User: Skridufell - í lagi að eyða?


Höfundur
coldcut
Vaktari
Póstar: 2192
Skráði sig: Mið 21. Nóv 2007 02:25
Reputation: 0
Staðsetning: /dev/random
Staða: Ótengdur

User: Skridufell - í lagi að eyða?

Pósturaf coldcut » Lau 20. Jún 2009 15:45

Sælir

Ég var að spá í hvort það væri í lagi að eyða þessum user, skridufell, útaf "user list" á routernum mínum. Hann er skráður sem "Technical support" þannig að þetta hlýtur að vera frá Símanum.
Svo er ein önnur spurning...í "user list" eru síðan "Flags" og undir því er admin(ég) með U en skridufell með R. Hvað þýðir þetta?
Ef þið fattið ekki alveg hvað ég er að tala um þessi "Flags", telnetið þá bara inná routerinn ykkar og skrifið user list og þar ætti þetta að vera ;)

með fyrirfram þökk




Cikster
spjallið.is
Póstar: 400
Skráði sig: Lau 11. Mar 2006 13:02
Reputation: 16
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf Cikster » Lau 20. Jún 2009 16:30

Ég hef sterkan grun um að þetta sé aðgangurinn sem síminn gerði þannig að þeir geti uppfært routerinn gegnum netið.

R flag þýðir einfaldlega að þetta er Remote user sem má tengjast gegnum internetið.

Ég persónulega eyddi út þessum notanda eftir að einn daginn hætti routerinn minn að virka þegar allt í einu var komið vitlaust config á routerinn hjá mér. Semsagt ég er með ISDN útgáfu af router en þeir settu p/pots hugbúnaðinn inn á hann þannig að VPC/VCI tölurnar voru vitlausar og ég gat ekki valið réttar tölur. Þurfti að finna gamla routerinn minn til að downloada réttu firmware svo ég gæti flassað hann aftur.

Gaman að sjá að einhver annar hefur fundið þetta "backdoor" sem síminn skildi eftir í routerunum hjá fólki. :)




Höfundur
coldcut
Vaktari
Póstar: 2192
Skráði sig: Mið 21. Nóv 2007 02:25
Reputation: 0
Staðsetning: /dev/random
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf coldcut » Lau 20. Jún 2009 16:41

Þannig að ég eyði bara þessu dæmi...hef engan áhuga á að þeir séu að fikta í routernum mínum. Get séð um það sjálfur ;) En ef ég þarf að reseta routerinn, kemur þessi user þá aftur eða?

EDIT: andskotinn ég er ekki að ná að eyða honum =/ Einhver tip?

Það kemur alltaf

Kóði: Velja allt

{admin}=>:user delete name=skridufell
[mlp] Current user isn't allowed to delete specified user.
Síðast breytt af coldcut á Lau 20. Jún 2009 19:32, breytt samtals 2 sinnum.




Cikster
spjallið.is
Póstar: 400
Skráði sig: Lau 11. Mar 2006 13:02
Reputation: 16
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf Cikster » Lau 20. Jún 2009 18:11

minnir að ég hafi farið á heimasíðuna á routernum, savað config skránna og hand editað notanda út þar og sent configið aftur á routerinn




Höfundur
coldcut
Vaktari
Póstar: 2192
Skráði sig: Mið 21. Nóv 2007 02:25
Reputation: 0
Staðsetning: /dev/random
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf coldcut » Sun 21. Jún 2009 19:42

ókei...skil ekki alveg hvað þú ert að meina en ég fékk eina wild idea.

hvað með að flusha user accountana og gera superuser? Heldurðu að ég mundi þá losna við skridufell?
eða er jafnvel hægt að loka á remote access á einhvern hátt?




akarnid
Ofur-Nörd
Póstar: 241
Skráði sig: Lau 04. Nóv 2006 22:35
Reputation: 10
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf akarnid » Mið 24. Jún 2009 19:08

Held þið losnið ekkert sona auðveldlega við notandann. Þetta er harðkóðað í firmwareið þannig að ef routerinn er resettaður þá kemur þessi user inn aftur.

Þetta er til að þess að starfsmenn tækniþjónustu Símans geti remote adminað routerana, líkt og gert er með Cisco búnað. En þeir eru ekkert byrjaðir á því neitt ennþá.




Cikster
spjallið.is
Póstar: 400
Skráði sig: Lau 11. Mar 2006 13:02
Reputation: 16
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf Cikster » Mið 24. Jún 2009 20:04

Ég fór bara í browserinn minn og valdi Speedtouch - Configuration - Save or Restore Configuration

Þar savaði ég user.ini filinn inn á tölvuna hjá mér og opnaði í notepad. Notendurna getur þú fundið undir [ mlpuser.ini ] hlutanum og jú þá losnar maður auðveldlega við þennan ljóta remote notanda. Síðan er bara fara á sama stað og Restora þessa ini skrá sem þú ert búinn að breyta.

Fyrir þá sem vilja vita meira þá er þessi notandi notaður af ACS hlutanum þannig að endilega leitið að því í þessari ini skrá og á netinu.

akarnid ... starfsmenn tækniþjónustu símans mega .... fyrst þeir vita ekki að ISDN routerarnir nota aðrar VPI/VCI tölur. Ég lokaði á þá hjá mér og hef engan áhuga á að hleypa þeim inn aftur.

Besta lausnin væri eflaust að ná í nýtt firmware frá speedtouch sjálfum og stilla bara VPI/VCI tölurnar sjálfur og vera alveg laus við möguleikann á að síminn nái að klúðra routernum hjá manni.




Höfundur
coldcut
Vaktari
Póstar: 2192
Skráði sig: Mið 21. Nóv 2007 02:25
Reputation: 0
Staðsetning: /dev/random
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf coldcut » Mið 24. Jún 2009 22:18

ókei ég er kominn inní user.ini skránna og var að spá...er nóg að eyða bara línunni sem segir

Kóði: Velja allt

add name=skridufell password=...
eða þarf ég að sansa þetta eitthvað meira?

btw...er ekki hægt að encodea þetta password sem er á honum?

en annars þarf held ég ekkert að eyða honum, þú breytir bara

Kóði: Velja allt

defremadmin=enabled
í skridufells línunni í

Kóði: Velja allt

defremadmin=disabled
eða eyðir því bara?

það mundi þá þýða að remote access væri útilokaður á þessum account

am I right? 8-[




AntiTrust
Stjórnandi
Póstar: 6354
Skráði sig: Þri 19. Ágú 2008 20:58
Reputation: 161
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf AntiTrust » Fim 25. Jún 2009 02:35

Afhverju viltu eyða þessum aðgangi?

Ef það er upp á aukið sec., skil ég þig vel. Hinsvegar eru AFAR fáir sem vita pass inn á þetta, held það séu bara handfylli af IT/Admin gaurum uppí síma sem hafa þetta, aðrir starfsmenn fá þetta ekki í hendurnar, og ég er búinn að prófa létt bruteforce á þetta sem gaf ekkert upp.

Mjög sniðugt að halda þessu þar sem síminn fer að nota þennan aðgang upp á eins og var búið að segja, remote firmware update, ekki veitir af miðað við hversu STÓRKOSTLEGA speedtouch/thomson firmware-ið er gallað, eins og fólk fékk að kynnast með Simnet-wep tólinu sem notfærði sér einfaldlega SSID til að reikna út WEP.




Cikster
spjallið.is
Póstar: 400
Skráði sig: Lau 11. Mar 2006 13:02
Reputation: 16
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf Cikster » Fim 25. Jún 2009 06:04

Ef þeir væru starfi sínu vaxnir hefði ég ekki lagst í að eyða þessum notanda. Flestir hefðu bara haldið að símalínan væri biluð eða routerinn þegar allt í einu routerinn hætti að virka.

Ég hinsvegar náði að finna út að þeir settu vitlaust firmware inn á minn þannig að ég mun aldrey hleypa þeim inn aftur.




Höfundur
coldcut
Vaktari
Póstar: 2192
Skráði sig: Mið 21. Nóv 2007 02:25
Reputation: 0
Staðsetning: /dev/random
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf coldcut » Fim 25. Jún 2009 10:46

mín ástæða: Ég treysti þeim einfaldlega ekki =/

en...
coldcut skrifaði:...er nóg að eyða bara línunni sem segir

Kóði: Velja allt

add name=skridufell password=...
eða þarf ég að sansa þetta eitthvað meira?
en þarf ég annars nokkuð að eyða honum, er ekki nóg að breyta bara

Kóði: Velja allt

defremadmin=enabled
í skridufells línunni í

Kóði: Velja allt

defremadmin=disabled
eða eyða því bara?

það mundi þá þýða að remote access væri útilokaður á þessum account

am I right? 8-[




Cikster
spjallið.is
Póstar: 400
Skráði sig: Lau 11. Mar 2006 13:02
Reputation: 16
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf Cikster » Fim 25. Jún 2009 16:51

Ég eyddi bara út línunni
add name=skridufell password=...

Annars ef þig langar að prófa hitt þá ætti það sennilega að virka.

En þegar þú ert búinn að senda skránna aftur inn á routerinn mundu bara að ná í hana aftur og athuga hvort það hafi ekki örugglega virkað.



Skjámynd

oliuntitled
Vélbúnaðarníðingur
Póstar: 340
Skráði sig: Mán 29. Jún 2009 15:56
Reputation: 115
Staða: Tengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf oliuntitled » Mán 29. Jún 2009 16:01

Cikster skrifaði:Ég hef sterkan grun um að þetta sé aðgangurinn sem síminn gerði þannig að þeir geti uppfært routerinn gegnum netið.

R flag þýðir einfaldlega að þetta er Remote user sem má tengjast gegnum internetið.

Ég persónulega eyddi út þessum notanda eftir að einn daginn hætti routerinn minn að virka þegar allt í einu var komið vitlaust config á routerinn hjá mér. Semsagt ég er með ISDN útgáfu af router en þeir settu p/pots hugbúnaðinn inn á hann þannig að VPC/VCI tölurnar voru vitlausar og ég gat ekki valið réttar tölur. Þurfti að finna gamla routerinn minn til að downloada réttu firmware svo ég gæti flassað hann aftur.

Gaman að sjá að einhver annar hefur fundið þetta "backdoor" sem síminn skildi eftir í routerunum hjá fólki. :)



Þú áttar þig á því að firmwares fyrir isdn-pots og p-pots eru nákvæmlega eins ?
Þetta eru generic firmware's búin til af alcatel sem virka á báðum týpum ... og það er það eina sem þeir búa til fyrir ISP markað :)
Það er ekki fyrren þú ert kominn útí stærri búnað einsog cisco og álíka þar sem þú ert með 2 firmware annars vegar fyrir isdn-pots og p-pots.

coldcut skrifaði:mín ástæða: Ég treysti þeim einfaldlega ekki =/


Hverjum geturu þá treyst ef þú treystir ekki ISP-inum þínum til að manage-a router sem ISP-inn þinn á ?

AntiTrust skrifaði:Afhverju viltu eyða þessum aðgangi?

Ef það er upp á aukið sec., skil ég þig vel. Hinsvegar eru AFAR fáir sem vita pass inn á þetta, held það séu bara handfylli af IT/Admin gaurum uppí síma sem hafa þetta, aðrir starfsmenn fá þetta ekki í hendurnar, og ég er búinn að prófa létt bruteforce á þetta sem gaf ekkert upp.

Mjög sniðugt að halda þessu þar sem síminn fer að nota þennan aðgang upp á eins og var búið að segja, remote firmware update, ekki veitir af miðað við hversu STÓRKOSTLEGA speedtouch/thomson firmware-ið er gallað, eins og fólk fékk að kynnast með Simnet-wep tólinu sem notfærði sér einfaldlega SSID til að reikna út WEP.


Það er minni en handfylli sem vita þetta info btw :)




Cikster
spjallið.is
Póstar: 400
Skráði sig: Lau 11. Mar 2006 13:02
Reputation: 16
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf Cikster » Mán 29. Jún 2009 17:45

oliuntitled : Þú áttar þig á því að síminn er með custom firmware með sínum vpi/vci tölum og einhverjum ljótum wizzard sem er á íslensku. Allavegana enduðu þeir á því að setja inn á routerinn minn útgáfu sem var ekki með VPI/VCI tölurnar sem þarf að tengjast isdn-pots heldur bara p-pots. Að auki vill ég benda á það að ef einhver mundi leggja á sig vinnuna að cracka passwordið fyrir þennan remote user gæti hann gert ansi margt sem ekki er æskilegt.

Ef þú trúir því ekki þá hafa Alcatel/Speedtouch lent í því áður.

http://seclists.org/bugtraq/2001/Aug/0072.html

Annars er mjög einfalt svar við þessu vandamáli. Ná sér bara í fw frá framleiðandanum og vera laus við þetta rugl (ef maður er ekki með skjáinn eða að pæla í því). Svo græðir maður alveg heilt auka port á routernum sem verður nothæft við það :)



Skjámynd

oliuntitled
Vélbúnaðarníðingur
Póstar: 340
Skráði sig: Mán 29. Jún 2009 15:56
Reputation: 115
Staða: Tengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf oliuntitled » Mið 01. Júl 2009 21:22

Cikster skrifaði:oliuntitled : Þú áttar þig á því að síminn er með custom firmware með sínum vpi/vci tölum og einhverjum ljótum wizzard sem er á íslensku. Allavegana enduðu þeir á því að setja inn á routerinn minn útgáfu sem var ekki með VPI/VCI tölurnar sem þarf að tengjast isdn-pots heldur bara p-pots. Að auki vill ég benda á það að ef einhver mundi leggja á sig vinnuna að cracka passwordið fyrir þennan remote user gæti hann gert ansi margt sem ekki er æskilegt.

Ef þú trúir því ekki þá hafa Alcatel/Speedtouch lent í því áður.

http://seclists.org/bugtraq/2001/Aug/0072.html

Annars er mjög einfalt svar við þessu vandamáli. Ná sér bara í fw frá framleiðandanum og vera laus við þetta rugl (ef maður er ekki með skjáinn eða að pæla í því). Svo græðir maður alveg heilt auka port á routernum sem verður nothæft við það :)


Mynd

Ég þekki þennann router bak og fyrir btw :)
Eina breytingin á þessu firmware er sú að tungumálinu er breytt og gildunum er breytt.
Þetta er ekki gert af Símanum heldur af Alcatel.
Ég þekki líka þessa villu sem þú talar um.
Þessi villa olli því að einstaka notendur sem voru með isdn-pots fóru yfir á 8/48 en ekki 8/67 einsog á að vera.
Það er ekki einsog einhver gaur hafi verið í vinnunni og hugsað "já ég ætla að láta þennann lenda í veseni"
þetta eru villur sem geta komið fyrir í öllum mass upgrades sama á hvaða þjónustu eða búnaði.


P.S. þú áttar þig á því að þessi security breach grein sem þú vísar í er gerð árið 2001 ?
Alcatel speedtouch home er utanáliggjandi adsl módem sem dæmi og hitt er frá sama tímabili.
Það að vísa í 8 ára gamlann bug segir lítið fyrir þín rök þarna :)




Cikster
spjallið.is
Póstar: 400
Skráði sig: Lau 11. Mar 2006 13:02
Reputation: 16
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf Cikster » Mið 01. Júl 2009 23:15

Security breach er einfaldlega góð leið til að sjá hversu öruggir hlutirnir eru. Ef þú vilt nærtækara dæmi varðandi speedtouch þá er ekkert mál að draga fram það að einhverjir náðu að finna út hvernig wep key er reiknað út miðað við nafnið á routernum þannig að 99% af notendum símans sem eru með speedtouch router og kveikt á wireless eru gjörsamlega opnir fyrir að aðrir tengist inn á þeirra net. Þetta opnar á möguleikan að fólk downloadi að utan á annara manna tengingum. Er þetta nógu nýlegt dæmi fyrir þig ....

Hvað segir þetta þér? Að séu engar líkur á að einhver nái að finna út hvernig passwordin á notendum í .ini skránni sé encodað? Maður á aldrey að segja aldrey.

Ég hélt því heldur aldrey fram að einhver hafi vísvitandi breytt isdn-pots routerum í þannig að þeir væru bara með p-pots stillingar. Ég einfaldlega treysti því ekki að starfsfólk símans sé starfi sínu vaxið. Ég get ekki betur séð en að þetta sé afburðar gamalt skjáskot úr gamla uppsetningarforritinu þar sem útlenska forritið er notað í "uppfærsluskránni" sem er á heimasíðu símans þannig að þessi mynd segir nákvæmlega ekkert. Ekkert skot á þig oliuntitled þar sem ég veit ekkert um þig.

Varðandi það að þú þekkir þennan router bak og fyrir .... ég ætla þá líka að halda því fram að ég þekki hann eftir ýmsar prófanir með mismunandi firmware (fyrir 585v6 og 585v7) á v6 routernum mínum.

Eins og flestir vitrir menn segja "Ef þú vilt að hluturinn sé gerður rétt, gerðu hann þá sjálfur".



Skjámynd

oliuntitled
Vélbúnaðarníðingur
Póstar: 340
Skráði sig: Mán 29. Jún 2009 15:56
Reputation: 115
Staða: Tengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf oliuntitled » Fim 02. Júl 2009 19:51

Cikster skrifaði:Security breach er einfaldlega góð leið til að sjá hversu öruggir hlutirnir eru. Ef þú vilt nærtækara dæmi varðandi speedtouch þá er ekkert mál að draga fram það að einhverjir náðu að finna út hvernig wep key er reiknað út miðað við nafnið á routernum þannig að 99% af notendum símans sem eru með speedtouch router og kveikt á wireless eru gjörsamlega opnir fyrir að aðrir tengist inn á þeirra net. Þetta opnar á möguleikan að fólk downloadi að utan á annara manna tengingum. Er þetta nógu nýlegt dæmi fyrir þig ....

Hvað segir þetta þér? Að séu engar líkur á að einhver nái að finna út hvernig passwordin á notendum í .ini skránni sé encodað? Maður á aldrey að segja aldrey.

Ég hélt því heldur aldrey fram að einhver hafi vísvitandi breytt isdn-pots routerum í þannig að þeir væru bara með p-pots stillingar. Ég einfaldlega treysti því ekki að starfsfólk símans sé starfi sínu vaxið. Ég get ekki betur séð en að þetta sé afburðar gamalt skjáskot úr gamla uppsetningarforritinu þar sem útlenska forritið er notað í "uppfærsluskránni" sem er á heimasíðu símans þannig að þessi mynd segir nákvæmlega ekkert. Ekkert skot á þig oliuntitled þar sem ég veit ekkert um þig.

Varðandi það að þú þekkir þennan router bak og fyrir .... ég ætla þá líka að halda því fram að ég þekki hann eftir ýmsar prófanir með mismunandi firmware (fyrir 585v6 og 585v7) á v6 routernum mínum.

Eins og flestir vitrir menn segja "Ef þú vilt að hluturinn sé gerður rétt, gerðu hann þá sjálfur".


Fyrst þarf viðkomandi að geta remote adminað routerinn.
Það er ekki hægt nema notandi kveiki á því sjálfur.
Þá opnast aðgangur í gegnum https sem slekkur sjálfkrafa á sér ef það er ekkert activity í 20mín.
Þú getur ekki telnet-að þig inná routerinn utanfrá nema þú opnir fyrir það sjálfur ... núna er það default ip filterað á ip tölu uppí síma.

Vandinn með wep lyklana er óheppilegur en það er hægara sagt en gert að koma í veg fyrir það afturvirkt og ég á ekki von á öðru
en að Síminn sé að vinna í því vandamáli og þá væntanlega í samvinnu við Thomson.

Þetta "afburðagamla" skjáskot er það nákvæmlega sama og er notað í dag nema með öðru útliti og með sömu virkni þar á bakvið.

En vitrustu menn segja "If it works don't fix it"



Skjámynd

Gúrú
Bannaður
Póstar: 5677
Skráði sig: Fös 17. Mar 2006 23:08
Reputation: 1
Staðsetning: ;)
Staða: Ótengdur

Re: User: Skridufell - í lagi að eyða?

Pósturaf Gúrú » Fös 03. Júl 2009 03:50

oliuntitled skrifaði:"If it works don't fix it"


Er nokkuð viss um að þeir vitrustu segi "If its not broken, don't fix it.".


Modus ponens