[GELÖST] RaspberryMatic: Telnet Login-Versuche Router

[Fux]

Hallo zusammen,


ich bekomme seit kurzem Mails von meinem Router (Lancom), dass meine Raspberrymatic-Geräte versuchen, sich per Telnet auf diesem einzuloggen.

Meldung sieht in etwa so aus:

Jan 22 04:00:59 router.xyz.local ADMIN-LOGIN_ALERT: Login from 192.168.xxx.yyy via Telnet failed


Fragen in die Runde:

1. Hat das schonmal jemand gehabt?
2. Welchem Zweck dient das?

Oder habe ich mir eine verseuchte Firmware eingefangen, die missbraucht wird?

[Baxxy]

Also deine "Raspberrymatic-Geräte" haben sicher keine eigene IPv4 Adresse, und Telnet können die HM/IP Aktoren/Sensoren m.W. auch nicht.

Bleibt also die Zentrale selbst.
Da müsstest du ja wissen ob 192.168.xxx.yyy die IP deiner Zentrale ist.
Meine arbeitet nur mit Zahlen.

Out-of-the-Box versucht keine RM sich irgendwo einzuloggen.
Spontan fällt mir nur das AddOn "HM-pdetect" ein das sich zwecks Anwesenheitserkennung auf Fritzboxen einloggt.
Oder doch irgendeine Seuche eingefangen... Irgendwelche Portweiterleitungen zur RM im Router aktiv?

[Fux]

Ja, mit "Raspberrymatic-Geräte" waren die Zentralen gemeint. Portweiterleitungen gibt es keine. Die Dinger sind von außen nicht erreichbar.

Das Letzte, was gemacht wurde, war ein FW-Update - allerdings über die eingebaute Automatik.

Ich denke ja auch, dass es entweder

- ein Feature ist (wie z.B. das von dir erwähnte Anwesenheitsding)

oder

- die Dinger infiziert sind. Wobei ich mir noch nicht recht erklären kann, wie die Infektion gelaufen sein soll.

Dritte denkbare Variante:

Die Firmware ist verseucht. Deshalb die Frage in die Runde, ob jemand anderes ähnliches Verhalten auch schon beobachtet hat.

[shartelt]

Die Firmware ist verseucht. Deshalb die Frage in die Runde, ob jemand anderes ähnliches Verhalten auch schon beobachtet hat.

nein.

[jmaus]

Dritte denkbare Variante:

Die Firmware ist verseucht. Deshalb die Frage in die Runde, ob jemand anderes ähnliches Verhalten auch schon beobachtet hat.

Und das du dich einfach irrst oder das ein false positive alarm ist ist keine denkbare vierte Option? Bis auf diese ominöse Logausgabe hast du ja noch nichts gezeigt was ggf. dafür sprechen würde, denn RaspberryMatich definitiv keinerlei telnet zugriffe auf port 23 und schon gar nicht auf den zentralen router im lokalen Netzwerk.

[Fux]

Bis auf die Logs des Routers habe ich bisher nichts. Das stimmt. Allerdings ist Lancom (der Routerhersteller) jetzt keine Firma, die dafür bekannt wäre, falsche Logs auszugeben. Ich gehe also erstmal davon aus, dass es einen Loginversuch (in Wahrheit sind es mehrere von mehreren Zentralen) gegeben hat.

Klar kann ich die Telnet-Ports im Router auch einfach zu machen. Aber dann weiß ich nicht, was mit meinen Zentralen los ist - warum sie so ein Eigenleben entwickeln.

Und vor allem: Was sie noch so in meinem Netz anstellen.

[Fux]

Ergänzende Frage: Welche Logs gibt es auf den Zentralen, die evtl. einen Abgleich mit den Logs im Router ermöglichen würden?

Gibt's da auch Syslogs/Authlogs o.ä.?

Falls die Zentralen verseucht sind, könnten die Logs natürlich verfälscht sein. Aber falls nich, könnten sie evtl. auch aufklären, wo der Spuk herkommt.

[MichaelN]

Zentrale mal abklemmen. Kommen die Meldungen dann weiterhin...

[jmaus]

Jan 22 04:00:59 router.xyz.local ADMIN-LOGIN_ALERT: Login from 192.168.xxx.yyy via Telnet failed

Ah, moment. Ich denke ich könnte den Grund haben. Immer Sonntags um 04:00 Uhr Nachts führt RaspberryMatic ja einen Portforwarding check durch und dieser ist im Grunde ein Portscan via "nmap" gegen den aktuell aktiven router bzw. dessen öffentliche IP Adresse. Und dieser Portscan kommt eben auch natürlich an dem Telnet port (23) deines routers vorbei.

Mehr dazu siehe hier:

https://github.com/jens-maus/RaspberryM ... warding.sh

Was hier also passiert ist, das dein Router wohl meint da probiert sich jemand auf Port 23 (telnet) einzuloggen nur weil da eine Prüfung nach offenen Ports passiert. Du kannst das ja mal versuchen zu verifizieren indem du diesen Skript manuell (/bin/checkPortForwaring.sh) auf der Kommandozeile aufrufst und wenn dann diese Meldung kommt liegt es genau daran. Dann hast du die Option das einfach zu ignorieren oder aber den Portforwarding Check unter "Systemsteuerung -> Erweiterte Einstellungen" abzuschalten wenn du dir sicher bist das du nicht vor einem eventl. kritischen Portforwarding gewarnt werden willst/musst.

[Fux]

Ja, das war's. Danke!