Veiligheidslogboek leeg na herstarten van Zyxel Modem en logboek niet te mailen

Hoi @marvpp, ik vraag het na bij de experts en kom er dan hopelijk vandaag nog op terug! 😉

Hoi @marvpp, dat is super om te horen, fijn dat dit het issue was! 😄 

Op 21 februari hebben onze engineers inderdaad nog ingelogd om te controleren of er een andere bug aanwezig was en dit bleek niet zo te zijn. Sorry voor mijn veel te late reactie: ik was een paar dagen met verlof!

Hoi @Jason . Ik heb bovenstaande niet goed gelezen dus hier mijn update: Ik heb inderdaad ook AdBlocker geinstalleerd om werking te bezien. Deze nu verwijderd en ik zie inderdaad mijn “Logjes” weer. Super dat je dit hieraan kon relateren! Bedankt! @Timo78 
(Ps blijft nog wel vreemd wat de add blocker te doen heeft met jQuery die in ene in mijn beschrijving van Wireless device stond) .

@marvpp Kan het zijn dat jij toevallig een Adblocker of Adblocker Plus gebruikt als Chrome extensie (bijvoorbeeld)? Die kan het logboek als ad zien en daardoor verwijderen/blokkeren. Dat zou ook de blokkade bij toegang verklaren.

Zou je nog antwoord kunnen geven op de vragen vanuit Zyxel, alsjeblieft?

@Jason ok dank. Nog een update:
1) Het valt mij op dat een van mijn wireless devices, waar eerder als naam een jQuery command stond en niet aanpasbaar is deze nu wel aangepast is, en ik deze nu ook wel weer kan aanpassen.

2) Ik kan de security log (nog) niet inzien, maar nu wel weer exporteren, weliswaar met wat beperkte entries volgens mij.
Hieronder twee maal op de zelfde datum : Feb 10 23:34:57 kern.alert kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=192.168.1.42 DST=<MijnHomeIP>  LEN=40 TOS=0x00 PREC=0x00 TTL=245 ID=34815 PROTO=TCP SPT=51856 DPT=445 WINDOW=1024 RES=0x00 SYN URGP=0
Waar komt deze .42 van daan?
Ook staan er (maar) 2  entries van 18 feb, maar nu gelogd in de range van 10 feb en deze staan dubbel gemeld . Hoe kan dit?

Bvd

Kleine UPDATE: het kan zijn dat de engineers op afstand willen inloggen op het Zyxel modem om zaken na te kijken. Zou je voorlopig niks willen aanpassen aan het modem/de setup, alsjeblieft? Thanks voor je medewerking! @marvpp 

@Jason . Dank. Ik had je update van zojuist nog niet gezien en had onderstaande dus nog extra toegevoegd  ik de eerder post:
Opvallend is ook dat de systeemlog  wel exporteerbaar is en dat er dan wat in staat en veiligheids log is gewoon leeg. Ook kan ik namen van devices in het “verbindingen" scherm niet kan (meer) aanpassen. Kon eerder wel. Ik krijg dan boodscahp : “Het verzoek was verboden” . Op meerdere fronten klopt het dus iets niet. Op een van de IP adres staat nu ook een jQuery command als text.

Zonder evidence en alles optellend, denk ik dat het mogelijk, mischien iets met met mijn admin account authorisatie van doen heeft.

 Hi @Jason ,  ik heb zojuist 2 maal herstart, 1 maal soft (via GUI)  en 1 maal hard reset met de powerknop.
Als modem weer op is krijg ik bij beide keren de boodschap, wat ik bovenstaand ook al aangaf, : 
It is impossible to retrieve the information now. Please try again . Alleen nu is alle text in het engels. Systeemlog en veiligheidslog zijn dus ook engels: systemlog en security log. Geeft niet , maar ik heb de language aanpassing niet gedaan. Als ik deze echter via de GUI wil doen, dus van Engels naar Dutch, waar de setting op stond dan krijg ik de boodschap:
Het is onmogelijk om de informatie nu op te halen. Probeer het opnieuw. De taal wordt echter wel aangepast.

Opvallend is ook dat de systeemlog  wel exporteerbaar is en dat er dan wat in staat en veiligheids log is gewoon leeg. Ook kan ik namen van devices in het “verbindingen" scherm niet kan (meer) aanpassen. Kon eerder wel. Ik krijg dan boodscahp : Het verzoek was verboden . Op meerdere fronten klopt het dus iets niet. Op een van de IP adres staat nu ook een jQuery command als text.

==> Het vervelende is dus dat ik nu nog steeds geen log meldingen meer kan inzien. Ik denk dat er wel gelogd wordt en wil graag inzage hebben/houden.

Goedemorgen @marvpp, er is niets aangepast vanuit T-Mobile, onze onderzoekers zijn nog bezig om het issue aan hun kant te kunnen reproduceren zodat er meer duidelijkheid ontstaat over waar de oorzaak precies zit. Ik hoop spoedig een meer concrete update te kunnen geven!

Goedemorgen @marvpp, bedankt voor je updates en excuses voor mijn verlate reactie: ik mocht genieten van een vrijdag én maandag vrij. Ik geef jouw update door aan onze onderzoeker en hoop hier spoedig meer mee te kunnen doen voor je!

Hallo @Jason,
is zie dat vanochtend mijn modem herstart is en dat ‘supervisor’ ingelogt heeft zoals de log aangeeft.
Is lijkt mij geiniteeerd door “Onderzoeker”. Klopt dit?

Log is niet leeg dus dat lijkt goed. Wat is er nu aangepast dat de log nu niet leeg is na herstart ?

Opvallend is echter wel dat ik gisteren in het geheeel geen attacks heb gehad wat eigenlijk niet klopt want er staat altijd wel een externe attack scan in. Verder is voor deze ‘supervisor’ login ook een sessie gestart van binnenuit (192.168.1.42) op SMB poort  445  naar “mijn home IP” adress:
kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=192.168.1.42 DST=MIJNHOME IP LEN=40 TOS=0x00 PREC=0x00 TTL=245 ID=34815 PROTO=TCP SPT=51856 DPT=445 WINDOW=1024 RES=0x00 SYN URGP=0 .

Maar dit is dus voor supervisor login. Kan de jullie onderzoeker aangeven waarvan dit komt? IP 192.168.1.42 , ken ik niet en TCP 445 is niet echt een secure sessie en ik was het zelf niet.
Alvast bedankt !

@marvpp Geen enkel probleem! Onze onderzoeker wil graag de verbinding induiken om één en ander te controleren. Kun je mij een privébericht (de link is klikbaar) sturen met jouw postcode, huisnummer, geboortedatum en de laatste vier cijfers van je IBAN, alsjeblieft? Thanks!

Goedemorgen @marvpp, fijn om te zien dat iedereen gelijk zo goed helpt! 😊👍

Op je eerste vraag heb ik nog geen antwoord, maar ik zal het direct voor je navragen: anders wordt het net een potje badmintonnen tussen het logboek en de Zyxel, dat kan nog dagen zo doorgaan!

Ik kom hier snel op terug (hoop ik).