Dzisiaj jest 3 paź 2022, 09:28

Strefa czasowa UTC+1godz. [letni]




Nowy temat Odpowiedz w temacie  [ Posty: 9 ] 
Autor Wiadomość
 Tytuł: Asuswrt z Merlinem dziwne zachowanie routera - skanuje porty
Post: 3 wrz 2015, 21:35 
Offline
Użytkownik

Rejestracja: 27 sie 2015, 23:10
Posty: 13
Mega dziwna sprawa. Mój router Asus AC68U z firmware Merlina 378.55 wybudza mi urządzenia w sieci lokalnej! Podejrzewałem od dawna, że dysk Synology jest wybudzany przez router ale dotąd nie miałem dowodu.

W sieci jest jeszcze inny komputer z postawionym serwerem www na procie 80 i coś wbijało mi się co kilka minut na postawioną na nim stronę. Zrobiłem logowanie userów na serwerze www i okazało się, że stronę odwiedza adres 192.168.0.1 należący do mojego routera.

Jak mogę sprawdzić jaki proces mi skanuje sieć lokalną na routerze? Jest jakiś sposób na identyfikację procesu systemowego routera? Zastanawiam się też czy to nie jakiś intruz opanował moją skrzynkę.


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Asuswrt z Merlinem dziwne zachowanie routera - skanuje p
Post: 3 wrz 2015, 21:43 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 14083
Lokalizacja: Warszawa
Raczej nie. Zrób ps, zobacz co chodzi na nim, ew ubij to co nie wiesz i zobacz.

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Asuswrt z Merlinem dziwne zachowanie routera - skanuje p
Post: 4 wrz 2015, 11:16 
Offline
Użytkownik

Rejestracja: 27 sie 2015, 23:10
Posty: 13
Czy wydaje się tu coś podejrzane w tych procesach?

PID USER       VSZ STAT COMMAND
    1 admin     6120 S    /sbin/preinit
    2 admin        0 SW   [kthreadd]
    3 admin        0 SW   [ksoftirqd/0]
    4 admin        0 SW   [kworker/0:0]
    5 admin        0 SW   [kworker/u:0]
    6 admin        0 SW   [migration/0]
    7 admin        0 SW   [migration/1]
    8 admin        0 SW   [kworker/1:0]
    9 admin        0 SW   [ksoftirqd/1]
   10 admin        0 SW<  [khelper]
   11 admin        0 SW   [kworker/u:1]
   57 admin        0 SW   [sync_supers]
   59 admin        0 SW   [bdi-default]
   60 admin        0 SW<  [kblockd]
  114 admin        0 SW   [kswapd0]
  160 admin        0 SW   [fsnotify_mark]
  168 admin        0 SW<  [crypto]
  240 admin        0 SW   [mtdblock0]
  245 admin        0 SW   [mtdblock1]
  250 admin        0 SW   [mtdblock2]
  255 admin        0 SW   [mtdblock3]
  277 admin        0 SW   [kworker/0:1]
  278 admin        0 SW   [kworker/1:1]
  281 admin        0 SW   [mtdblock4]
  286 admin        0 SW   [mtdblock5]
  290 admin      664 S    hotplug2 --persistent --no-coldplug
  352 admin     6104 S    console
  354 admin     1384 S    /bin/sh
  360 admin        0 SWN  [jffs2_gcd_mtd4]
  363 admin     1376 S    syslogd -m 0 -S -O /tmp/syslog.log -s 256 -l 7
  366 admin     1376 S    /sbin/klogd
  459 admin     6112 S    /sbin/wanduck
  461 admin     1076 S    dropbear -p 22 -j -k
  463 admin     1168 S    /bin/eapd
  465 admin     6112 S    wpsaide
  467 admin     1728 S    nas
  469 admin     1352 S    /usr/sbin/acsd
  472 nobody    1092 S    dnsmasq --log-async
  478 admin     6320 S    httpd
  480 admin     1388 S    crond
  481 admin     1140 S    /usr/sbin/infosvr br0
  482 admin     1864 S    networkmap --bootwait
  485 admin     6372 S    watchdog
  486 admin     6112 S    watchdog02
  487 admin     6112 S    hour_monitor
  490 admin     6112 S    bwdpi_check
  495 admin     6112 S    ots
  500 admin     1156 S    cstats
  501 admin     1368 S    rstats
  522 admin        0 SW   [khubd]
  647 admin     6112 S    usbled
  648 admin     2200 S    u2ec
  649 admin     1212 S    lpd
  655 admin        0 SW   [scsi_eh_0]
  657 admin        0 SW   [usb-storage]
  696 admin     2200 S    u2ec
  697 admin     2200 S    u2ec
  787 admin     6112 S    ntp
  916 admin     2136 S    avahi-daemon: running [RT-AC68U-7E68.local]
  927 admin     1488 S    wred -B
  930 admin     1488 S    wred -B
  931 admin     1488 S    wred -B
  932 admin     1488 S    wred -B
  933 admin     1488 S    wred -B
  934 admin     1488 S    wred -B
  935 admin     1488 S    wred -B
  936 admin     1488 S    wred -B
  937 admin     1488 S    wred -B
  938 admin     1488 S    wred -B
  939 admin     1488 S    wred -B
  965 admin      696 S    qosd -i /dev/idpfw -f /tmp/bwdpi/qosd.conf -w eth0 -l br0 -u 253 -b
  966 admin     6112 S    bwdpi_wred_alive
  970 admin     1392 S    udhcpc -i eth0 -p /var/run/udhcpc0.pid -s /tmp/udhcpc -H remix -O33 -O249
  988 admin     3980 S    data_colld -i 1800 -p 43200 -b -w /tmp/bwdpi/dc/
  989 admin     3980 S    data_colld -i 1800 -p 43200 -b -w /tmp/bwdpi/dc/
  990 admin     3980 S    data_colld -i 1800 -p 43200 -b -w /tmp/bwdpi/dc/
  992 admin     3980 S    data_colld -i 1800 -p 43200 -b -w /tmp/bwdpi/dc/
  993 admin     3980 S    data_colld -i 1800 -p 43200 -b -w /tmp/bwdpi/dc/
 1047 admin     3980 S    data_colld -i 1800 -p 43200 -b -w /tmp/bwdpi/dc/


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Asuswrt z Merlinem dziwne zachowanie routera - skanuje p
Post: 4 wrz 2015, 11:44 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 14083
Lokalizacja: Warszawa
networkmap --bootwait ?

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Asuswrt z Merlinem dziwne zachowanie routera - skanuje p
Post: 4 wrz 2015, 17:48 
Offline
Użytkownik

Rejestracja: 27 sie 2015, 23:10
Posty: 13
Możesz ujawnić coś więcej - co mam z tym zrobić? - wpisać do konsoli,a jeśli tak to co robi to pocenie?

Załączam efekt użycia tcpdump:

tcpdump -i br0 dst host 192.168.2.162 and dst port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:58:31.284933 IP router.asus.com.33295 > 192.168.2.162.www: Flags [S], seq 52942906, win 5840, options [mss 1460,sackOK,TS val 4294949917 ecr 0,nop,wscale 4], length 0
12:58:31.285341 IP router.asus.com.33295 > 192.168.2.162.www: Flags [.], ack 914995428, win 365, options [nop,nop,TS val 4294949917 ecr 2773242], length 0
12:58:31.285525 IP router.asus.com.33295 > 192.168.2.162.www: Flags [P.], seq 0:39, ack 1, win 365, options [nop,nop,TS val 4294949917 ecr 2773242], length 39
12:58:31.286860 IP router.asus.com.33295 > 192.168.2.162.www: Flags [.], ack 1449, win 546, options [nop,nop,TS val 4294949917 ecr 2773242], length 0
12:58:31.286934 IP router.asus.com.33295 > 192.168.2.162.www: Flags [.], ack 1765, win 727, options [nop,nop,TS val 4294949917 ecr 2773242], length 0
12:58:31.287034 IP router.asus.com.33295 > 192.168.2.162.www: Flags [R.], seq 39, ack 1765, win 727, options [nop,nop,TS val 4294949917 ecr 2773242], length 0


Jak widać to ostatecznie potwierdzenie, że router wysyła te pakiety. Dzieje się tak na oryginalnym sofcie jak i na Merlina w wersji Firmware 378.50. Router wysyła te pakiety do każdego hosta, który życie w sieci.

Komunikacja jest inicjowana zaraz po stracie systemu, a potem cyklicznie się powtarza co "około" godzinę. Czasem jest to około 40 min, a czasem godzina. Nie ma reguły. Zdarzają się też ponowne wywołania do tego samego hosta po 5 minutach od poprzedniego zdarzenia.


Ostatnio zmieniony 4 wrz 2015, 17:56 przez lemin, łącznie zmieniany 1 raz

Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Asuswrt z Merlinem dziwne zachowanie routera - skanuje p
Post: 4 wrz 2015, 17:50 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 14083
Lokalizacja: Warszawa
killall networkmap

Co robi to polecenie nie wiem, ale nazwa sugeruje że robi poszukiwanie urządzeń w sieci - czyli ew może wybudzić coś.

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Asuswrt z Merlinem dziwne zachowanie routera - skanuje p
Post: 4 wrz 2015, 20:57 
Offline
Użytkownik

Rejestracja: 27 sie 2015, 23:10
Posty: 13
To chyba to go wybudza.

Napisałem taki skrypt, ale coś się wysypuje po restarcie routera. Jak go odpalam z łapy to działa bez problemu. Dopisałem go do services-start w /jffs/scripts/ - do auto-startu

Dodam, że skrypt wykonuje po restarcie pierwszą komendę poprawnie. Domniemanie, po tym, że po pierwszym zabiciu już nie wstaje jako "networkmap --bootwait" lecz jako "networkmap" Widzę to w procesach. Coś mi w tej pętli nie bangla. Dziwne po z łapy działa bez problemu.

#!/bin/sh

sleep 5
killall networkmap

x=0
while [ $x -le 10 ] ; do


PID=`pidof networkmap`

if [ $PID > 0 ]; then

echo $PID > /tmp/kilenlog.log
kill -9 $PID

fi

sleep 5


done


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Asuswrt z Merlinem dziwne zachowanie routera - skanuje p
Post: 4 wrz 2015, 21:24 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 14083
Lokalizacja: Warszawa
A nie masz możliwości wyłączenia go po prostu?

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Asuswrt z Merlinem dziwne zachowanie routera - skanuje p
Post: 5 wrz 2015, 13:29 
Offline
Użytkownik

Rejestracja: 27 sie 2015, 23:10
Posty: 13
Nie wiem jak to wyłączyć. Załatwiłem sprawę skryptem, który ubija ten proces.

Znalazłem to w tych dwóch miejscach:

/usr/sbin/networkmap
/www/images/New_ui/networkmap

Przeszukiwanie plików źródłowych nie przyniosło rezultatu. Więc nie wiem jak to wyłączyć.


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 9 ] 

Strefa czasowa UTC+1godz. [letni]


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów

Szukaj:
Przejdź do:  
designed by digi-led.pl
...Copyright © 2010-2013, Ekipa openrouter.info