RaspberryMatic: Telnet Login-Versuche Router

Einrichtung, Nutzung und Hilfe zu RaspberryMatic (OCCU auf Raspberry Pi)

Moderatoren: jmaus, Co-Administratoren

Antworten
Fux
Beiträge: 4
Registriert: 15.11.2018, 18:49

RaspberryMatic: Telnet Login-Versuche Router

Beitrag von Fux » 23.01.2023, 16:41

Hallo zusammen,


ich bekomme seit kurzem Mails von meinem Router (Lancom), dass meine Raspberrymatic-Geräte versuchen, sich per Telnet auf diesem einzuloggen.

Meldung sieht in etwa so aus:

Jan 22 04:00:59 router.xyz.local ADMIN-LOGIN_ALERT: Login from 192.168.xxx.yyy via Telnet failed


Fragen in die Runde:

1. Hat das schonmal jemand gehabt?
2. Welchem Zweck dient das?

Oder habe ich mir eine verseuchte Firmware eingefangen, die missbraucht wird?
Zuletzt geändert von Roland M. am 23.01.2023, 16:58, insgesamt 1-mal geändert.
Grund: Thema verschoben

Benutzeravatar
Baxxy
Beiträge: 7863
Registriert: 18.12.2018, 15:45
System: Alternative CCU (auf Basis OCCU)
Hat sich bedankt: 454 Mal
Danksagung erhalten: 1500 Mal

Re: RaspberryMatic: Telnet Login-Versuche Router

Beitrag von Baxxy » 23.01.2023, 17:04

Also deine "Raspberrymatic-Geräte" haben sicher keine eigene IPv4 Adresse, und Telnet können die HM/IP Aktoren/Sensoren m.W. auch nicht.

Bleibt also die Zentrale selbst.
Da müsstest du ja wissen ob 192.168.xxx.yyy die IP deiner Zentrale ist.
Meine arbeitet nur mit Zahlen. :wink:

Out-of-the-Box versucht keine RM sich irgendwo einzuloggen.
Spontan fällt mir nur das AddOn "HM-pdetect" ein das sich zwecks Anwesenheitserkennung auf Fritzboxen einloggt.
Oder doch irgendeine Seuche eingefangen... Irgendwelche Portweiterleitungen zur RM im Router aktiv?

Fux
Beiträge: 4
Registriert: 15.11.2018, 18:49

Re: RaspberryMatic: Telnet Login-Versuche Router

Beitrag von Fux » 23.01.2023, 17:24

Ja, mit "Raspberrymatic-Geräte" waren die Zentralen gemeint. Portweiterleitungen gibt es keine. Die Dinger sind von außen nicht erreichbar.

Das Letzte, was gemacht wurde, war ein FW-Update - allerdings über die eingebaute Automatik.

Ich denke ja auch, dass es entweder

- ein Feature ist (wie z.B. das von dir erwähnte Anwesenheitsding)

oder

- die Dinger infiziert sind. Wobei ich mir noch nicht recht erklären kann, wie die Infektion gelaufen sein soll.

Dritte denkbare Variante:

Die Firmware ist verseucht. Deshalb die Frage in die Runde, ob jemand anderes ähnliches Verhalten auch schon beobachtet hat.

Benutzeravatar
shartelt
Beiträge: 6419
Registriert: 14.01.2015, 14:59
System: Alternative CCU (auf Basis OCCU)
Hat sich bedankt: 364 Mal
Danksagung erhalten: 587 Mal

Re: RaspberryMatic: Telnet Login-Versuche Router

Beitrag von shartelt » 23.01.2023, 17:33

Fux hat geschrieben:
23.01.2023, 17:24
Die Firmware ist verseucht. Deshalb die Frage in die Runde, ob jemand anderes ähnliches Verhalten auch schon beobachtet hat.
nein.

Benutzeravatar
jmaus
Beiträge: 9063
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 378 Mal
Danksagung erhalten: 1467 Mal
Kontaktdaten:

Re: RaspberryMatic: Telnet Login-Versuche Router

Beitrag von jmaus » 23.01.2023, 17:51

Fux hat geschrieben:
23.01.2023, 17:24
Dritte denkbare Variante:

Die Firmware ist verseucht. Deshalb die Frage in die Runde, ob jemand anderes ähnliches Verhalten auch schon beobachtet hat.
Und das du dich einfach irrst oder das ein false positive alarm ist ist keine denkbare vierte Option? Bis auf diese ominöse Logausgabe hast du ja noch nichts gezeigt was ggf. dafür sprechen würde, denn RaspberryMatich definitiv keinerlei telnet zugriffe auf port 23 und schon gar nicht auf den zentralen router im lokalen Netzwerk.
RaspberryMatic 3.67.10.20230114 @ Proxmox – ~195 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker – GitHub / Twitter / Facebook / Sponsors

Fux
Beiträge: 4
Registriert: 15.11.2018, 18:49

Re: RaspberryMatic: Telnet Login-Versuche Router

Beitrag von Fux » 23.01.2023, 17:55

Bis auf die Logs des Routers habe ich bisher nichts. Das stimmt. Allerdings ist Lancom (der Routerhersteller) jetzt keine Firma, die dafür bekannt wäre, falsche Logs auszugeben. Ich gehe also erstmal davon aus, dass es einen Loginversuch (in Wahrheit sind es mehrere von mehreren Zentralen) gegeben hat.

Klar kann ich die Telnet-Ports im Router auch einfach zu machen. Aber dann weiß ich nicht, was mit meinen Zentralen los ist - warum sie so ein Eigenleben entwickeln.

Und vor allem: Was sie noch so in meinem Netz anstellen.

Fux
Beiträge: 4
Registriert: 15.11.2018, 18:49

Re: RaspberryMatic: Telnet Login-Versuche Router

Beitrag von Fux » 23.01.2023, 17:58

Ergänzende Frage: Welche Logs gibt es auf den Zentralen, die evtl. einen Abgleich mit den Logs im Router ermöglichen würden?

Gibt's da auch Syslogs/Authlogs o.ä.?

Falls die Zentralen verseucht sind, könnten die Logs natürlich verfälscht sein. Aber falls nich, könnten sie evtl. auch aufklären, wo der Spuk herkommt.

MichaelN
Beiträge: 7224
Registriert: 27.04.2020, 10:34
System: CCU
Hat sich bedankt: 547 Mal
Danksagung erhalten: 1162 Mal

Re: RaspberryMatic: Telnet Login-Versuche Router

Beitrag von MichaelN » 23.01.2023, 18:01

Zentrale mal abklemmen. Kommen die Meldungen dann weiterhin...
LG, Michael.

Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.

Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++

Benutzeravatar
jmaus
Beiträge: 9063
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 378 Mal
Danksagung erhalten: 1467 Mal
Kontaktdaten:

Re: RaspberryMatic: Telnet Login-Versuche Router

Beitrag von jmaus » 23.01.2023, 18:04

Fux hat geschrieben:
23.01.2023, 16:41
Jan 22 04:00:59 router.xyz.local ADMIN-LOGIN_ALERT: Login from 192.168.xxx.yyy via Telnet failed
Ah, moment. Ich denke ich könnte den Grund haben. Immer Sonntags um 04:00 Uhr Nachts führt RaspberryMatic ja einen Portforwarding check durch und dieser ist im Grunde ein Portscan via "nmap" gegen den aktuell aktiven router bzw. dessen öffentliche IP Adresse. Und dieser Portscan kommt eben auch natürlich an dem Telnet port (23) deines routers vorbei.

Mehr dazu siehe hier:

https://github.com/jens-maus/RaspberryM ... warding.sh

Was hier also passiert ist, das dein Router wohl meint da probiert sich jemand auf Port 23 (telnet) einzuloggen nur weil da eine Prüfung nach offenen Ports passiert. Du kannst das ja mal versuchen zu verifizieren indem du diesen Skript manuell (/bin/checkPortForwaring.sh) auf der Kommandozeile aufrufst und wenn dann diese Meldung kommt liegt es genau daran. Dann hast du die Option das einfach zu ignorieren oder aber den Portforwarding Check unter "Systemsteuerung -> Erweiterte Einstellungen" abzuschalten wenn du dir sicher bist das du nicht vor einem eventl. kritischen Portforwarding gewarnt werden willst/musst.
RaspberryMatic 3.67.10.20230114 @ Proxmox – ~195 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker – GitHub / Twitter / Facebook / Sponsors

Antworten

Zurück zu „RaspberryMatic“