- Anzeige -

Horizon meldet Firewall Warnungen

Hier geht es um die technischen Geräte zum Empfang des digitalen Fernsehens.

Re: Horizon meldet Firewall Warnungen

Beitragvon NoGi » 20.04.2016, 11:43

Kirlean hat geschrieben:ach ja und die doppelten starteinträge oder wie ihr es nannten wunderten mich auch!! also B.s. 178.178,.... aber laut recherche exestieren diese Ip´s wirklich!!!!


Dir ist aber schon klar, dass beliebige IPv4 Adressen existieren müssen, der IPv4 pool ist bis auf minimalste Teile komplett vergeben.

Was überhaupt nicht klar ist wie ein Paket, das an ein Ziel geschickt wird eine Senderadresse hat die nicht von deiner Horizon stammt.
Und wenn tatsächlich das Paket von dir (deiner Horizon) stammt, wieso mault dann die firewall?

Denkbar wäre ein infizierter Rechner in deinem lokalen Netz der eine Senderadresse spooft.

-NoGi
NoGi
Übergeordneter Verstärkerpunkt
 
Beiträge: 572
Registriert: 08.11.2012, 11:59
Wohnort: Metropolregion Rhein-Neckar

Re: Horizon meldet Firewall Warnungen

Beitragvon Kirlean » 20.04.2016, 20:35

sooooo habe heute nachdem ich gedroht habe meine gebühren zurück zu holen dann mal endlich n techniker anruf bekommen der sich schon den gesammten tag mit mir beschäftigt,.. ja auch er hatte die sorge da muss irgend nen rechner smartphone tablet oder so inviziert sein,.. weil solche aktionen und logs sehr untypisch sind für "normale" vpn bottunnel,...

also sagte er geben sie mir ma ihre handynummer denn gleich werden sie nix mehr nutzen können ;),.. so er rief mich dann aufs handy an,.. dann sagte er jetz gehn se ma auf die box machen da wlan aus,... ich tat es er so ok is aus ich sehs,... danke,.. nun ziehen sie alle lankabel ab die verbunden sind,... in dem monetn sagte er oh danke haben sie ja auch bereits getan xD,...
dann sagte er so wenn ihre box jetzt lustige sachen im display macht wundern sie sich nicht das bin ich,.. machen sie die ja nicht aus außer sie bekommen dafür von mir die anweisung ,...

nach 5 minuten kam von ihm ein uff ok es liegt nicht an ihren rechner ect,.. ihre box zeigt mir obwohl ich grad die firewall ausgemacht hab usw immer noch scans und floods an ,... ja ,.. ähhh ok dann versuchen wir mal was anderes ,.... trennen sie die box jetzt mal für zehn minuten vom strom,.. nicht den kippschalter komplett das kabel aus der steckdose ziehen,.. dann ruf ich sie nochmal zurück und dann schließen wir den strom mal wieder an,.... so 12 minuten später klingelte mein handy xD er so ich hoffe wir haben das problem jetzt behoben sie haben eine komplett neue IP bekommen und einen neuen Port zugeteilt auf nem komplett anderen server wie vorher,... also machen se ma wieder saft auf die box,schließen sie noch nix an an wlan oder kabel.. gesagt getan ,.. er sich dann mit mir unterhalten ,..

nach 5 minuten wieder ooooooohhhh,.. ok ich glaube wir haben ein ernstes problem,.. *da konnt ich mir mein lachen nicht verkneifen,.. und musst zanisch sagen ja jetzt nach drei monaten glaubt mir das auch mal einer von euch,... musst er auch lachen sagte naja also normal passiert sowas wenn irgend welche software gestört is wie treiber auf ihren pc oder anderer internetfähigen hardware,.. aber das haben wir ja bereits ausgeschlossen!!!!,... so lustich lustich jetzt habe ich eine "testfirmware" auf meiner box,..... und das scannen und flooden geht munter weiter ,... startadressen immer im asiatischen raum,.. ziele unterschiedlich,.. und die box benötigt ca 80% der bandbreite ohne das wlan an is oder irgend nen lan anschluss genutzt wird ;),

dann bat er mich ein remoteprogramm runterzuladen und weitere programme ( daten ip usw sniffer * ja auch wireshark ;) * auf meinen rechner und ihm darüber einen zugang zu gewähren ;) so das er sogar meinen rechner prüfen konnte, nachdem er das ca 1 1/2 stunden tat nebenbei über das prog mit mir chatete,.. sagte er ok dein rechner is eindeutig auch sauber, nicht das der als relay fungiert und immer wieder diese merkwürdigen daten auf die box schickt sobald du den an die box anschließt , nebenei sagte er ich habe meine software firewall sowie die hardwarefirewall die im hub worüber mein rechner als erstes läuft sehr gut eingestellt,..
da dürfte man nicht so leicht reinkommen/durchkommen,.. dann sagte er sperr jetzt gleich meinen zugang über das programm aber lösche es nich!!! wir befassen und morgen weiter damit.

Ach ja und weil ich auch den verdacht hatte das irgendwas verseucht ist habe ich alle moeglichen virenscanner trojanerscanner usw ueber meine zwei rechner laufen lassen sogar mein Tablette :P und das smarte Phone auf werkseinstellungen zurück gesetzt. ..und das nich erst heute...sogar beide rechner komplett gekillt und die backups von der externrn hd noch nicht aufgespielt danach.... und indirekt kam ja bei dem gespraech mit dem techniker raus das irgendwas an der firmware manipuliert wird selber die testfirmware machte ja wobei die komplett jungfreulich war und keinen kontakt zu meiner internetfaehigen hardware hatte, ja nach nen paar minuten lustige ip scans und ip floods xD
Kirlean
Kabelneuling
 
Beiträge: 8
Registriert: 20.03.2016, 12:02

Re: Horizon meldet Firewall Warnungen

Beitragvon bareas » 20.04.2016, 23:24

Hallo Zusammen,

bei mir sieht es seit ein paar Tagen ähnlich aus. Selbes Bild: Portscans im Minutentakt und IP Flooding.

Kleiner Auszug:
Apr 20 22:40:28: [Minor] Port Scan is detected (183.183.60.48:12214->178.178.203.180:1433 TCP) from module Firewall
Apr 20 22:38:47: [Minor] IP Flood is detected (82.82.196.11:443->178.178.203.180:55920 TCP) from module Firewall

Was ich nun zu der allgemeinen Diskussion beitragen kann ist folgendes:
Die Ziel IP ist immer eure öffentliche IP, sprich die IP eures Routers im Netz. Was hier aus meiner Sicht verkackt wurde ist die String Ausgabe im Logging der Horizon Box.
Es wäre schon ein erheblicher Zufall, dass wir alle derart massiv von Adressen angegriffen werden, bei denen die ersten Oktette immer gleich sind.
Für die These spricht auch, dass die Zieladresse also unsere eigene IP Adresse genauso im Log mit 1. Oktett = 2. Oktett ausgegeben wird.

Beispiel von Oben: 183.183.60.48:12214->178.178.203.180:1433 TCP

Quelladresse+Quellport (Angreifer laut Horizon-Log): 183.183.60.48:12214
--> Tatsächlicher Angreifer (zu 99,9%): 183.60.48.xxx:12214
Analog dazu...
Zieladresse+Zielport (ich laut Horizon-Log): 178.178.203.180:1433 TCP
--> Tatsächliche IP von mir (beispiel): 178.203.180.12:1433 TCP

Wie hier schon erwähnt wurde ist die Ziel-IP der eurigen sehr ähnlich. Ich behaupte sogar: Identisch ab dem 2. Oktett (logischerweise fehlt dann das letzte Oktett da hier das 1. Oktett doppelt vorkommt).
Meine qualifizierte Meinung dazu: Der Router erkennt korrekt die Scans und das Flooding und blockt es.
Die Ausgabe der IPs im Log ist aber falsch. (vll. hat da ein Programmierer copy-paste orgie veranstaltet).

Somit sind die Quell-Ips bzw. Angreifer IPs von uns nicht klar identifizierbar (wir kennen aufgrund des Fehlers im Logging das letzte Oktett nicht, Oktett 1 ist nicht brauchbar da falsch/kopiert/was auch immer).

Es wäre nett wenn ihr obiges mal verifizieren könntet (eigene IP ab Oktett 2. vergleichen).
Vll. findet jmd. die Argumentation schlüssig und bringt die mal bei UM ein, sollte aber schon beim zuständigen Firmware Entwickler landen.

Allgemein zum Angriff:
Möglich ist tatsächlich, dass der Adress-Range von UM von einem Bot-Netz angegriffen wird.
Aus meiner Sicht hilft da nur das entsprechende Sperren der IP-Adressen seitens UM.
Blöd nur wenn der Techniker die Möglichkeit zum Sperren hat.... und sich auf die "falschen IPs im Logging" stützt.

--> Kleiner Nachtrag: Eine Möglichkeit die echten Angreifer-IPs herauszubekommen ist ein Portforwarding einzurichten (also den Angriff zuzulassen) und ein Linuxsystem (z.b. Raspberry), quasi als sogenannten Honey-Pot wie NOGI bereits vorschlug, ins eigene Netz zu hängen (alles andere zur Sicherheit ausschalten/Trennen).
Den Zugriff über die eigentliche Angreifer-IP könnte man dann tracken.

Schöne Grüße
Bareas
bareas
Kabelneuling
 
Beiträge: 2
Registriert: 20.04.2016, 22:54

Re: Horizon meldet Firewall Warnungen

Beitragvon Kirlean » 21.04.2016, 02:12

Was du vorgeschlagen hast wegen der ips und copy paste salat.... an genau das dachte der Techniker auch als er sich heute glaub ich seinen gesammten arbeitstag mit mir befasste... hat der alles duchrgerechnet und sagte keines der beiden ips ist mit meiner identisch. .. er kam ja sogar auf die idee des offen machrn und dann sniffen... ich hab auch ubuntu als dual boot hab ich vorhin vergessen zu erwähnen worüber er dann mittels prog remote hatte auf meinen rechner(sagte ich ja auch)... somit konnte er dann ausschließen welche sachen von ihm kommen...er sagte danach ja auch das es an der frimware liegen muss... praktisch so das jemand die so geknackt hat.. da UM ja eine eigene hat nich die von samsung!!!! Das praktisch die box dann als pc fungiert also die der bot ist..


Deswegen hat er ja ne testfirmware auf meine box geknallt... aber der selbe fehler xD also an ihm nagt das ganz schön. .. während der telefonate merkte man das ihn das.. ich sag ma umgangssprachlich ..echt angefickt hat....

Aber wir haben die Gewissheit das es wohl kein Einzelfall ist.... da hat wohl irgend nen itler bei UM maechtigen mist gebaut beim eigen frimware rumprotscheln
Kirlean
Kabelneuling
 
Beiträge: 8
Registriert: 20.03.2016, 12:02

Re: Horizon meldet Firewall Warnungen

Beitragvon Leseratte10 » 21.04.2016, 14:44

Gibt es denn jetzt eigentlich irgend einen Grund, noch weiter über dieses Thema zu diskutieren? Es wurde doch schon in den ersten paar Posts erkannt, dass Unitymedia / Samsung die Anzeige der korrekten IP verbockt, das heißt, das sind einfach nur Pings / verworfene Pakete, die von irgend wo an eure IP geschickt werden.

Gibt es damit jetzt irgend ein Problem? In anderen Routern wie der Fritzbox würde sowas noch nicht mal ne Hinweismeldung im Log hinterlassen, die werden einfach verworfen und fertig ...

Das sind halt Portscans - die kriegt aber jede IP im Internet ganz automatisch, weil es jede menge Bots gibt die nix besseres zu tun haben als die ganze Zeit das ganze Internet auf offene SSH-Ports mit unsicheren Passwörtern abzusuchen.
Leseratte10
Glasfaserstrecke
 
Beiträge: 1272
Registriert: 07.03.2013, 16:56

Re: Horizon meldet Firewall Warnungen

Beitragvon Kirlean » 21.04.2016, 17:55

Leseratte10 hat geschrieben:Gibt es denn jetzt eigentlich irgend einen Grund, noch weiter über dieses Thema zu diskutieren? Es wurde doch schon in den ersten paar Posts erkannt, dass Unitymedia / Samsung die Anzeige der korrekten IP verbockt, das heißt, das sind einfach nur Pings / verworfene Pakete, die von irgend wo an eure IP geschickt werden.

Gibt es damit jetzt irgend ein Problem? In anderen Routern wie der Fritzbox würde sowas noch nicht mal ne Hinweismeldung im Log hinterlassen, die werden einfach verworfen und fertig ...

Das sind halt Portscans - die kriegt aber jede IP im Internet ganz automatisch, weil es jede menge Bots gibt die nix besseres zu tun haben als die ganze Zeit das ganze Internet auf offene SSH-Ports mit unsicheren Passwörtern abzusuchen.

nuja wenn das einen nich so viel bandbreite absaugen würde, und zu internet abbrüchen führen würd wärs ja auch kein problem!!!!
Kirlean
Kabelneuling
 
Beiträge: 8
Registriert: 20.03.2016, 12:02

Re: Horizon meldet Firewall Warnungen

Beitragvon Stiff » 21.04.2016, 18:31

Was mir dabei noch nicht klar ist: Die Firmware Deiner Box wird gehackt und macht irgendeinen Blödsinn.
Du bekommst eine neue Box und zack, gleiches Problem obwohl die Box sauber war.

UM hat inzwischen mehr als 500.000 Horizons am Start und die werden wohl kaum alle das gleiche Problem haben.

Wer findet den Fehler?
Stiff
Übergeordneter Verstärkerpunkt
 
Beiträge: 915
Registriert: 11.01.2013, 15:49

Re: Horizon meldet Firewall Warnungen

Beitragvon NoGi » 21.04.2016, 21:58

Stiff hat geschrieben:Was mir dabei noch nicht klar ist: Die Firmware Deiner Box wird gehackt und macht irgendeinen Blödsinn.
Du bekommst eine neue Box und zack, gleiches Problem obwohl die Box sauber war.

UM hat inzwischen mehr als 500.000 Horizons am Start und die werden wohl kaum alle das gleiche Problem haben.

Wer findet den Fehler?


Wie @bareas schon geschrieben hat und was ich schon länger vermute:
Die Verdoppelung des ersten Oktetts in Quell- und Zieladresse ist ein Firmware Bug.

Die Firewall Meldungen selbst sind, so blöd das klingt, völlig normal.
Ich hab mal auf die Schnelle das auth.log meines Raspis analysiert.

Auf den weitergeleiteten SSH Port 22 hatte ich zwischen 17.4. und heute
15334 Einlog-Versuche mit 14930 verschiedenen Namen von 22 verschiedenen Quell Adressen..

Beispiel:
Code: Alles auswählen
root@NoGiPi2:/var/log# head auth.log
Apr 17 07:35:22 NoGiPi2 sshd[19886]: Invalid user jmlrod from 41.208.71.32
Apr 17 07:35:22 NoGiPi2 sshd[19886]: input_userauth_request: invalid user jmlrod [preauth]
Apr 17 07:35:22 NoGiPi2 sshd[19886]: pam_unix(sshd:auth): check pass; user unknown
Apr 17 07:35:22 NoGiPi2 sshd[19886]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=41.208.71.32.static.ltt.ly
Apr 17 07:35:24 NoGiPi2 sshd[19886]: Failed password for invalid user jmlrod from 41.208.71.32 port 38513 ssh2
Apr 17 07:35:24 NoGiPi2 sshd[19886]: Received disconnect from 41.208.71.32: 11: Bye Bye [preauth]
Apr 17 07:35:30 NoGiPi2 sshd[19992]: Invalid user jmmclean from 41.208.71.32
Apr 17 07:35:30 NoGiPi2 sshd[19992]: input_userauth_request: invalid user jmmclean [preauth]
Apr 17 07:35:30 NoGiPi2 sshd[19992]: pam_unix(sshd:auth): check pass; user unknown
Apr 17 07:35:30 NoGiPi2 sshd[19992]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=41.208.71.32.static.ltt.ly

root@NoGiPi2:/var/log# grep "Invalid user" auth.log | cut -d\  --fields=8 | wc
  15334   15334  119190

root@NoGiPi2:/var/log# grep "Invalid user" auth.log | cut -d\  --fields=8 | sort -u | wc
  14930   14930  116582

root@NoGiPi2:/var/log#grep "Invalid user" auth.log | cut -d\  --fields=10 | sort -u
116.109.131.73
116.109.156.108
116.110.125.0
116.24.27.63
117.136.145.19
138.118.76.222
162.213.154.10
185.103.252.14
185.103.252.42
185.106.92.47
185.110.132.54
185.130.5.99
185.70.184.142
185.70.184.207
192.71.249.74
193.201.225.26
198.46.54.205
218.57.11.7
41.208.71.32
61.219.69.164
88.150.134.92
94.183.98.16
root@NoGiPi2:/var/log#



Das Ganze ist also kein Grund sich ins Hemd zu machen sondern der ganz normale Internet- Wahnsinn.

-NoGi
NoGi
Übergeordneter Verstärkerpunkt
 
Beiträge: 572
Registriert: 08.11.2012, 11:59
Wohnort: Metropolregion Rhein-Neckar

Re: Horizon meldet Firewall Warnungen

Beitragvon bareas » 21.04.2016, 22:31

Hallo nochmal.

@Kirlean: Dass deine Box gehackt ist oder eine hacked Firmware drauf ist halte ich für eher unwahrscheinlich.

Bezüglich der Port Scans ist das in der Tat wirklich ganz normaler "Internet-Wahnsinn" und stört normalerweise nicht.
Die Horizonbox ist zwar kein Lamborghini (Fritzbox) sondern eher ein Fiat Punto was das angeht, aber die paar Portscans sollten sie Leistungsmässig nicht ins wanken bringen.
Was bei mir allerdings hinzu kommt und ich nehme an bei Kirlean ist es ähnlich, ist dass der Traffic dennoch gnadenlos einbricht.

- Webseiten laden deutlich länger.
- Video-Streaming hakt und bricht ab.
- Im Prinzip befinde ich mich im 56K-Modem Zeitalter.

Das nahm ich überhaupt zum Anlass mal nach Wochen wieder in die Logs reinzuschauen.
Zuvor waren die Logs immer clean sprich es stand nichts drin.

Die Meldung IP-Flood Detected und die Masse an Anfragen deutet samt Traffic Einbruch auf eine Überlastung der Box hin --> quasi Denial of Service Angriff.
Es kann aber auch einfach Zufall sein, dass hier die Meldungen neu hinzukamen (firmware update) und gleichzeitig UM einfach Probleme hat.

Ich habe jetzt mal eine Störung gemeldet und werde mal aufs Feedback warten. Der Firmware-Bug seitens UM ist allerdings etwas peinlich.
Ein Hoch auf den abgeschafften Routerzwang! Ich freu mich aufs Jahresende.

@Kirlean hat sich dein Techniker nochmalig mit dir beschäftigt?

Grüße Bareas
bareas
Kabelneuling
 
Beiträge: 2
Registriert: 20.04.2016, 22:54

Vorherige

Zurück zu Digital-Receiver, TV-Geräte, CI Plus-Module, Smartcard usw.

Wer ist online?

Mitglieder in diesem Forum: Yahoo [Bot] und 16 Gäste