7270 - nach Hause telefonieren, trotz freetz

[cando]

Hallo,

ich beobachte seit einer Weile, seitdem meine iptables richtig loggen, meine Box etwas genauer und mir ist aufgefallen, dass die Box trotz mod und statischem einbinden der externen Module (TAM,etc) alle 1-2 Tage nachts nach Hause telefonieren will zum ftp Server von AVM:

<4>[IPT] DENY-FRITZ-DSL      IN= OUT=dsl SRC=169.254.2.1 DST=212.42.244.73 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=30160 DF PROTO=TCP SPT=1405 DPT=21 WINDOW=5840 RES=0x00 SYN URGP=0 
<4>[IPT] DENY-FRITZ-DSL      IN= OUT=dsl SRC=169.254.2.1 DST=212.42.244.73 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=30161 DF PROTO=TCP SPT=1405 DPT=21 WINDOW=5840 RES=0x00 SYN URGP=0 
<4>[IPT] DENY-FRITZ-DSL      IN= OUT=dsl SRC=169.254.2.1 DST=212.42.244.73 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=30162 DF PROTO=TCP SPT=1405 DPT=21 WINDOW=5840 RES=0x00 SYN URGP=0 
<4>[IPT] DENY-FRITZ-DSL      IN= OUT=dsl SRC=169.254.2.1 DST=212.42.244.73 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=30163 DF PROTO=TCP SPT=1405 DPT=21 WINDOW=5840 RES=0x00 SYN URGP=0 
<4>[IPT] DENY-FRITZ-DSL      IN= OUT=dsl SRC=169.254.2.1 DST=212.42.244.73 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=30164 DF PROTO=TCP SPT=1405 DPT=21 WINDOW=5840 RES=0x00 SYN URGP=0 
<4>[IPT] DENY-FRITZ-DSL      IN= OUT=dsl SRC=169.254.2.1 DST=212.42.244.73 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=30165 DF PROTO=TCP SPT=1405 DPT=21 WINDOW=5840 RES=0x00 SYN URGP=0

Ich habe alles herausgeschmissen, was irgendwie nach backdoor aussieht.
(TR069, Auto Update etc.). So was geschwätziges muss man wohl mit iptables würgen. Habt Ihr eine Idee, wo noch ein versteckter ftp Aufruf sein könnte?

Ich beobachte mal weiter.

 

[hermann72pb]

Wie kannst du dir sicher sein, dass du Autoupdate komplett gekillt hast? Die Updatefunktion an sich schon, aber dass es gecheckt wird, ob Updates vorhanden sind oder nicht? Dies wird doch irgendwo in Tiefen von AVM-cgi-Skripte realisiert. Wenn schon, dann muss man es dort "töten".
Trotzdem ist es interessant zu wissen, dass wenigstens einer hier sich ernsthaft darüber Gedanken macht, was denn von der Box alles gesendet wird.

MfG

 

[olistudent]

Mir scheint als wäre das der ctlmgr. In der ar7.cfg hab ich folgendes gefunden:

unattended_update {
        update_found = no;
        no_update_found_time = "1970-01-01 01:00:00";
        priority = 1;
        check_intervall = 168;
}

MfG Oliver

 

[cando]

Protokollieren der AVM User

Ich hab da noch eine Stelle gefunden, bei der die Box nach Hause telefoniert:

in

./usr/www/avm/html/de/js/onlinecheck.js

var check = new OnlineCheck("http://help.avm.de/images/connection-test.gif");

wird auf der Startseite / Infoseite die Verfügbarkeit der Internetverbindung durch den Aufruf eines Pixel-Gifs bei AVM realisiert.

D.H, dass im Serverlog von AVM bei jedem Aufruf des UI ein schöner Eintrag mit allen Informationen zum Browser, Betriebssystem, angemeldeter User, aktuelle öffentliche IP Adresse etc. entsteht, auch wenn man gar nichts von AVM will.

Ist schon interessant, wie die Hersteller zu Informationen über ihre Kundschaft kommen....

Ich habe die AVM Adresse in meiner Firewall gesperrt, nun ist meine Box für AVM immer offline

Ich muss mir mal einen Patch dafür überlegen...

 

[cuma]

Sauerei dass die da einen Webbug eingebaut haben! Fände einen Patch dagegen prima.

 

[MaxMuster]

Beim Freetzen ändern in http://trac.freetz.org/..... und schon wissen wir das alles über die Freetz-User ;-)

Im Ernst: Ändern auf 127.0.0.1 oder gleich die ganze Zeile rauspatchen.

Jörg

 

[Silent-Tears]

Nun, er Vorteil ist, dass man sieht, wenn die Kiste Online ist auf der Seite. Der Nachteil, wenn man das Teil rauspatched ist, dass man Offline ist laut der Seite, oder?

In der /etc/hosts ändern, die Zeile rauspatchen oder auf www.freetz.org ändern

Oh, da war wer schneller

 

[cando]

Ne, man ist weiterhin online im UI, nur eben nicht mehr für AVM. Den Online Status bekommen die zusätzlich vom dsld, samt ip Adresse etc.

Das Gif ist nur zu Spionagezwecken gut.

 

[Silent-Tears]

Uih, dann patchen wir das auf freetz.org, damit wir endlich wissen, wie viele leute am tag ihr avm-webinterface nutzen

Nee, aber im Ernst, da finden wir was

Edit: Ich hab mal kurz ins JS geschaut und denke, dass die da noch mehr mit machen. Denn da wird nicht nur der "bug" geladen, sondern einiges mehr getan wie z.B. der Test beim Email-Part aktiviert.

 

[frank_m24]

Hallo,

keine Boykott- oder Attackenaufrufe gegen Hersteller! Das steht explizit in den Forumregeln und gilt auch hier und für euch.
Ich hab den überflüssigen Krempel entsorgt.

 

[hermann72pb]

Schade... Sie dürfen uns bespitzeln und wir müssen nur zusehen. Manchmal muss man eben aktiv agieren, sonst verstehen solche Riesen, wie AVM es nicht anders. Ich wäre sehr stark dafür die Stelle mit meiner vorgeschlagenen wget-Konsequenz zu patchen (die leider die Zensur hier nicht überlebt hatte), damit sie wenigstens mitkriegen, dass wir auch hier nicht doof sind. Man kann wohl diese OnlineCheck-Routine so preparieren, dass sie nur das Richtung AVM sendet, was man will. Den check komplett weg zu nehmen (rauspatchen) finde ich zu schade. Sie müssen es zu spüren bekommen, sonst kapieren sie es nicht.

MfG

 

[frank_m24]

Hallo,

man könnte es auch einfach mal auf offiziellem Wege versuchen, anstatt hier irgendwelche hanebüchenen Attacken zu verbreiten.

Was hast du denn davon? Bestenfalls wird der AVM Internetzugang ein bisschen langsamer. Ob du damit Einfluss auf die Implementierung nimmst? Allenfalls in der Form, dass AVM sich was einfallen lässt, euch das Leben schwerer zu machen. Unterm Strich ist es nur kontraproduktiv, wenn man es zu Ende denkt. Mal ein bisschen den bockigen Jungen spielen, um es den Großen mal zu zeigen, leider ohne die Konsequenzen bis zu Ende zu denken. Da hatte ich euch echt subtilere Ansätze zugetraut.

 

[Silent-Tears]

@herman: Das würde 0 bringen. Ich habe mal versucht, einen meiner Server im Kundenauftrag zu plätten, einfach weil er wissen wollte, ob das möglich ist. Ich hab von unseren Firmenservern, die am Netz hängen - und das sind wirklich einige - aus versuche, ddos, pingfloods, wgets und weiss der Teufel was an einfachen möglichkeiten versucht, aber mehr als etwas langsamer wurde er nicht, bzw. hat ab und an mal ein temporarily unavailable geliefert. Aber mal ehrlich: Wenn 20 Server mit 100MBit-Anbindung einen Server versuchen, in die Knie zu zwingen, und das nicht zuverlässig schaffen, wie sollte dann grössere Hardware wie das Zeug auf AVM-Seite davon beeindruckt sein? Das nicht mehr ordentlich nach bösartigen Fehlern durchsuchen kann, und jemand die eigetnlichen Probleme übersieht, sie vielleicht offline sind und dann ist das Geschrei wieder gross.

Nimm den offiziellen Weg, imho weiss ich nicht, wieso ihr euch so aufregt. Ich habe doch geschrieben, dass die Funktion tatsächlich auch anderweitig aufgerufen wird und für sinnvolles. Ergo ist es ncith si wirklich beste Implementierung, aber das Teil ist nicht ausschliesslich zum Bespitzeln da.

Sollten sie übrigens damit "Bespitzeln" (AVM würde sich strafbar machen wenn sie nicht drauf hinweisen irgendwo in den AGB), wäre es reichlich arm von derne Seite. Ich hab AVM mehr zugetraut als einen webbug, der im OpenSource-Teil der Firmware so offensichtlich eingebaut ist. Ehrlich. Es gibt so viele Stellen irgendwo im closed-source-bereich....

 

[cando]

Ich meine auch, ein kleiner Patch oder eine Firewall Regel, die den Verkehr zum Hersteller blockt und gut is.

Es hilft nichts auf AVM herumzuprügeln. Nahezu jede größere Software auf dem Rechner baut Verbindungen zum Hersteller unter verschiedenen Vorwänden auf - natürlich nur zu unserem Besten : Automatische Update Suche, News über neue Produkte, Registrieren der Software, Funktionalitäten Erweiterungen, Nutzungsstatistiken zur Verbesserung der Software etc....

Viele haben gar kein "Deaktivieren" Knopf oder ignorieren den trotzdem. Ich denke da an Adobe (Flash Player, Akrobat Reader), Sun (Java VMs etc), MS, ...
Da ist AVM in guter Gesellschaft. In den Lizenzbedingungen, die man immer so schnell wegklickt steht das bei seriösen Firmen sogar explizit drin, was sie alles sammeln und verwerten, und das man sich damit einverstanden erklärt, wenn man das Produkt nutzen will. Die Anwort bei Anfragen ist ja meist, es sind nur Nutzungsstatistiken und keine personenbezogenen Daten...

Es hilft also nur eine gute Firewall zum Selbstschutz, die entsprechend den Verkehr analysiert und Unerwünschtes blockt. Alles andere ist ein Kampf gegen Windmühlen.

 

[hermann72pb]

@Silent-Tears: Doch, doch, wget kann schon mal wunder bewirken, das unterschätzt du nur. Sei es deren Logs, die eventuell voll gelaufen wären, oder Traffik oder was auch immer. Es ist schon klar, dass man bei einer Kurzbelastung, die du im Auftrag ausprobiert hast den Server nur sehr schwer und mit viel Aufwand vollständig lahm legen kann. Wenn man es eben auf die Langzeit bezogen betrachtet und wenn man bedenkt, dass die meisten Eingreifer aus dem dynamischen IP-Bereich in Scharen kommen würden, dann bliebe der AVM nichts anderes, als ihre gif-Datei vollständig zu blocken. Das dürften sie aber nicht, sonst würden sie auch andere Boxen lahm legen. Also, wenn man es wirklich breit gezogen hätte, wäre es schon eine Maßnahme gewesen, deren Auswirkungen man gar nicht abschätzen kann. Von daher akzeptiere ich eure Aufrufe auf dem legalen Wege zu bleiben und das "Nach-Hause-Anrufen" passiv zu blocken.

@cando: Ich bin weiterhin gespannt, was du da sonst alles mit iptables aufspürst. Hat eigentlich jemand mit iptables und aktivem tr069/tr064 schon in die Logs reingeschaut, wie oft die Box nach 1und1 und Co. "telefoniert"?

MfG

 

[linuxkasten]

Jep. Patch, und gut is
Übrigens: schön herausgefunden, cando!

 

[Silent-Tears]

Das hätte die Boxne nicht lahmgelegt, sondern einfach nur einen Timeout beim Image-Object fabriziert und die EMail-Test-funktion hätte nicht mehr funktioniert.
Dass dieses Image einen sinnvollen Zweck erfüllt hat und nur der WEg der Implementierung nicht sonderlich fein ist.

 

[cando]

Ich habe per Firewall allen Verkehr zu AVM großflächig gesperrt mit REJECT icmp-net-prohibited in der OUTPUT und FORWARD chain (ein ganzes class C - Netz 212.42.244.0/24 , um alle Server zu erwischen, es ist ja nicht nur einer).

Bisher funktioniert alles wie gehabt, kann keine Einschränkunen feststellen, auch die Automatischen Status Mails (Anrufliste) und TAM Benachrichtigungen funktionieren unverändert, das Fritz UI ist dadurch auch nicht langsamer geworden (kein Timeout warten).

Was nicht mehr gehen wird ist die Hilfe, Nachladen von Plugins, Registrieren von Fritz!Mini's, automatische Firmware Angebote / Update Benachrichtigungen, Software Angebote und die Aktualisierungen im Hintergrund (ftp jobs, einmal pro Woche im Hintergrund Nachts zum AVM Server). Und das sind Sachen, die ich ohnehin nicht haben will.

 

[Silent-Tears]

Guck in den Sourcecode, was von der EMailfunktion eingeschränkt ist. Wenns denn interessiert

 

[hermann72pb]

@cando: Zurück zu deinem Beitrag #1. Du hast doch zunächst behauptet, es würde über ftp nach Hause telefoniert. Die Stelle, die du herausgefunden hast macht es allerdings über http. Was gilt denn nun, http oder ftp? Oder checken sie es erstmal mit diesem gif und bauen dann die Verbindung zu ftp?
Übrigens, wenn es wirklich so ablaufen würde, würde es in meinen Augen erklären, warum der FTP-Server von AVM letzte Zeit zu oft um Wochenende herum down ist. Der Server kommt einfach mit den immer mehr werdenden Abfragen von den Boxen nicht klar. Entweder haben sie dort Logüberlauf, oder Anzahl der Parallelverbindungen/Instanzen von FTP-Server ist begrenzt, oder etwas in die Richtung. Ich glaube nicht, dass wir mit unserem FREETZ und dem Download der Quellen daran schuld sind.
@Silent-Tears: Wäre es dann sinnvoll die Abfrage auf localhost und z.B. auf favicon, oder index.html oder auf was auch immer umzulegen? Denn es wird bestimmt nur die Existenz der Datei gecheckt, nichts weiteres?

MfG