TTD Forum

Die Community für Topfield-User
https://forum.tms-taps.net/

Ungeklärte Reboots

https://forum.tms-taps.net/viewtopic.php?f=137&t=51953

Seite 1 von 2

Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 15:39
von Alter Sack
Es gibt ja immer wieder Meldungen über Reboots, deren Ursache häufig ungeklärt bleibt, ab und
zu habe ich das auch.

Jetzt habe ich mal alle Logs vom Topf zusammengsucht und verglichen, im TMSRemote.log gibt
es unzählige IPs, die scheinbar versuchen sich mit dem Topf zu verbinden, gestern gab es exakt
zu diesem Zeitpunkt einen Reboot:

Aus TMSRemote.log:

Code: Alles auswählen

2017-10-21 18:05:59 RMT: Client connected: ID = 0x00000055, 45.55.14.184[color=Red] <- unbekannt[/color]
2017-10-21 18:06:09 RMT: Closing connection to client
2017-10-21 18:48:42 RMT: Client connected: ID = 0x00000055, 172.104.108.109[color=Red] <- unbekannt[/color]
2017-10-21 18:48:42 ws_parse_header: (length: 106)
2017-10-21 18:48:42 | GET / HTTP/1.1
2017-10-21 18:48:42 !!! invalid request: GET / HTTP/1.1
2017-10-21 18:48:42 RMT: Closing connection to client
2017-10-21 18:48:43 RMT: Client connected: ID = 0x00000055, 172.104.108.109
2017-10-21 18:48:43 ws_parse_header: (length: 178)
2017-10-21 18:48:43 | GET http://clientapi.ipip.net/echo.php?info=20171021164843 HTTP/1.1
2017-10-21 18:48:43 !!! invalid request: GET http://clientapi.ipip.net/echo.php?info=20171021164843 HTTP/1.1
2017-10-21 18:48:43 RMT: Closing connection to client
2017-10-21 18:48:43 RMT: Client connected: ID = 0x00000055, 172.104.108.109
2017-10-21 18:48:43 RMT: Unauthorized access [color=Red]<- Pöser Hacker ?[/color]
2017-10-21 18:48:43 RMT: Closing connection to client[color=Red] <- Reboot[/color]
2017-10-21 18:49:44 RMT: Listening on TCP port 1441
2017-10-21 18:49:44 VFD: Listening on TCP port 1443
Aus TAPSystem.log:

Code: Alles auswählen

2017-10-21 17:56:59 TimerDiags: Current channel: Sky Sport HD 1 (T) @ Tuner 2
2017-10-21 17:57:00 TimerDiags: Service State: PID 0x02ff @ Main = ERROR
2017-10-21 17:57:00 TimerDiags: Service State: PID 0x0302 @ Main = ERROR
2017-10-21 17:57:02 TimerDiags: Service State: PID 0x0302 @ Main = OK
2017-10-21 17:57:03 TimerDiags: Service State: PID 0x02ff @ Main = OK
2017-10-21 17:57:04 TimerDiags: Current EPG event = 'Live F1: 3. Freies Training in Austin, Texas' (2017-10-21 17:55 - 2017-10-21 19:15)
2017-10-21 18:49:40 TimerDiags: --------------------------------
2017-10-21 18:49:40 TimerDiags: TimerDiags V3.4g has been launched
2017-10-21 18:49:40 TimerDiags: SysID=22120(SRP-2401CI+), Firmware=0x0114, Uptime=4294 [color=Red]<- Dateiprüfung nach Reboot (normal ~ 1300)[/color]
2017-10-21 18:49:40 TimerDiags: Bootreason = unknown
2017-10-21 18:49:40 TimerDiags: CHECKPIP disabled
2017-10-21 18:49:40 TimerDiags: CHECKRECMONITOREXTDISK disabled
Dass der Topf via Netzwerk zum Absturz gebracht werden kann ist ja bekannt, das letzte
Beispiel gab es ja gerade erst hier, aber von extern ... :shock:

Sehe ich Gespenster, oder könnte da was dran sein :thinker:

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 16:44
von Alter Sack
Im TMSRemote.log habe ich seit Anfang September 12 "Unauthorized access", 10 davon einhergehend
mit einem Reboot incl. Dateiprüfung.

Das sind die IPs:

Code: Alles auswählen

2017-10-21 18:48:43 RMT: Client connected: ID = 0x00000055, 172.104.108.109
2017-10-16 20:37:31 RMT: Client connected: ID = 0x00000055, 172.104.108.109
2017-10-15 23:06:52 RMT: Client connected: ID = 0x00000054, 164.52.0.141
2017-10-14 20:16:06 RMT: Client connected: ID = 0x00000053, 164.52.0.141
2017-10-14 18:28:31 RMT: Client connected: ID = 0x00000055, 172.104.108.109
2017-10-04 20:34:16 RMT: Client connected: ID = 0x00000045, 46.17.46.8
2017-09-23 13:34:33 RMT: Client connected: ID = 0x0000004b, 117.50.7.159
2017-09-17 22:00:16 RMT: Client connected: ID = 0x00000045, 77.72.83.111 => kein Reboot
2017-09-17 12:05:29 RMT: Client connected: ID = 0x00000047, 172.104.108.109
2017-09-02 17:16:29 RMT: Client connected: ID = 0x00000053, 169.229.3.91 => kein Reboot
2017-09-02 11:40:04 RMT: Client connected: ID = 0x00000048, 164.52.7.132
2017-09-02 00:02:33 RMT: Client connected: ID = 0x00000044, 139.162.124.167
Gucks Du 172.104.108.109 :altermotzsack:
Portscan or hack attempt detected by psad/fwsnort

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 17:35
von Twilight
erstmal: :respekt: für deine analyse...
zweitens: was hastn du für eine firewall/router :und_weg:

drittens: jetzt schau ich gleich mal bei mir nach...und wenn da nix dergleichen kommt weiß firebird warum meine netzwerkkonfiguration so ist wie sie ist :twisted:

twilight

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 17:58
von Twilight
also ich bin jetzt ein jahr zurück und habe keinerlei ungewöhnliche anfragen von aussen.
wie auch immer, es müssen anfragen von dem port sein den du extern nutzt, damit er auf den topf auf port 1415 weitergeleitet wird und er von tmsremote geloggt wird...welchen port nutzt du denn extern? einen anderen als 1415??

twilight

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 18:06
von Alter Sack
Twilight hat geschrieben:welchen port nutzt du denn extern? einen anderen als 1415??

Hatte ich ja schon mal intern geschrieben, weil in der Firma alles außer 21 und 80 gesperrt ist,
habe ich die 80 in der Fritzbox auf 14xx umgeleitet und kann so über dyndns machen was ich will.

Port 80 wird natürlich gerne von außen gescannt, ein Nachteil der Variante.

Doof nur, dass sich der Topf (TMSRemote ?) zu einem Reboot zwingen lässt :thinker:

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 18:10
von FireBird
Könnte das die Zugriffe erklären? Ein Reboot ist natürlich nicht so super.

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 18:11
von Twilight
ja, 80 ist sicher ein problem port...

twilight

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 18:18
von Alter Sack
FireBird hat geschrieben:Könnte das die Zugriffe erklären?

Wenn das bei anderen Usern auch die Ursache für Reboots ist vielleicht, meiner ist ja extern
via Port 80 "angreifbar".
Ein Reboot ist natürlich nicht so super.
:u: :D

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 18:34
von FireBird
Also die Meldung

Code: Alles auswählen

RMT: Unauthorized access
kommt dann, wenn im Datenstrom von TMSRemote ein gültiges Command-Byte empfangen wurde, ohne dass vorher das korrekte Passwort übermittelt wurde. Sehe ich also als Zufall und nicht pöser, als die anderen Verbindungsversuche. Da würde mich das

Code: Alles auswählen

2017-10-21 18:05:59 RMT: Client connected: ID = 0x00000055, 45.55.14.184 <- [color=Red]unbekannt[/color]
2017-10-21 18:06:09 RMT: Closing connection to client
schon mehr beunruhigen, wenn Du wirklich nicht nachweisen kannst, dass das von Dir oder Deiner Familie kommt. Aber wer sollte schon Dein Passwort erraten... :u:

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 18:54
von Homer
FireBird hat geschrieben:Da würde mich das

Code: Alles auswählen

2017-10-21 18:05:59 RMT: Client connected: ID = 0x00000055, 45.55.14.184 <- [color=red]unbekannt[/color]
2017-10-21 18:06:09 RMT: Closing connection to client
schon mehr beunruhigen, wenn Du wirklich nicht nachweisen kannst, dass das von Dir oder Deiner Familie kommt. Aber wer sollte schon Dein Passwort erraten... :u:
Solange da kein "Authentication successful" steht, würde mich das nicht beunruhigen.

Viele Grüße
Homer

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 19:02
von Alter Sack
FireBird hat geschrieben:Da würde mich das ... schon mehr beunruhigen

Wie Homer schon bemerkt hat, "Authentication successful" gibt es nur von meinen PCs, dem
Handy oder der IP aus der Firma.

Was auch immer die Portscanner hinter Port 80 vermuten, sie werden es nicht finden :D

Ich mag nur die Reboots nicht ;)

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 19:24
von Twilight
hab jetzt nochmal das ganze log (bis 2012 zurück) durchforstet.
wenn ich von extern zugreife kann es schon mal passieren das es nicht gleich klappt:

2014-08-10 21:22:39 RMT: Listening on TCP port 1413
2014-08-10 21:22:39 VFD: Listening on TCP port 1415
2014-08-10 21:23:17 RMT: Client connected: ID = 0x00000033, 93.111.133.156
2014-08-10 21:23:18 RMT: Closing connection to client
2014-08-10 21:23:18 RMT: Client connected: ID = 0x00000033, 93.111.133.156
2014-08-10 21:23:18 RMT: Authentication failed
2014-08-10 21:23:18 RMT: Closing connection to client
2014-08-10 21:23:43 RMT: Client connected: ID = 0x00000033, 93.111.133.156
2014-08-10 21:23:43 RMT: Closing connection to client
2014-08-10 21:23:43 RMT: Client connected: ID = 0x00000033, 93.111.133.156
2014-08-10 21:23:43 RMT: Authentication successful
2014-08-10 21:24:21 RMT: ALIVE timeout reached
2014-08-10 21:24:21 RMT: Closing connection to client
2014-08-10 21:24:27 RMT: Client connected: ID = 0x00000033, 93.111.133.156
2014-08-10 21:24:27 RMT: Closing connection to client
2014-08-10 21:24:28 RMT: Client connected: ID = 0x00000033, 93.111.133.156
2014-08-10 21:24:28 RMT: Authentication successful
2014-08-10 21:37:26 RMT: ALIVE timeout reached
2014-08-10 21:37:26 RMT: Closing connection to client
2014-08-10 21:37:35 RMT: Client connected: ID = 0x0000002f, 93.111.133.156
2014-08-10 21:37:35 RMT: Closing connection to client
2014-08-10 21:37:36 RMT: Client connected: ID = 0x0000002f, 93.111.133.156
2014-08-10 21:37:36 RMT: Authentication successful


aber es sind keine zugriffe die nicht von mir sind bzw. welche die dann nicht klappen...

twilight

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 19:28
von FireBird
Version 4.3b ist verfügbar. Wenn bei den Verbindungsversuchen binärer Müll mitgeschickt wurde, konnte sich der Reboot-Befehl an der Authentifizierung vorbeischummeln und einen Reboot auslösen. :patsch:

Bitte beachten, dass bei einem von TMSRemote gesteuerten Update via TAPtoDate ein Neustart des Topfes notwendig ist, bevor man sich wieder mit TMSRemote verbinden kann. Also alle, die gerade nicht zu Hause sind und auch keinen TFIR haben, sollten das Update auf später verschieben.

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 19:43
von Twilight
spitze :)

twilight

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 19:51
von Alter Sack
FireBird hat geschrieben:Version 4.3b ist verfügbar. Wenn bei den Verbindungsversuchen binärer Müll mitgeschickt wurde, konnte sich der Reboot-Befehl an der Authentifizierung vorbeischummeln und einen Reboot auslösen. :patsch:

Will heißen, ich kann die Hacker weiter hacken lassen ? :hello:

BTW:
2014-08-10 21:24:21 RMT: ALIVE timeout reached
Davon habe ich über 680000 Einträge im Log (von 2 Tagen), davor gab es auch ein ...
2017-09-17 22:00:16 RMT: Authentication failed
.... von extern.

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 19:54
von FireBird
Genauso auf Grund des binären Mülls, nur in diesem Fall halt der Befehl für die Authentication. Wenn in dem danach folgenden Müll nicht zufälligerweise der Hash Deines Passworts steht, kommt „Authentication failed“ anstatt des „Unauthorized access“ für die anderen Befehle.

AW: Ungeklärte Reboots

Verfasst: So 22. Okt 2017, 20:01
von Alter Sack
Na dann, sollen sie sich weiter an TMSRemote die Zähne ausbeißen :D

Das war ja mal wieder ein superschneller Fix :up: :pray:

AW: Ungeklärte Reboots

Verfasst: So 29. Okt 2017, 10:09
von Alter Sack
Von den "ALIVE timeout reached" hatte ich heute während der Zeitumstellung wieder 155.000
Einträge im TMSremote Log, war das jetzt der Chinese, der mein TMSRemote benutzen wollte :D ,
oder die geänderte Systemzeit ?

Code: Alles auswählen

2017-10-29 03:15:26 RMT: Listening on TCP port 1441
2017-10-29 03:15:26 VFD: Listening on TCP port 1443
2017-10-29 02:57:50 RMT: Client connected: ID = 0x00000055, 60.191.40.197
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:57:52 RMT: Closing connection to client
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:57:52 RMT: Authentication failed
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:57:52 RMT: Unauthorized access
2017-10-29 02:58:02 RMT: ALIVE timeout reached
... 155.720 x ALIVE timeout reached
2017-10-29 03:21:00 RMT: ALIVE timeout reached
2017-10-29 03:21:00 RMT: Shutdown event
2017-10-29 03:21:00 RMT: Closing server socket
2017-10-29 03:21:00 VFD: Shutdown event
2017-10-29 03:21:00 VFD: Closing server socket
2017-10-29 03:21:00 RMT: Shutdown event

AW: Ungeklärte Reboots

Verfasst: So 29. Okt 2017, 10:40
von FireBird
Alter Sack hat geschrieben:der Chinese

Der Chinese? 155.720 Chinesen! :und_weg:

AW: Ungeklärte Reboots

Verfasst: So 29. Okt 2017, 10:52
von Alter Sack
FireBird hat geschrieben:Der Chinese? 155.720 Chinesen! :und_weg:

Tja, die sind schon lästig, aber alle mit der gleichen IP :shock:

Die Zeitumstellung war es jedenfalls nicht, der andere 2401 hat die Einträge zur gleichen Zeit nicht:

Code: Alles auswählen

2017-10-29 03:15:33 RMT: Listening on TCP port 1431
2017-10-29 03:15:33 VFD: Listening on TCP port 1433
2017-10-29 03:21:00 RMT: Shutdown event
2017-10-29 03:21:00 RMT: Closing server socket
2017-10-29 03:21:00 VFD: Shutdown event
2017-10-29 03:21:00 VFD: Closing server socket
2017-10-29 03:21:00 RMT: Shutdown event
Alle Zeiten sind UTC+01:00
Seite 1 von 2
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/