<html>
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="moz-cite-prefix">Hallo!<br>
<br>
Am 2016-05-16 um 10:48 schrieb Stefan Schultheis (home):<br>
</div>
<blockquote
cite="mid:CAHanXmGzga5R8ZnhxHNa+YNc2zSHqMggJUiq=jTuVRNxJou+Zg@mail.gmail.com"
type="cite">
<div dir="ltr">
<div>
<div>
<div>Hallo,<br>
<br>
</div>
ich hab' mal meine Erkenntnisse und Vorschläge zur raschen
Lösung hier zusammengefasst:<br>
<a moz-do-not-send="true"
href="https://stefan.schultheis.at/2016/ubiquiti-airos-hack-funkfeuer/">https://stefan.schultheis.at/2016/ubiquiti-airos-hack-funkfeuer/</a><br>
</div>
</div>
</div>
</blockquote>
Danke!<br>
<blockquote
cite="mid:CAHanXmGzga5R8ZnhxHNa+YNc2zSHqMggJUiq=jTuVRNxJou+Zg@mail.gmail.com"
type="cite">
<div dir="ltr">
<div>
<div><br>
</div>
Ist quick & dirty, soll eher helfen, das Problem mal zu
erfassen und bietet einen Lösungsansatz zum Entfernen, wobei
ich glaube, dass des nur eine Sofortmaßnahme ist und eher ein
Reset auf Werkeinstellungen zu bevorzugen ist.<br>
</div>
</div>
</blockquote>
Ich würde auch eher einen Factory-Flash (nicht nur einen
Factory-Reset) empfehlen, um auf Nummer Sicher zu gehen. (Wir wissen
ja nicht, ob eine spätere Version der Malware nicht auch den ROM
manipulieren wird - völlig abwegig ist das nicht.).<br>
<blockquote
cite="mid:CAHanXmGzga5R8ZnhxHNa+YNc2zSHqMggJUiq=jTuVRNxJou+Zg@mail.gmail.com"
type="cite">
<div dir="ltr">
<div><br>
</div>
<div>Sobald Chris etwas für die Migration zum EdgeRouter hat,
würde ich das gerne als dauerhafte Lösung dort verlinken.<br>
</div>
</div>
</blockquote>
Eine Zwischenlösung für jene, die einen Linux-Router auf Basis eines
Raspi mit Debian/Ubuntun-Derivaten oder in einer VM betreiben,
könnte sein, den Router als Bridge mit VLAN zu konfigurieren, etwa
so:<br>
<br>
<img src="cid:part2.09080807.07000909@pekarek.at" alt=""><br>
<br>
<img src="cid:part3.04080104.09000803@pekarek.at" alt=""><br>
<br>
<img src="cid:part4.01070901.07000606@pekarek.at" alt=""><br>
<br>
<img src="cid:part5.09010204.09040506@pekarek.at" alt=""><br>
<br>
<br>
/etc/network/interfaces:<br>
<tt># The loopback network interface</tt><tt><br>
</tt><tt>auto lo</tt><tt><br>
</tt><tt>iface lo inet loopback</tt><tt><br>
</tt><tt><br>
</tt><tt># Wenn Tunnel genützt wird und Debian/Ubuntu auch gleich
den Tunnel machen soll, </tt><tt><br>
</tt><tt># Route zum Tunnelserver anlegen, falls die nicht über das
Default-GW erreichbar ist</tt><tt><br>
</tt><tt># und openvpn starten.</tt><tt><br>
</tt><tt>#</tt><tt><br>
</tt><tt>#auto xyz</tt><tt><br>
</tt><tt>#iface xyz inet static</tt><tt><br>
</tt><tt># ...+ zwei Zeilen:</tt><tt><br>
</tt><tt># up /sbin/ip r a 78.41.115.228/32 dev [Gateway-Dev]
via metric 0</tt><tt><br>
</tt><tt># up /etc/init.d/openvpn restart</tt><tt><br>
</tt><tt><br>
</tt><tt># Funkfeuer / OLSR (Device für "interne" Verbindung zu
anderen OLSR-Geräten)</tt><tt><br>
</tt><tt>auto vlan20</tt><tt><br>
</tt><tt>iface vlan20 inet static</tt><tt><br>
</tt><tt> vlan_raw_device eth0</tt><tt><br>
</tt><tt> address [2. FF IP]</tt><tt><br>
</tt><tt> netmask 255.255.255.255</tt><tt><br>
</tt><tt> up ip -6 a a 2a02:60:10[... nach
<a class="moz-txt-link-abbreviated" href="http://www.ipv6.wien.funkfeuer.at-Schema">www.ipv6.wien.funkfeuer.at-Schema</a> ...]/64 dev vlan20</tt><tt><br>
</tt><tt><br>
</tt><tt># Funkfeuer / OLSR (IP für OLSR über die WLAN-Bridge</tt><tt><br>
</tt><tt>auto vlan25</tt><tt><br>
</tt><tt>iface vlan25 inet static</tt><tt><br>
</tt><tt> vlan_raw_device eth0</tt><tt><br>
</tt><tt> address [ 0xFF-IP für WLAN-Bridge ]</tt><tt><br>
</tt><tt> netmask 255.255.255.255</tt><tt><br>
</tt><tt> up ip -6 a a 2a02:60:10[... nach
<a class="moz-txt-link-abbreviated" href="http://www.ipv6.wien.funkfeuer.at-Schema">www.ipv6.wien.funkfeuer.at-Schema</a> ...]/64 dev vlan25</tt><br>
<br>
/etc/openvpn/funkfeuer-tap0.conf:<br>
<tt>dev tap0</tt><tt><br>
</tt><tt>proto udp</tt><tt><br>
</tt><tt>remote 78.41.115.228</tt><tt><br>
</tt><tt>port [zugewiesener Port]</tt><tt><br>
</tt><tt>up-restart</tt><tt><br>
</tt><tt>verb 3</tt><tt><br>
</tt><tt>comp-lzo</tt><tt><br>
</tt><tt>script-security 2</tt><tt><br>
</tt><tt>nobind</tt><tt><br>
</tt><tt>ping 10</tt><tt><br>
</tt><tt>ping-restart 60</tt><tt><br>
</tt><tt>ping-timer-rem</tt><tt><br>
</tt><tt>fast-io</tt><tt><br>
</tt><tt>sndbuf 393216</tt><tt><br>
</tt><tt>rcvbuf 393216</tt><tt><br>
# siehe unten...:<br>
</tt><tt>up /etc/openvpn/openvpn-webif-if-up.sh</tt><br>
<br>
<br>
/etc/openvpn/openvpn-webif-if-up.sh:<br>
<tt>#!/bin/bash</tt><tt><br>
</tt><tt># Beispielskript: Was bei Tunnelstart passieren soll.</tt><tt><br>
</tt><tt>/bin/sleep 3</tt><tt><br>
</tt><tt>/sbin/ip a a [Deine zugewiesene Tunnel-IP]/32 dev tap0</tt><tt><br>
</tt><tt>/sbin/ip -6 a a 2a02:60:10</tt><tt>[... nach
<a class="moz-txt-link-abbreviated" href="http://www.ipv6.wien.funkfeuer.at-Schema">www.ipv6.wien.funkfeuer.at-Schema</a> ...]</tt><tt>/64 dev tap0</tt><tt><br>
</tt><tt>/sbin/ip link set link dev tap0 up</tt><tt><br>
</tt><tt>/etc/init.d/olsrd stop</tt><tt><br>
</tt><tt># eventuell</tt><tt><br>
</tt><tt># /etc/init.d/olsrd6 stop</tt><tt><br>
</tt><tt>killall -9 olsrd</tt><tt><br>
</tt><tt>/etc/init.d/olsrd start</tt><tt><br>
</tt><tt># eventuell</tt><tt><br>
</tt><tt>#/etc/init.d/olsrd6 start</tt><tt><br>
</tt><tt>exit 0</tt><br>
<br>
<br>
/etc/olsrd/olsrd.conf (erst einmal nur ipv4):<br>
<tt>AllowNoInt yes</tt><tt><br>
</tt><tt>ClearScreen yes</tt><tt><br>
</tt><tt>DebugLevel 2</tt><tt><br>
</tt><tt>FIBMetric "flat"</tt><tt><br>
</tt><tt>IpVersion 4</tt><tt><br>
</tt><tt>LinkQualityAlgorithm "etx_ff"</tt><tt><br>
</tt><tt>LinkQualityFishEye 1</tt><tt><br>
</tt><tt>LinkQualityLevel 2</tt><tt><br>
</tt><tt>MainIp [Deine Haupt-IP]</tt><tt><br>
</tt><tt>MprCoverage 1</tt><tt><br>
</tt><tt>Pollrate 0.1</tt><tt><br>
</tt><tt>TcRedundancy 2</tt><tt><br>
</tt><tt>TosValue 16</tt><tt><br>
</tt><tt>UseHysteresis no</tt><tt><br>
</tt><tt>Willingness 3</tt><tt><br>
</tt><tt>InterfaceDefaults</tt><tt><br>
</tt><tt>{</tt><tt><br>
</tt><tt> AutoDetectChanges yes</tt><tt><br>
</tt><tt> HelloInterval 5.0</tt><tt><br>
</tt><tt> HelloValidityTime 100.0</tt><tt><br>
</tt><tt> HnaInterval 5.0</tt><tt><br>
</tt><tt> HnaValidityTime 500.0</tt><tt><br>
</tt><tt> Ip4Broadcast 255.255.255.255</tt><tt><br>
</tt><tt> LinkQualityMult default 1.0 </tt><tt><br>
</tt><tt> MidInterval 3.0</tt><tt><br>
</tt><tt> MidValidityTime 500.0</tt><tt><br>
</tt><tt> Mode "mesh"</tt><tt><br>
</tt><tt> TcInterval 3.0 </tt><tt><br>
</tt><tt> TcValidityTime 500.0</tt><tt><br>
# Um auf allen Devices die Priorität mittels LQ
herabzusetzen, bis auf jene, die wird bevorzugen wollen:<br>
</tt><tt> LinkQualityMult default 0.33</tt><tt><br>
</tt><tt>}</tt><tt><br>
</tt><tt>Hna4</tt><tt><br>
</tt><tt>{</tt><tt><br>
</tt><tt>}</tt><tt><br>
</tt><tt>Hna6</tt><tt><br>
</tt><tt>{</tt><tt><br>
</tt><tt>}</tt><tt><br>
</tt><tt>LoadPlugin "/usr/lib/olsrd/olsrd_httpinfo.so.0.1"</tt><tt><br>
</tt><tt>{</tt><tt><br>
</tt><tt> PlParam "Port" "8080"</tt><tt><br>
</tt><tt> PlParam "Net" "0.0.0.0 0.0.0.0"</tt><tt><br>
</tt><tt>}</tt><tt><br>
</tt><tt># nicht notwendig - txtinfo:<br>
LoadPlugin "/usr/lib/olsrd/olsrd_txtinfo.so.0.1"</tt><tt><br>
</tt><tt>{</tt><tt><br>
</tt><tt> PlParam "port" "2006"</tt><tt><br>
</tt><tt> PlParam "accept" "127.0.0.1"</tt><tt><br>
</tt><tt>}<br>
#eventuell jsoninfo:<br>
</tt><tt></tt><tt>LoadPlugin "/usr/lib/olsrd/olsrd_jsoninfo.so.0.0"</tt><tt><br>
</tt><tt>{</tt><tt><br>
</tt><tt> PlParam "port" "9090"</tt><tt><br>
</tt><tt> PlParam "accept" "0.0.0.0"</tt><tt><br>
</tt><tt> PlParam "UUIDFile" "/etc/olsrd/olsrd.uuid"</tt><tt><br>
</tt><tt>}<br>
# Wenn Ihr zusätzlich einen Tunnel betreibt/Openvpn tap0:<br>
</tt><tt></tt><tt>Interface "tap0"</tt><tt><br>
</tt><tt>{</tt><tt><br>
</tt><tt> AutoDetectChanges yes</tt><tt><br>
# Wenn wir Traffic bevorzugt über den Tunnel laufen lassen
wollen (siehe auch InterfaceDefaults).<br>
</tt><tt> LinkQualityMult default 1.0</tt><tt><br>
</tt><tt> Mode "ether"</tt><tt><br>
</tt><tt>}<br>
# Eventuell ein VLAN für andere OLSR-Geräte:<br>
</tt><tt>Interface "vlan20"</tt><tt><br>
</tt><tt>{</tt><tt><br>
</tt><tt> AutoDetectChanges yes</tt><tt><br>
</tt><tt> Mode "ether"</tt><tt><br>
</tt><tt>}<br>
# Das dedizierte VLAN der jeweiligen Bridge - für jede ein eigenes
VLAN minimiert zusätzlich die Angriffspunkte, falls es doch eine
im Netz wieder erwischt.<br>
</tt><tt>Interface "vlan25"</tt><tt><br>
</tt><tt>{</tt><tt><br>
</tt><tt> AutoDetectChanges yes</tt><tt><br>
</tt><tt>}</tt><br>
<br>
<br>
<blockquote
cite="mid:CAHanXmGzga5R8ZnhxHNa+YNc2zSHqMggJUiq=jTuVRNxJou+Zg@mail.gmail.com"
type="cite">
<div dir="ltr">
<div><br>
</div>
Zur Info,<br>
LgS<br>
<br>
</div>
</blockquote>
Ich hoffe, dass ich mit dieser Schablone helfen konnte.<br>
<br>
Wer noch einen TL-WR1043Nd o.ä. herumliegen hat, kann diesen in
gleicher Weise nützen (insbesondere mit Tunnel)<br>
Via LuCi VLANs anlegen, disesen (tagged) Ports zuweisen, Interfaces
dafür anlegen und über OLSRd eine Schnittstelle pro Device anlegen.<br>
<br>
Vorsicht ist bei den TL-WR740/741ND geboten, da die Nummerierung der
Ports in Software und am Router abweicht. Einfach durchprobieren und
aufschreiben. Für den Tunnel wird der Flash zu klein sein, wenn
aktuelle Builds (Chaos Calmer) zum Einsatz kommen.<br>
<br>
Wenn jemand wissen will, wie genau das geht, bitte einfach fragen.
Ich denke, dass im alten Wiki dazu sonst genug Infos waren.<br>
<br>
Verbesserungsvorschläge sind willkommen.<br>
<br>
<blockquote
cite="mid:CAHanXmGzga5R8ZnhxHNa+YNc2zSHqMggJUiq=jTuVRNxJou+Zg@mail.gmail.com"
type="cite">
<div dir="ltr">
<div>
<div>
<div>
<div>
<div class="gmail_extra">[...]<br>
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0px
0px 0px 0.8ex;border-left:1px solid
rgb(204,204,204);padding-left:1ex"><span class="">
<br>
<font color="#888888">[...</font></span><span
class=""><font color="#888888"></font></span>]</blockquote>
</div>
<br>
</div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
LG<br>
Erich<br>
</body>
</html>