[Wien] Probleme mit Zugang zu Knoten zwecks Verwaltung

Daniel A. Maierhofer (spam-protected)
Do Nov 16 13:54:41 CET 2023 

Servus Christoph,

nachdem mir einige Leute Fragen dazu stellten,
fasse ich hier meine Beobachtungen zusammen:

Beispielsweise auf meinem Ubiquiti EP-R6 koli6-router 18:E8:29:2F:ED:1E,
Kaufnachweis anbei, sind mir folgende Konfigurationsänderungen aufgefallen:

+        user anton {
+            authentication {
+                encrypted-password $5$...
+                plaintext-password ""
+                public-keys 1 {
+                    key AAAA...
+                    type ssh-rsa
+                }
+            }
+            full-name "Anton Mayer"
+            level admin
+        }
+        user christofer {
+            authentication {
+                encrypted-password $5$...
+                plaintext-password ""
+                public-keys 1 {
+                    key AAAA...
+                    type ssh-rsa
+                }
+            }
+            full-name "Christofer Brajkovic"
+            level admin
          user onetrix {
              authentication {
-                encrypted-password $5$A...
+                encrypted-password $5$B...

diese scheinen im Zuge von SSH Logins am 1./2. Oktober passiert zu sein:

koli6-router:~# last
...
onetrix  pts/0        62.240.128.0/19   Mon Oct  2 02:27 - 02:28  (00:00)
onetrix  pts/0        62.240.128.0/19   Mon Oct  2 02:23 - 02:24  (00:01)
onetrix  pts/0        62.240.128.0/19   Mon Oct  2 00:14 - 00:14  (00:00)
onetrix  pts/0        62.240.128.0/19   Mon Oct  2 00:13 - 00:13  (00:00)
onetrix  pts/0        62.240.128.0/19   Mon Oct  2 00:11 - 00:12  (00:01)
onetrix  pts/0        62.240.128.0/19   Sun Oct  1 23:05 - 23:07  (00:02)
onetrix  pts/0        62.240.128.0/19   Sun Oct  1 23:03 - 23:05  (00:01)
onetrix  pts/0        62.240.128.0/19   Sun Oct  1 23:03 - 23:03  (00:00)
onetrix  pts/0        62.240.128.0/19   Sun Oct  1 23:01 - 23:02  (00:00)
onetrix  pts/0        62.240.128.0/19   Sun Oct  1 22:50 - 22:50  (00:00)
anton    pts/0        86.59.0.0/17      Sun Oct  1 22:34 - 22:34  (00:00)
onetrix  pts/0        78.41.112.0/21    Sun Oct  1 21:46 - 21:46  (00:00)
onetrix  pts/0        78.41.112.0/21    Sun Oct  1 21:23 - 21:23  (00:00)
onetrix  pts/0        78.41.112.0/21    Sun Oct  1 20:52 - 20:52  (00:00)
onetrix  pts/0        78.41.112.0/21    Sun Oct  1 20:52 - 20:52  (00:00)
onetrix  pts/0        78.41.112.0/21    Sun Oct  1 20:51 - 20:51  (00:00)
onetrix  pts/0        78.41.112.0/21    Sun Oct  1 20:48 - 20:48  (00:00)
anton    pts/0        86.59.0.0/17      Sun Oct  1 17:33 - 17:33  (00:00)
anton    pts/0        86.59.0.0/17      Sun Oct  1 17:30 - 17:30  (00:00)
onetrix  pts/0        78.41.112.0/21    Sun Oct  1 12:34 - 12:34  (00:00)
onetrix  pts/0        78.41.112.0/21    Sun Oct  1 12:33 - 12:33  (00:00)
onetrix  pts/0        78.41.112.0/21    Sun Oct  1 12:31 - 12:32  (00:00)
onetrix  pts/0        78.41.112.0/21    Sun Oct  1 11:35 - 11:35  (00:00)
onetrix  pts/0        78.41.112.0/21    Sun Oct  1 11:31 - 11:31  (00:00)
anton    pts/0        86.59.0.0/17      Sun Oct  1 02:22 - 02:23  (00:00)
anton    pts/0        86.59.0.0/17      Sun Oct  1 02:20 - 02:20  (00:00)
onetrix  pts/0        86.59.0.0/17      Sun Oct  1 02:04 - 02:05  (00:00)
onetrix  pts/0        78.41.112.0/21    Sat Sep 30 09:50 - 09:50  (00:00)
onetrix  pts/0        78.41.112.0/21    Fri Sep 29 23:48 - 23:48  (00:00)
onetrix  pts/0        78.41.112.0/21    Mon Sep 25 19:59 - 20:23  (00:23)
...

Zugriffe von 78.41.112.0/21 erfolgten von mir durch Konfigurationsbackups,
jene von 86.59.0.0/17 kenne ich als Adressbereich Deiner Server.
Aus Datenschutzgründen sind die IPs auf Providerpräfixe gekürzt.

Es verwundert mich, dass mein vor158-router durch Deinen Router vom
kürzlich ohne Vorwarnung abgebauten Standort gob34 ersetzt wurde, um
'forensisch analysiert' zu werden ohne mich vorab zu informieren.
Den hätte ich gerne wieder an seinem Platz, da wär noch Garantie drauf.

Ich kann nicht nachvollziehen, warum ich von Dir diesbezüglich nicht
direkt kontaktiert werde und ich es so erlebe, dass Du über andere Leute
bzw. die Wien Liste mit mir zu kommunizieren versuchst.

Die WireGuard VPN Verbindungen bestehen seit Juni und sind als Basis für
das FunkFeuer Monitoring gedacht, nachdem Dein privates Monitoring nicht
mehr zugänglich ist.
Danke für das langjährige Betreiben dieses inoffiziellen Services!

lG,
Daniel

On 15.11.23 14:30, Christoph Loesch wrote:
> Abgesehen vom Themenwechsel, gab es bisher keine direkte Reaktion auf meine Frage.
> 
> Somit ist meine Frage immer noch unbeantwortet was es mit dieser unabgesprochenen Konfiguration auf sich hat.
> 
> Ich bitte um Stellungnahme dazu.
> 
> Am 23.10.2023 um 23:43 schrieb Christoph Loesch:
>> Hallo,
>>
>> seit ein paar Tagen bemerke ich ein seltsames unerwartetes Verhalten auf manchen Knoten die ich betreue.
>>
>> Erst bemerkte ich eine neue und mir unbekannte wireguard Verbindung zu einer Funkfeuer IP Adresse, siehe Screenshot am Beispiel beim Node kobe4:
>> https://chil.at/downloads/unbekannte-konfiguration-kobe4.png
>>
>> Während ich mich bei Nodeownern erkundigt habe ob das bekannt sei und keinem ein Grund für diese Anpassung bewusst ist, habe ich dann bemerkt dass plötzlich mein Login zu manchen Routern sowie auch Antennen nicht mehr funktioniert.
>> Einen Virus oder etwaiges Fehlverhalten schließe ich aus, da unterschiedliche Geräte bzw. unterschiedliche Systeme betroffen sind und offensichtlich gezielt Konfigurationsanpassungen vorgenommen wurden.
>> Bisher aufgefallen ist mir das bei den Standorten/Knoten: kobe4, koli6, obdo9, vor158, vor203, wuk
>>
>> Weiss irgendwer was darüber?
>>
>> LG Christoph
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : R19120629_CLS.pdf
Dateityp    : application/pdf
Dateigröße  : 137866 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20231116/664ebfb4/attachment.pdf>

Mehr Informationen über die Mailingliste Wien