Nettiliittymän väärinkäyttö. Zombi kotiverkossa vai Elisan OmaGuru kalastelua.

[nnaku]

Elisalta tuli päivällä tekstari, josta oletin että mulla on saastunut laite kotona joka kyselee portteja ympäri maailmaa.

Eilen asentelin raspin uudelleen ja ajattelin että multa on jääny default tunnarit auki, ei sen kummempaa. Oikeastaan mikään muu aparaatti ei kai ole voinut laukaista tuota Elisan varoitusta. Modeeminista ainoa mailmalle näkyvä asia on toi raspi:n ssh (default portissa ).

No en itse ollut kotosalla kun viestin sain joten käskin rouvaa nyppäsemään modeemista ja raspista virratpois. Tämä tietenki tyhjensi modeemin logit, jota en tajunnut kun säikähdin viestiä.

Noh nyt kun aloin asiaa penkomaan, niin raspin auth.logitsa ainoat onnistuneet kirjautumiset on omalta pc:ltä. Ja aikaleimatkaan eivät oikeen täsmää viestin kanssa.

Samalla kun näin logit, muistin että poistin salasanat ja sallin vain avaimet.

Testi (foliohattu) mielessä, sallin salasanalla kirjautumisen ja kokeilin vielä "default" salasanaa.

auth.log:ista näkee myös, että jonkin verran raspia on pommitettu ja ainoa mikä pistää silmään on venäläisten vähäinen määrä.

Olin jo menettänyt toivon modeemin logeista, mutta yllätykseski huomasin että rummutus oli jatkunut viel resetin jälkeenkin. Ja sielä löytyi 49 kpl tälläsiä.

SYN_FLOODING ATTACK:
 IN=eth1.3900
 OUT=
 MAC=xx:xx:xx:xx:xx:xx:00:00:5e:00:01:f2:08:00:45:00:00:2c
 SRC=178.79.138.22
 DST=MI.NUN.OMA.IP
 LEN=44
 TOS=0x00
 PREC=0x00
 TTL=33
 ID=47710
 PROTO=TCP
 SPT=37318
 DPT=444
 WINDOW=1024
 RES=0x00
 SYN URGP=0
 MARK=0xa0000000

Näyttäis siltä että modeemia on pommitettu jostain, eikä tämä kai ole niin kummallista jos julkisen ip päässä on jotain näkyvissä?

Tulkaas joku kertoon, mistä etsin vielä? Vai onko tämä joku mauton OmaGuru baitti mummoille ja marjatoille?

 

[Stanley H. Tweedle]

Eikös nuo Elisan ja Soneran viihdemodeemit olleet reikäisiä vielä taannoin? Onko sulla sellainen käytössä?

 

[nnaku]

Eikös nuo Elisan ja Soneran viihdemodeemit olleet reikäisiä vielä taannoin? Onko sulla sellainen käytössä?

on

 

[Stanley H. Tweedle]

Taitaa joku vaan lainata taas vaihteeksi romurautaa hyökkäykseen ja operaattori on tyypillisesti ihan pihalla.

En ole seurannut tilannetta sittemmin, mutta ainakaan aiemmin ei ollut mitään korjauksia viihdemodeemeille ja niinpä operaattorit vaan joutuivat blokkaamaan haittaliikennettä.

 

[jarif]

Millaisia nuo viihdemodeemit on? Itsellä on Telialta Inteno DG301AL jossa myös Technicolor jossain alun ruudussa vilahtaa. Olen itse pitänyt tätä ruottalaista vähän parempana kuin noita ainaisia zyxeleitä ja x-linkkejä, ei näistä ainakaan sillä lailla ole julkisuudessa raportoitu.

Onhan mulla siihen sillattuna myös OPNsense -palomuuri, mutta kolmessa portissa on edelleen routed -liittymä ja talouden kuluttajakoneet edelleen käyttää noita reitittäviä, kun tuo sillattu on liian "strict" muutenkin kuin uPnp:n suhteen, ja siinä ei pleikkarit pelaa.

Mikä homma tuo viihdemodeemi nyt on? (hieno onelineri tuossa OP:n viestissä geolokaatioiden etsimiseen, viitsisitkö laittaa sen vaikka copypastettavaksi tähän )

 

[nnaku]

Millaisia nuo viihdemodeemit on? Itsellä on Telialta Inteno DG301AL jossa myös Technicolor jossain alun ruudussa vilahtaa. Olen itse pitänyt tätä ruottalaista vähän parempana kuin noita ainaisia zyxeleitä ja x-linkkejä, ei näistä ainakaan sillä lailla ole julkisuudessa raportoitu.

Onhan mulla siihen sillattuna myös OPNsense -palomuuri, mutta kolmessa portissa on edelleen routed -liittymä ja talouden kuluttajakoneet edelleen käyttää noita reitittäviä, kun tuo sillattu on liian "strict" muutenkin kuin uPnp:n suhteen, ja siinä ei pleikkarit pelaa.

Mikä homma tuo viihdemodeemi nyt on? (hieno onelineri tuossa OP:n viestissä geolokaatioiden etsimiseen, viitsisitkö laittaa sen vaikka copypastettavaksi tähän )

grep "Failed\|preauth" /var/log/auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" | sort | uniq |  xargs -n 1 geoiplookup {} | grep "Country" |sort | uniq --count | sort -k1,1nr

geoiplookup tarvii "apt-get install geoip-bin"
Eikä ole grep edes omaa käsialaa

 

[jarif]

[jarif@www ~]$ list-geo-attackers.sh
2 GeoIP Country Edition: FI, Finland
1 GeoIP Country Edition: RO, Romania

Mulla on julkiset DNS-nimet CloudFlaren proxyn takana, mutta pari hassua on skannannut random-IP-osoitteitakin näköjään.

Tämä on CentOS 7 ja /var/log/secure mutta pitäisi olla sama kuin debianissa muuten.

Oho. Toinen kone joka on latviassa, mutta sekin CloudFlaren takana enimmäkseen:


[jarif@nagios ~]$ list-geo-attackers.sh
47 GeoIP Country Edition: CN, China
15 GeoIP Country Edition: US, United States
13 GeoIP Country Edition: KR, Korea, Republic of
13 GeoIP Country Edition: RU, Russian Federation
9 GeoIP Country Edition: IN, India
8 GeoIP Country Edition: TH, Thailand
6 GeoIP Country Edition: ID, Indonesia
5 GeoIP Country Edition: BR, Brazil
5 GeoIP Country Edition: IP Address not found
4 GeoIP Country Edition: AU, Australia
4 GeoIP Country Edition: CL, Chile
4 GeoIP Country Edition: DE, Germany
4 GeoIP Country Edition: IT, Italy
3 GeoIP Country Edition: SE, Sweden
2 GeoIP Country Edition: AR, Argentina
2 GeoIP Country Edition: BE, Belgium
2 GeoIP Country Edition: CO, Colombia
2 GeoIP Country Edition: FR, France
2 GeoIP Country Edition: MX, Mexico
2 GeoIP Country Edition: MY, Malaysia
2 GeoIP Country Edition: NL, Netherlands
2 GeoIP Country Edition: TW, Taiwan
2 GeoIP Country Edition: VN, Vietnam
1 GeoIP Country Edition: BD, Bangladesh
1 GeoIP Country Edition: CA, Canada
1 GeoIP Country Edition: CZ, Czech Republic
1 GeoIP Country Edition: DO, Dominican Republic
1 GeoIP Country Edition: EC, Ecuador
1 GeoIP Country Edition: GB, United Kingdom
1 GeoIP Country Edition: GR, Greece
1 GeoIP Country Edition: HK, Hong Kong
1 GeoIP Country Edition: HU, Hungary
1 GeoIP Country Edition: IR, Iran, Islamic Republic of
1 GeoIP Country Edition: JP, Japan
1 GeoIP Country Edition: NZ, New Zealand
1 GeoIP Country Edition: PH, Philippines
1 GeoIP Country Edition: PL, Poland
1 GeoIP Country Edition: RO, Romania
1 GeoIP Country Edition: TR, Turkey

 

[Griffin]

Onko muuten olemassa kusetussoftaa, joka antaisi valituille palveluille oikeantuntuisen loginin ja salasanakyselyn, mutta ei tekisi muuta, kuin kirjaisi halutessa ensimmäisten 100 000:n kokeilukerran tiedot ylös (Ip, käytetty salasana ja käyttäjä) ?
Noita kun jauhavat toisinaan vuorokausitolkulla.
Nuo voisi sitten tilastoida ja laittaa eteenpäin. Haittaisi noita tunkeutujiakin, kun saisivat paukuttaa honeypotteja kuukausitolkulla ja ahkerammat IP alueet voisi blokkailla tietokannan perusteella, jota noiden tiedoista kerätyn yhteenvedon perusteella kasattaisiin..

 

[nnaku]

Onko muuten olemassa kusetussoftaa, joka antaisi valituille palveluille oikeantuntuisen loginin ja salasanakyselyn, mutta ei tekisi muuta, kuin kirjaisi halutessa ensimmäisten 100 000:n kokeilukerran tiedot ylös (Ip, käytetty salasana ja käyttäjä) ?
Noita kun jauhavat toisinaan vuorokausitolkulla.
Nuo voisi sitten tilastoida ja laittaa eteenpäin. Haittaisi noita tunkeutujiakin, kun saisivat paukuttaa honeypotteja kuukausitolkulla ja ahkerammat IP alueet voisi blokkailla tietokannan perusteella, jota noiden tiedoista kerätyn yhteenvedon perusteella kasattaisiin..

Onhan noita valmiita listoja vaikka kuinka.
Typ: all
Updated: T20:55:58 +0100 (CET)
Count IPs: 50677
Description: All IP addresses that have attacked one of our customers/servers in the last 48 hours.
Download: https://lists.blocklist.de/lists/all.txt
MD5: 724d2f3168139b98d0405411512129b2

 

[olkitu]

Eikös helpommaksi tulisi sallia vain suomalaiset ja omat IP-osoitteet ja kaikki muut blokata Tuskinpa sitä usein tulee Suomen verkon alueelta poistuttua ja tarttis SSH:lla päästä palvelimelle... Ja tietysti on VPN:t muualta yms mahdollisuudet erikseen.

 

[Griffin]

Eikös helpommaksi tulisi sallia vain suomalaiset ja omat IP-osoitteet ja kaikki muut blokata Tuskinpa sitä usein tulee Suomen verkon alueelta poistuttua ja tarttis SSH:lla päästä palvelimelle... Ja tietysti on VPN:t muualta yms mahdollisuudet erikseen.

Venäjä ja itäeuroopan maita on tullut osittain blokkailtua välillä (Jaksavat olla kovin yritteliäitä).
Tosin fiksuinta lie vain sallia esim muutamat operaattorit Suomesta, jos on oma laitteisto / oma palvelin, jota käyttää vain täällä..

Mietin vain sitä, että olisi hyvä kaikkien tarjota noille tekemistä, niin vähemmän kerkeäisivät tehdä asiattomuuksia..

 

[olkitu]

Venäjä ja itäeuroopan maita on tullut osittain blokkailtua välillä (Jaksavat olla kovin yritteliäitä).
Tosin fiksuinta lie vain sallia esim muutamat operaattorit Suomesta, jos on oma laitteisto / oma palvelin, jota käyttää vain täällä..

Mietin vain sitä, että olisi hyvä kaikkien tarjota noille tekemistä, niin vähemmän kerkeäisivät tehdä asiattomuuksia..

Ei niillä tekeminen lopu siltikään IPv6-puolella vielä vähemmän skannaajia kun osoitteitakin on riittävästi skannattavaksi. Eiköhän blokata suoraan noi skannausbotit heti verkon rajalla niin ei tarttis täytellä lokeja Päässyt vaan itse helpommalla. Vähemmän sitä paitsi listattavaa palomuuriin kun vaan laittaa sallittaviin blokkeihin.

Mutta yleisesti onko tarve SSH:lle päästä ulkoverkosta, itsellä vaan muutama kun kaikki muuten omassa sisäverkossa.

 

[jarif]

Onko muuten olemassa kusetussoftaa, joka antaisi valituille palveluille oikeantuntuisen loginin ja salasanakyselyn, mutta ei tekisi muuta, kuin kirjaisi halutessa ensimmäisten 100 000:n kokeilukerran tiedot ylös (Ip, käytetty salasana ja käyttäjä) ?
Noita kun jauhavat toisinaan vuorokausitolkulla.
Nuo voisi sitten tilastoida ja laittaa eteenpäin. Haittaisi noita tunkeutujiakin, kun saisivat paukuttaa honeypotteja kuukausitolkulla ja ahkerammat IP alueet voisi blokkailla tietokannan perusteella, jota noiden tiedoista kerätyn yhteenvedon perusteella kasattaisiin..

Onhan noita. Itsellä on tällainen yhdessä virtuaalikoneessa: Dionaea Honeypot

 

[nnaku]

Venäjä ja itäeuroopan maita on tullut osittain blokkailtua välillä (Jaksavat olla kovin yritteliäitä).
Tosin fiksuinta lie vain sallia esim muutamat operaattorit Suomesta, jos on oma laitteisto / oma palvelin, jota käyttää vain täällä..

Mietin vain sitä, että olisi hyvä kaikkien tarjota noille tekemistä, niin vähemmän kerkeäisivät tehdä asiattomuuksia..

mietin vakavasti pitäskö virittää joku "live" ssh blacklisti.

huvikseni vertasin auth.login tohon all.txt listaan...

 

[Stanley H. Tweedle]

Eipä tuo Elisa varmaan valita sisäänpäin tulevista skannauksista.

 

[jarif]

Eipä tuo Elisa varmaan valita sisäänpäin tulevista skannauksista.

Juurikin näin. Minusta OP on käyttänyt aikaa ja vaivaa tämän asian pohtimiseen siinä määrin, että ei olisi hukkaan heitettyä vaivaa kysyä sieltä jotain lisätietoa, kun ei kyseessä ole kumminkaan mikään maija jonka kone on rootattu.

Kyllä siellä jotain on Elisassa todettu ja se olisi hyvä saada selville että mitä hemmettiä.

 

[nnaku]

Juurikin näin. Minusta OP on käyttänyt aikaa ja vaivaa tämän asian pohtimiseen siinä määrin, että ei olisi hukkaan heitettyä vaivaa kysyä sieltä jotain lisätietoa, kun ei kyseessä ole kumminkaan mikään maija jonka kone on rootattu.

Kyllä siellä jotain on Elisassa todettu ja se olisi hyvä saada selville että mitä hemmettiä.

Hauskintahan tässä on se, etteivät Elisalta anna mitään tarkempaa dataa! Koitin MAC osoitetta kysellä, niin neiti kehoitti ottamaan yhteyttä Omaguruun. Tai jos osaamistä löytyy niin skannaamaan koneen virtorjuntaohjelmalla tai asentamaan "Windowsin" uudellee.


Mutta joo ei ole kuulemma ole logia mitä antaa.

 

[ossid]

Olitko nyt yhteydessä aspaan vai abuseen suoraan?

Abuse-tiimissä on osaavampaa porukkaa. Aspassa ohjeistus on sanoa, että soita omaguruun(€€€€€/min)

 

[Asiantuntija]

Ei tuo ssh-portin vaihtaminen oikeastaan mitään auta. Kyllä se palvelu sieltä silti löytyy. Ehkä olisi järkevämpää lyödä siihen raspiin openvpn pystyyn, jolla ottaa tarvittaessa etänä yhteys. Mitä siinä raspissa on pyörimässä tällä hetkellä? Onko siinä mitään palomuuria? Iptables? UFW? En tiedä riittäisikö raspissa tehot pyörittää fail2ban ohjelmistoa.
Voi tosiaan olla, että elisa kalastelee rahaa tuolla. Heillä maksaa 1€/kk lisää, ettei liittymän omistajan tietoja luovuteta kolmannelle osapuolelle.

 

[Stanley H. Tweedle]

Voi tosiaan olla, että elisa kalastelee rahaa tuolla.

Älkääs nyt yliarvioiko Elisan kyvykkyyttä. Siellä on muutama ukko töissä jotka tietää jotain jostain, mutta ne on varmaan niin kiireisiä etteivät ehdi pelleillä moisia.

Edit: Mutuilen tuosta henkilöstöstä sen perusteella mitä olen keskustellut yrityspuolen tuen kanssa. Se kolmas tyyppi vasta ymmärtää mistä on kyse.

 

[nnaku]

Ei tuo ssh-portin vaihtaminen oikeastaan mitään auta. Kyllä se palvelu sieltä silti löytyy. Ehkä olisi järkevämpää lyödä siihen raspiin openvpn pystyyn, jolla ottaa tarvittaessa etänä yhteys. Mitä siinä raspissa on pyörimässä tällä hetkellä? Onko siinä mitään palomuuria? Iptables? UFW? En tiedä riittäisikö raspissa tehot pyörittää fail2ban ohjelmistoa.
Voi tosiaan olla, että elisa kalastelee rahaa tuolla. Heillä maksaa 1€/kk lisää, ettei liittymän omistajan tietoja luovuteta kolmannelle osapuolelle.

Monitoroi vähän koti juttuja sekä sandboxina. Eli ei käytännössä mitään tarpeellista, lähinnä ihmettelen tuota viestiä ja sitä etten itse löytänyt mitään

Alanko päivystämään wiresharilla.

 

[spede]

Monitoroi vähän koti juttuja sekä sandboxina. Eli ei käytännössä mitään tarpeellista, lähinnä ihmettelen tuota viestiä ja sitä etten itse löytänyt mitään

Alanko päivystämään wiresharilla.

Salattu langaton verkko kotona? Kaikki langattomasti liitettävät laitteet katsottu läpi?

Ei tuo ole mikään rahan kalastus keissi, vaan ihan Viestintäviraston kehotus operaattorille lopettaa haitallinen liikenne IP-osoitteestaan, jonka operaattori sitten ohjaa edelleen asiakkaalleen. Näitä saa ihan minkä tahansa operaattorin liittymällä, jos laajemmin skannailee portteja yms.

... Ja SSH-portin muuttaminen kyllä tappaa aika tehokkaasti 95+% automatisoidusta rainbow table spämmistä. Joo, sen uudenkin portin löytää skannaamalla, mutta valtaosa tuosta automatisoidusta paskasta jauhaa vaan sitä porttia 22 universumin tappiin asti.

 

[Asiantuntija]

Kaikki langattomasti liitettävät laitteet katsottu läpi?

Tosiaan kannattaa katsoa muutkin laitteet läpi. Varsinkin, jos on jotain kiinalaisia vempeleitä.

Monitoroi vähän koti juttuja

Tuosta voisi päätellä, että jotain iot laitteita siellä kotiverkossa on kiinni.

 

[Ormu]

... Ja SSH-portin muuttaminen kyllä tappaa aika tehokkaasti 95+% automatisoidusta rainbow table spämmistä. Joo, sen uudenkin portin löytää skannaamalla, mutta valtaosa tuosta automatisoidusta paskasta jauhaa vaan sitä porttia 22 universumin tappiin asti.

Eikä se salasana kokeilemalla löydy portista 22:kaan, jos se on edes jotenkin kunnollinen.



Jos modeemi/reititin on jotain tietoturvatonta kuraa niin lähtisin sen tarkistuksesta. Sitten kaikki IoT-vehkeet syyniin, jos sellaisia on.

 

[nnaku]

Eikä se salasana kokeilemalla löydy portista 22:kaan, jos se on edes jotenkin kunnollinen.



Jos modeemi/reititin on jotain tietoturvatonta kuraa niin lähtisin sen tarkistuksesta. Sitten kaikki IoT-vehkeet syyniin, jos sellaisia on.

Joo modeemi on kyllä vähiintäänkin arveluttava, Elisan kotiboxi, ja sen perässä muutama älylaitos. Kaipa nuo ensiavuiksi vois resetoida tehdas-asetuksille ja alkaa odottelemaan uutta tekstaria. Wiresharkkiin ei tässä aamulla ainakaan tarttunut mitään kummallista.

 

[Pertti Kosunen]

Ei tuo ssh-portin vaihtaminen oikeastaan mitään auta.

Kyllähän se botit yms. automaatit blokkaa vaikka ei mikään oikea turva ole.

 

[Stanley H. Tweedle]

Joo kyllä 99,9% yrityksistä kohdistuu default-portteihin.

 

[Stanley H. Tweedle]

Reaper?

Veikkaukseni edelleen viihdemodeemi.

 

[nnaku]

Reaper?

Veikkaukseni edelleen viihdemodeemi.

Just ihmettelin, tuota samaa! Pitäänee googledoida illemmalla lisää.

 

[Obi-Lan]

Kato ettei ole halintaportteja tai snmp auki nettiin päin.

 

[tero-70]

Itselleni tuli tänään aamusta elisalta täysin sama viesti kun ketjun aloittajalla,soitin heti viestin saatua elisan aspaan ja siellä sanottiin että
minun modeemi on lähetellyt portti skannauksia ?,mutta sen enempää tietoa sieltä ei tullut kehotettiin vaan resetoimaan modeemi ja odotella että tuleeko uutta viestiä elisalta asian suhteen ,modeemina on viikko sitten dna shopista haettu asiakaspalautus Huawei b715.
Mikä mahtaa olla se "TR-069 hallinta" kannattaako se ottaa pois päältä? ite kun tosiaan en ole mikään närtti näitten vehkeitten suhteen.
Ite muuttanut modeemista ainoastaan ne salasanat sekä sinne dhcp palvelimeen mac->ip sidonnat

 

[Mestaritonttu]

Itselleni tuli tänään aamusta elisalta täysin sama viesti kun ketjun aloittajalla,soitin heti viestin saatua elisan aspaan ja siellä sanottiin että
minun modeemi on lähetellyt portti skannauksia ?,mutta sen enempää tietoa sieltä ei tullut kehotettiin vaan resetoimaan modeemi ja odotella että tuleeko uutta viestiä elisalta asian suhteen ,modeemina on viikko sitten dna shopista haettu asiakaspalautus Huawei b715.
Mikä mahtaa olla se "TR-069 hallinta" kannattaako se ottaa pois päältä? ite kun tosiaan en ole mikään närtti näitten vehkeitten suhteen.
Ite muuttanut modeemista ainoastaan ne salasanat sekä sinne dhcp palvelimeen mac->ip sidonnat

Oisko edellinen asiakas asennellut omaa firmwarea modeemiin? Sehän ei perus-resetoinnilla palaudu alkuperäiseksi jos sen on kerran päivittänyt.

 

[tero-70]

Ainakin äkkiseltään näyttäs ihan dna firmwrelta.
tuollainen löyty sieltä logista :
2019-03-28 00:51:27 Detect UDP port scan attack, scan packet from 195.74.0.47
eli jotain se ilmeisesti tekee itekseen ????

Tälläiset modeemin tiedot:

 

[Asiantuntija]

Ainakin äkkiseltään näyttäs ihan dna firmwrelta.
tuollainen löyty sieltä logista :
2019-03-28 00:51:27 Detect UDP port scan attack, scan packet from 195.74.0.47
eli jotain se ilmeisesti tekee itekseen ????

Tälläiset modeemin tiedot:

Uusi ohjelmistoversio: 11.197.01.00.182
| DNA
Kannattaa varmaan päivittää sen firmware/ohjelmisto ensimmäisenä.

 

[arttu83]

Uusi ohjelmistoversio: 11.197.01.00.182
| DNA
Kannattaa varmaan päivittää sen firmware/ohjelmisto ensimmäisenä.

Kuvan perusteella uusin firmware on jo käytössä. Ei luultavasti anna sitä uudestaan asentaa.

 

[Griffin]

Ainakin äkkiseltään näyttäs ihan dna firmwrelta.
tuollainen löyty sieltä logista :
2019-03-28 00:51:27 Detect UDP port scan attack, scan packet from 195.74.0.47
eli jotain se ilmeisesti tekee itekseen ????

Tälläiset modeemin tiedot:

Joku on netistä päin skannannut portteja, eli mistä päättelet sen tekevän "jotain", mitä sen ei pidä tehdä, itsekseen.. Vai onko tuo oma IP:si?
www.what is my ip.com..

Kellonaika ja IP osoitteet ylös ja ilmoitus
abuse@elisa.com iin, jos on jonkun muun IP.

Tuolla voit tarkistaa, minkä firman IP on..
IP Lookup Tool - Check IP Block info at ARIN - MxToolbox

 

[Asiantuntija]

Kuvan perusteella uusin firmware on jo käytössä. Ei luultavasti anna sitä uudestaan asentaa.

Oho. Niinpä onkin.

 

[tero-70]

Joku on netistä päin skannannut portteja, eli mistä päättelet sen tekevän "jotain", mitä sen ei pidä tehdä, itsekseen.. Vai onko tuo oma IP:si?
www.what is my ip.com..

Kellonaika ja IP osoitteet ylös ja ilmoitus
abuse@elisa.com iin, jos on jonkun muun IP.

Tuolla voit tarkistaa, minkä firman IP on..
IP Lookup Tool - Check IP Block info at ARIN - MxToolbox

1.Ei ole oma ip vaan mitä katselin niin se on elisan joku oma nimipalvelin yms
2. Ihan siitä vaan päättelin kun tuskin elisa huvikseen lähettelee tuollaisia tekstiviestejä minkä keskustelun aloittajakin on saanut,ja kun olin yhteydessä as.palveluun niin sieltäkin sanottiin että minun liittymästä on lähetetty portti kyselyitä ,minkä vuoksi se tekstiviestikin minulle on lähetetty.
Ja vielä tosiaan kun kyseessä on DNA kaupasta ostettu ns asiakaspalautus laite.
Olen nyt pistänyt sinne elisan abuseen(abuse@elisa.fi ,ei com päätteinen) myös viestiä hetki sitten tästä,saa nähdä koska vastaavat vai vastaavatko lainkaan,vai onko joku kaunis aamu että ovat sulkeneet liittymän...

 

[dot1q]

Voiskohan olla että joku on koittanut käyttää amplifointi hyökkäystä ja sun laite on joutunu jonkin ampli-abusebugiexploitin takia kohteeksi. Eli sun laitetta kerran pommitettiin yhdellä paketilla ja kun se lähetettiin tekaistusta (tod.näk.?) IP:stä se aiheuttaa sun laitteessa halutut toiminnot X ja Y mutta ne laite joutuu tekemään exploitin tjsp takia vaikka 100kertaa defaulttina.
Vähä väsyny olen tätä enempää nyt miettimään mutta tää vois selittää sun SISÄÄN päin tulleen ddos paskan.. Se tuskin oli sattumaa.

 

[Obi-Lan]

Jos hallintapuolella mahdollista, sulkee kaikki nettiin päin auki olevat. UDP protokolla ei ole tilallinen, joten hyökkääjä voi lähettää laitteeseesi paketin jossa on lähettäjän osoitteeseena hyökkäyksen kohde ja laitteesi lähettää vastausviestit sinne. esim. SNMP:tä on ilmeisesti käytetty aika paljon tähän tarkoitukseen (portit 161,162)

 

[tero-70]

Yrittäny sinne elisan abuseen yms olla yhteydessä että onko ne skannaukset loppunu,mutta ei ole vieläkään tullu mitään vastausta.
Tänään taas kun tutkin sen b715 logia niin tälläsen löysin sieltä,onko normaali vai onko tosiaan mokkula jotenkin hakkeroitu.

 

[Griffin]

Yrittäny sinne elisan abuseen yms olla yhteydessä että onko ne skannaukset loppunu,mutta ei ole vieläkään tullu mitään vastausta.
Tänään taas kun tutkin sen b715 logia niin tälläsen löysin sieltä,onko normaali vai onko tosiaan mokkula jotenkin hakkeroitu.

Onko kello ajassa?
Oletko itseollut tekemässä muutoksia noihin aikoihin?

Tuossa on liikennöity ilmeisesti IPV6:n kautta tuon kanssa.

Onhan admin salasana muutettu ja saako tuossa jostain määritettyä, jotta ei pääse verkon kautta säätämään /kirjautumaan sisään.
edit:
fe80::/10 alue on ilmeisesti ipv6:sessa local alue, joten ei pitäisi olla tullut verkosta.
Voit tietysti disabloida omista laitteista ipv6:n ja testata, loppuuko noiden tulo.

 

[dot1q]

Yrittäny sinne elisan abuseen yms olla yhteydessä että onko ne skannaukset loppunu,mutta ei ole vieläkään tullu mitään vastausta.
Tänään taas kun tutkin sen b715 logia niin tälläsen löysin sieltä,onko normaali vai onko tosiaan mokkula jotenkin hakkeroitu.

Koko sarja alkaa klo 08:10 asiakaspäätelaitteen etäkonfigurointi protokollan toiminnolla just IPv6 yli. Teitkö itse? Ei vaikuta siltä. Joko Elisa teki tai sitten sun purkkia käsittelee joku muu.

TR-069 - Wikipedia

 

[tero-70]

Onko kello ajassa?
Oletko itseollut tekemässä muutoksia noihin aikoihin?

Tuossa on liikennöity ilmeisesti IPV6:n kautta tuon kanssa.

Onhan admin salasana muutettu ja saako tuossa jostain määritettyä, jotta ei pääse verkon kautta säätämään /kirjautumaan sisään.
edit:
fe80::/10 alue on ilmeisesti ipv6:sessa local alue, joten ei pitäisi olla tullut verkosta.
Voit tietysti disabloida omista laitteista ipv6:n ja testata, loppuuko noiden tulo.

Kiitoksia ,tosiaan ite olen ulkona kuin lumiukko näistä laitteista ja kun nyt kävin sitten sen verkkokortin tietoja katsomassa niin toi on oman läppärin osoite ,Mutta kun olen sinne elisan as palveluun ollut yhteydessä niin eivät siellä tunnu saavan mitään aikaan kyseisen ongelman suhteen,saati ilmoita tänne mulle että onko portti skannaus loppunut vai ei,voisivat edes kertoa koska kyseiset skannaukset on tapahtunut niin pystyisi sillon ainakin sulkeen pois että onko kyseessä tuo B715 käytetty mokkula vai mikä,Tietokoneet kaikki skannattu kasperskyllä,f-securen netistä saatavalla ilmaisella työkalulla sekä malwarebytes ohjelmalla ja mikään niistä ei löytänyt mitään pöpöjä.
Tässä alkaa tällänen uuno oleen ihmeissään että mitä viddua ny oikein on menossa.
Viimeksi elien kun olin niiden as palveluun yhteydessä niin totesivat vaan että formatoi kovalevy ja asenna windows uudestaa,ja itsellä kun täällä on usean vuoden valokuvat ,dokumentit yms ,niin on siinä aikas moinen työ,ja siihen en viitsisi ihen helposti ryhtyä jos vika onkin esim juuri tuossa itse mokkulassa.
Mutta kiitoksia kuitenkin kaikille jotka ovat viitsineet kertoa /neuvoa asian suhteen,täältä sentään tuntuu saavan edes jotain vastauksia.

 

[Obi-Lan]

Operaattori itse luultavasti saa vain ulkopuoliselta taholta ilmoituksen että hei teidän liittymä xxx lähettää haittaliikennettä ja laittaa sen eteenpäin.

 

[Mestaritonttu]

Ainakin äkkiseltään näyttäs ihan dna firmwrelta.
tuollainen löyty sieltä logista :
2019-03-28 00:51:27 Detect UDP port scan attack, scan packet from 195.74.0.47
eli jotain se ilmeisesti tekee itekseen ????

Tälläiset modeemin tiedot:

@Lagittaja oli sitä mieltä että noilla skannaus- ilmoituksilla voi olla muukin aiheuttaja eli nuo ja se Elisan viesti voivat olla täysin erillisiä tapauksia. Itsellä huawei tekee juuri noita muttei ISP:ltä ole tullut mitään viestejä väärinkäytöstä.

Huawei B525

 

[tero-70]

Jatketaas taas ihmettelyä,Nyt käyty hakeen UUSI B715 elisa shopit kaupasta ,asennettu elisan turvapalvelut yms,yms.
Nyt huomasin ainakin sellaisen eron kun tuota LTE watch ohjelmaa käytin niin DNA huaweissa se Yhteysaika saattoi pysähtyä 2-10 minuutin kohdilla,ja ainoastaan kun käynnisti LTE watch ohjelman uudestaan niin taas se "toimi hetken",samoten kaikki ne "käppyrät" pysähty samalla kun aikakin.
Nyt ollut 3h yhteen menoon päällä LTE watch ohjelma Elisan B715 laitteessa ja edelleen kello käy ja käppyrät päivittyy.
Tiedä sitten onko vaan kyseessä se kun toinen on dna ja toinen elisa firmiksellä oleva laite ,mutta ajattelinpa sen tänne ilmoittaa jos joku viisaampi osaisi siihenkin vastata,Nyt vaan tarvii odotella ja ihmetellä että tuleeko elisalta vielä viestiä liittymän väärinkäytöstö,itsella alkaa loppuun ideat mistä se voisi sitten enää johtua(digiboksit,tv,wifi pesukone kaikki nyt poistettu verkosta.
Ps.jos jollain on tollanen dna715 huawei niin onko teillä tuollaista tr-069 hallinta siellä, tuossa omassani sellainen oli ainakin päällä(oletuksena,enkä siihen koskenut koska siinä oli maininta että jos haluat muuttaa näitä aseuksia niin ota yhteyttää ammattilaiseen "tyyliin"),ja moista asetusta ei nyt ainakaan tässä elisan versiossa edes ole.

 

[Vauhtimursu]

Varmaan sun tv on yrittäny lähettää pesukoneelles rakkauskirjeitä (roskapostia). Lähtisin jokaisen verkossa olevan laitteen vaan kulkemaan yksitellen läpi ja palauttelemaan tehdas asetuksia kaikkiin. Sen jälkeen vain default salasanat vaihtoon. Ite en pidä tv:tä verkossa muutakuin käytän kerran kuussa tarkistaakseni vain päivitykset jos jaksan. Tuo iot on yhtä kuraa ns. tavallisessa taloudessa jos laitteista ei ymmärrä juuri mitään. Se on vain kiva kun ne saa liitettyä verkkoon vailla minkäänlaista tietoturvaa. Mutta joo, en mäkään näistä ymmärrä sen enempää tää oli vähän turha kirjotus mutta elän hengessä mukana ja opettelen samalla Toivotaan että eivät sulje liittymääsi !

 

[Stanley H. Tweedle]

Asiaan sen enempää perehtymättä @dot1q tuossa jo viittasi etähallintaprotokollaan ja sen kolkutteluun. Valitettavasti ko. protokollan avulla yritetään ottaa laitteita hallintaan asiattomasti ja jotenkin minusta tuntuu, että Suomessa operaattorit eivät sitä edes käytä konfigurointiin, mihin se on alunperin tarkoitettu.

Elisa on siis viisaasti jättänyt firmiksestään koko protokollan pois, mutta DNA:n firmikseen se on jäänyt muodostaen tarpeettoman tietoturvariskin.

Tämä on siis spekulointia, mutta selittäisi tuon porttiskannauksen, jos krakkeri on saanut ujutettua omia käskyjään modeemiin etähallintaprotokollan kautta.

 

[Freeze]

@tero-70 onkohan sinulla sama case kuin minulla täällä, mutta eri ISP:llä?

DNA:n nimipalvelin lähettää paketteja, modeemi parkuu hälytyksiä? - Nettiyhteydet - tuki.dna.fi - DNA