Client connected: ID = 0x0000004b, 117.50.7.159
2017-09-17 22:00:16 RMT: Client connected: ID = 0x00000045, 77.72.83.111 => kein Reboot
2017-09-17 12:05:29 RMT: Client connected: ID = 0x00000047, 172.104.108.109
2017-09-02 17:16:29 RMT: Client connected: ID = 0x00000053, 169.229.3.91 => kein Reboot
2017-09-02 11:40:04 RMT: Client connected: ID = 0x00000048, 164.52.7.132
2017-09-02 00:02:33 RMT: Client connected: ID = 0x00000044, 139.162.124.167

Gucks Du 172.104.108.109

Portscan or hack attempt detected by psad/fwsnort

[Twilight]

erstmal: für deine analyse...
zweitens: was hastn du für eine firewall/router

drittens: jetzt schau ich gleich mal bei mir nach...und wenn da nix dergleichen kommt weiß firebird warum meine netzwerkkonfiguration so ist wie sie ist :twisted:

twilight

[Twilight]

also ich bin jetzt ein jahr zurück und habe keinerlei ungewöhnliche anfragen von aussen.
wie auch immer, es müssen anfragen von dem port sein den du extern nutzt, damit er auf den topf auf port 1415 weitergeleitet wird und er von tmsremote geloggt wird...welchen port nutzt du denn extern? einen anderen als 1415??

twilight

[Alter Sack]

welchen port nutzt du denn extern? einen anderen als 1415??

Hatte ich ja schon mal intern geschrieben, weil in der Firma alles außer 21 und 80 gesperrt ist,
habe ich die 80 in der Fritzbox auf 14xx umgeleitet und kann so über dyndns machen was ich will.

Port 80 wird natürlich gerne von außen gescannt, ein Nachteil der Variante.

Doof nur, dass sich der Topf (TMSRemote ?) zu einem Reboot zwingen lässt

[FireBird]

Könnte das die Zugriffe erklären? Ein Reboot ist natürlich nicht so super.

[Twilight]

ja, 80 ist sicher ein problem port...

twilight

[Alter Sack]

Könnte das die Zugriffe erklären?

Wenn das bei anderen Usern auch die Ursache für Reboots ist vielleicht, meiner ist ja extern
via Port 80 "angreifbar".

Ein Reboot ist natürlich nicht so super.

[FireBird]

Also die Meldung

Code: Alles auswählen

RMT: Unauthorized access 

kommt dann, wenn im Datenstrom von TMSRemote ein gültiges Command-Byte empfangen wurde, ohne dass vorher das korrekte Passwort übermittelt wurde. Sehe ich also als Zufall und nicht pöser, als die anderen Verbindungsversuche. Da würde mich das

Code: Alles auswählen

2017-10-21 18:05:59 RMT: Client connected: ID = 0x00000055, 45.55.14.184 <- [color=Red]unbekannt[/color]
2017-10-21 18:06:09 RMT: Closing connection to client

schon mehr beunruhigen, wenn Du wirklich nicht nachweisen kannst, dass das von Dir oder Deiner Familie kommt. Aber wer sollte schon Dein Passwort erraten...

[Homer]

Da würde mich das

Code: Alles auswählen

2017-10-21 18:05:59 RMT: Client connected: ID = 0x00000055, 45.55.14.184 <- [color=red]unbekannt[/color]
2017-10-21 18:06:09 RMT: Closing connection to client

schon mehr beunruhigen, wenn Du wirklich nicht nachweisen kannst, dass das von Dir oder Deiner Familie kommt. Aber wer sollte schon Dein Passwort erraten...

Solange da kein "Authentication successful" steht, würde mich das nicht beunruhigen.

Viele Grüße
Homer

[Alter Sack]

Da würde mich das ... schon mehr beunruhigen

Wie Homer schon bemerkt hat, "Authentication successful" gibt es nur von meinen PCs, dem
Handy oder der IP aus der Firma.

Was auch immer die Portscanner hinter Port 80 vermuten, sie werden es nicht finden

Ich mag nur die Reboots nicht

[Twilight]

hab jetzt nochmal das ganze log (bis 2012 zurück) durchforstet.
wenn ich von extern zugreife kann es schon mal passieren das es nicht gleich klappt:

2014-08-10 21:22:39 RMT: Listening on TCP port 1413
2014-08-10 21:22:39 VFD: Listening on TCP port 1415
2014-08-10 21:23:17 RMT: Client connected: ID = 0x00000033, 93.111.133.156
2014-08-10 21:23:18 RMT: Closing connection to client
2014-08-10 21:23:18 RMT: Client connected: ID = 0x00000033, 93.111.133.156
2014-08-10 21:23:18 RMT: Authentication failed
2014-08-10 21:23:18 RMT: Closing connection to client
2014-08-10 21:23:43 RMT: Client connected: ID = 0x00000033, 93.111.133.156
2014-08-10 21:23:43 RMT: Closing connection to client
2014-08-10 21:23:43 RMT: Client connected: ID = 0x00000033, 93.111.133.156
2014-08-10 21:23:43 RMT: Authentication successful
2014-08-10 21:24:21 RMT: ALIVE timeout reached
2014-08-10 21:24:21 RMT: Closing connection to client
2014-08-10 21:24:27 RMT: Client connected: ID = 0x00000033, 93.111.133.156
2014-08-10 21:24:27 RMT: Closing connection to client
2014-08-10 21:24:28 RMT: Client connected: ID = 0x00000033, 93.111.133.156
2014-08-10 21:24:28 RMT: Authentication successful
2014-08-10 21:37:26 RMT: ALIVE timeout reached
2014-08-10 21:37:26 RMT: Closing connection to client
2014-08-10 21:37:35 RMT: Client connected: ID = 0x0000002f, 93.111.133.156
2014-08-10 21:37:35 RMT: Closing connection to client
2014-08-10 21:37:36 RMT: Client connected: ID = 0x0000002f, 93.111.133.156
2014-08-10 21:37:36 RMT: Authentication successful


aber es sind keine zugriffe die nicht von mir sind bzw. welche die dann nicht klappen...

twilight

[FireBird]

Version 4.3b ist verfügbar. Wenn bei den Verbindungsversuchen binärer Müll mitgeschickt wurde, konnte sich der Reboot-Befehl an der Authentifizierung vorbeischummeln und einen Reboot auslösen.

Bitte beachten, dass bei einem von TMSRemote gesteuerten Update via TAPtoDate ein Neustart des Topfes notwendig ist, bevor man sich wieder mit TMSRemote verbinden kann. Also alle, die gerade nicht zu Hause sind und auch keinen TFIR haben, sollten das Update auf später verschieben.

[Twilight]

spitze

twilight

[Alter Sack]

Version 4.3b ist verfügbar. Wenn bei den Verbindungsversuchen binärer Müll mitgeschickt wurde, konnte sich der Reboot-Befehl an der Authentifizierung vorbeischummeln und einen Reboot auslösen.

Will heißen, ich kann die Hacker weiter hacken lassen ?

BTW:

2014-08-10 21:24:21 RMT: ALIVE timeout reached

Davon habe ich über 680000 Einträge im Log (von 2 Tagen), davor gab es auch ein ...

2017-09-17 22:00:16 RMT: Authentication failed

.... von extern.

[FireBird]

Genauso auf Grund des binären Mülls, nur in diesem Fall halt der Befehl für die Authentication. Wenn in dem danach folgenden Müll nicht zufälligerweise der Hash Deines Passworts steht, kommt „Authentication failed“ anstatt des „Unauthorized access“ für die anderen Befehle.

[Alter Sack]

Na dann, sollen sie sich weiter an TMSRemote die Zähne ausbeißen

Das war ja mal wieder ein superschneller Fix

[Alter Sack]

Von den "ALIVE timeout reached" hatte ich heute während der Zeitumstellung wieder 155.000
Einträge im TMSremote Log, war das jetzt der Chinese, der mein TMSRemote benutzen wollte ,
oder die geänderte Systemzeit ?

Code: Alles auswählen

2017-10-29 03:15:26 RMT: Listening on TCP port 1441
2017-10-29 03:15:26 VFD: Listening on TCP port 1443
2017-10-29 02:57:50 RMT: Client connected: ID = 0x00000055, 60.191.40.197
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:57:52 RMT: Closing connection to client
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:57:52 RMT: Authentication failed
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:58:02 RMT: ALIVE timeout reached
... 155.720 x ALIVE timeout reached
2017-10-29 03:21:00 RMT: ALIVE timeout reached
2017-10-29 03:21:00 RMT: Shutdown event
2017-10-29 03:21:00 RMT: Closing server socket
2017-10-29 03:21:00 VFD: Shutdown event
2017-10-29 03:21:00 VFD: Closing server socket
2017-10-29 03:21:00 RMT: Shutdown event

[FireBird]

der Chinese

Der Chinese? 155.720 Chinesen!

[Alter Sack]

Der Chinese? 155.720 Chinesen!

Tja, die sind schon lästig, aber alle mit der gleichen IP

Die Zeitumstellung war es jedenfalls nicht, der andere 2401 hat die Einträge zur gleichen Zeit nicht:

Code: Alles auswählen

2017-10-29 03:15:33 RMT: Listening on TCP port 1431
2017-10-29 03:15:33 VFD: Listening on TCP port 1433
2017-10-29 03:21:00 RMT: Shutdown event
2017-10-29 03:21:00 RMT: Closing server socket
2017-10-29 03:21:00 VFD: Shutdown event
2017-10-29 03:21:00 VFD: Closing server socket
2017-10-29 03:21:00 RMT: Shutdown event