Beantwoord

Veiligheidslogboek leeg na herstarten van Zyxel Modem en logboek niet te mailen

  • 9 February 2022
  • 61 reacties
  • 972 Bekeken

Reputatie 3
  • is een Master Poster
  • 28 reacties

Ik heb 2 situaties:

1: Na herstarten van mijn Zyxel VMG8825-T50 Modem blijkt dat mijn Veiligheidslogboek wat eerst gevuld was, dan leeg is. Het Systeem logboek is echter niet leeg. Zeer onwenselijke situatie dat logboek na herstart leeg is. (in zyxel hoofdmenu selecteer systeemmonitor en vervolgens logboek. Van hieruit zie je de 2 logboeken).

2: Ook kan ik een logboek wat op den duur weer gevuld is niet mailen naar een opgegeven mail adres. Resulterende boodschap is:  “Waarschuwing . Logboek niet verzonden.".

------

Firmware versie is V5.50(ABPY.1)b16_20210525

Wie heeft ervaring met bovenstaande en wat te doen om beide op te lossen.?

Alvast bedankt ,Mar.

 

 

icon

Beste antwoord door Jason van Odido 17 February 2022, 10:59

Bekijk origineel

This topic has been closed for comments

61 reacties

Reputatie 7
Badge +15

Hallo @marvpp 

Je eerste vraag zou kunnen liggen aan of je de modem herstart zonder het stroom te verwijderen of juist wel het stroom eraf halen denk ik.

Reputatie 7
Badge +6

Hoi @marvpp,

Welkom op de Community!

Welke instellingen vul je in bij Onderhoud > E-mailkennisgeving? Zou je die hier willen delen (uiteraard zonder je e-mailadres)?

Reputatie 3

Hallo @marvpp 

Je eerste vraag zou kunnen liggen aan of je de modem herstart zonder het stroom te verwijderen of juist wel het stroom eraf halen denk ik.

Hallo @Waqqas  .Ik heb alleen de zwarte aan/uit knop ingedrukt, even gewacht en weer aangezet. In geen geval lijkt mij mag het veiligheidslogboek leeg zijn, Zeker niet als het systeemlogboek nog wel gevuld is.

Reputatie 7
Badge +15

@marvpp 

Ik zit bij KPN en hier is de logboek ook leeg na een herstart, lijkt mij gewoon normaal 😀

Reputatie 3

Hoi @marvpp,

Welkom op de Community!

Welke instellingen vul je in bij Onderhoud > E-mailkennisgeving? Zou je die hier willen delen (uiteraard zonder je e-mailadres)?

Hallo @TMTV . Dank voor je bericht mbt issue 2:

ZIe onderstaand voor wat beterft "Logboek instellingen". Emailkennisgeving op separate tab is leeg.

 

Reputatie 3

@marvpp

Ik zit bij KPN en hier is de logboek ook leeg na een herstart, lijkt mij gewoon normaal 😀

@Waqqas . Een logbestand zou zeker niet zomaar leeg mogen raken (in dit geval na herstart). Als dit wel standaard is is dit het moment waarbij je als hacker je eigen evidence zou kunnen verwijderen).
( Issue 1). Nogmaals systeemlogboek is wel beschikbaar alleen veiligheidslogboek niet. Dus als dat bij KPN ook zo is dan lijkt mij dat ook niet goed.

Reputatie 7
Badge +6

@marvpp Om de Zyxel mails te laten versturen, moet je eerst een afzender invullen bij Onderhoud > E-mailkennisgeving. Ik ga er even van uit dat je Gmail-account zowel afzender als ontvanger is. Dan zouden dit de instellingen moeten zijn:

Vervolgens kies je op het scherm dat je net stuurde bij ‘Selecteer één account’ voor dat e-mailadres. Daarna zou het moeten werken.

Reputatie 7
Badge +15

@marvpp

Ik zit bij KPN en hier is de logboek ook leeg na een herstart, lijkt mij gewoon normaal 😀

@Waqqas. Een logbestand zou zeker niet zomaar leeg mogen raken (in dit geval na herstart). Als dit wel standaard is is dit het moment waarbij je als hacker je eigen evidence zou kunnen verwijderen).
( Issue 1). Nogmaals systeemlogboek is wel beschikbaar alleen veiligheidslogboek niet. Dus als dat bij KPN ook zo is dan lijkt mij dat ook niet goed.

Excuses, ik keek er even naar en het logboek van de KPN modem wordt niet leeggehaald na een herstart 😅

Reputatie 3

@marvpp Om de Zyxel mails te laten versturen, moet je eerst een afzender invullen bij Onderhoud > E-mailkennisgeving. Ik ga er even van uit dat je Gmail-account zowel afzender als ontvanger is. Dan zouden dit de instellingen moeten zijn:

Vervolgens kies je op het scherm dat je net stuurde bij ‘Selecteer één account’ voor dat e-mailadres. Daarna zou het moeten werken.

@TMTVOk, dit klinkt goed. Dit werkt inderdaad, alleen krijg ik wel een kritieke beveiligingsmelding aan de google mail kant, maar geeft aan dat het werkt. Bedankt !  ( Issue 2 🙂 )

Heb je mogelijk ook nog wat voor issue 1  ( veiligheidslogboek leeg na herstart?)

Reputatie 3

@marvpp

Ik zit bij KPN en hier is de logboek ook leeg na een herstart, lijkt mij gewoon normaal 😀

@Waqqas. Een logbestand zou zeker niet zomaar leeg mogen raken (in dit geval na herstart). Als dit wel standaard is is dit het moment waarbij je als hacker je eigen evidence zou kunnen verwijderen).
( Issue 1). Nogmaals systeemlogboek is wel beschikbaar alleen veiligheidslogboek niet. Dus als dat bij KPN ook zo is dan lijkt mij dat ook niet goed.

Excuses, ik keek er even naar en het logboek van de KPN modem wordt niet leeggehaald na een herstart 😅

@Waqqas ok, goed dat het bij KPN wel werkt, alleen nu nog hier op mijn modem. Ik hoop niet dat ik de enige ben dit issue (#1) heeft. Nog suggesties of heb ik een echt security iets. ??

Reputatie 7
Badge +6

@marvpp Graag gedaan! Fijn dat het werkt. Op je eerste vraag heb ik niet echt een antwoord. Het is natuurlijk niet handig als het logboek na een stroomonderbreking leeg is. Het enige wat ik kan bedenken is dat het een bug is. De moderators van T-Mobile lezen mee. Misschien kan een van hen dit aan de ontwikkelaar doorgeven zodat die het op kan lossen.

Reputatie 7
Badge +16

Goedemorgen @marvpp, fijn om te zien dat iedereen gelijk zo goed helpt! 😊👍

Op je eerste vraag heb ik nog geen antwoord, maar ik zal het direct voor je navragen: anders wordt het net een potje badmintonnen tussen het logboek en de Zyxel, dat kan nog dagen zo doorgaan!

Ik kom hier snel op terug (hoop ik).

Reputatie 3

Goedemorgen @marvpp, fijn om te zien dat iedereen gelijk zo goed helpt! 😊👍

Op je eerste vraag heb ik nog geen antwoord, maar ik zal het direct voor je navragen: anders wordt het net een potje badmintonnen tussen het logboek en de Zyxel, dat kan nog dagen zo doorgaan!

Ik kom hier snel op terug (hoop ik).

@Jason , Dank voor je bericht. Ik heb zojuist nogmaals herstart van modem gedaan om nogmaals te testen en het veiligheidheidslogboek is weer leeg. Dus ja graag wat nader onderzoek want dit klopt niet. Bvd Mar

Reputatie 7
Badge +16

@marvpp Geen enkel probleem! Onze onderzoeker wil graag de verbinding induiken om één en ander te controleren. Kun je mij een privébericht (de link is klikbaar) sturen met jouw postcode, huisnummer, geboortedatum en de laatste vier cijfers van je IBAN, alsjeblieft? Thanks!

Reputatie 3

@marvpp Geen enkel probleem! Onze onderzoeker wil graag de verbinding induiken om één en ander te controleren. Kun je mij een privébericht (de link is klikbaar) sturen met jouw postcode, huisnummer, geboortedatum en de laatste vier cijfers van je IBAN, alsjeblieft? Thanks!

Done . Thanks

Reputatie 3

Hallo @Jason,
is zie dat vanochtend mijn modem herstart is en dat ‘supervisor’ ingelogt heeft zoals de log aangeeft.
Is lijkt mij geiniteeerd door “Onderzoeker”. Klopt dit?

Log is niet leeg dus dat lijkt goed. Wat is er nu aangepast dat de log nu niet leeg is na herstart ?

Opvallend is echter wel dat ik gisteren in het geheeel geen attacks heb gehad wat eigenlijk niet klopt want er staat altijd wel een externe attack scan in. Verder is voor deze ‘supervisor’ login ook een sessie gestart van binnenuit (192.168.1.42) op SMB poort  445  naar “mijn home IP” adress:
kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=192.168.1.42 DST=MIJNHOME IP LEN=40 TOS=0x00 PREC=0x00 TTL=245 ID=34815 PROTO=TCP SPT=51856 DPT=445 WINDOW=1024 RES=0x00 SYN URGP=0 .

Maar dit is dus voor supervisor login. Kan de jullie onderzoeker aangeven waarvan dit komt? IP 192.168.1.42 , ken ik niet en TCP 445 is niet echt een secure sessie en ik was het zelf niet.
Alvast bedankt !

Reputatie 3

@Jason, Update op eerder bericht want logging is toch nog niet goed:
Ik heb zojuist modem toch nog even herstart en veiligheids log is nu leeg vanaf de eerdere ‘supervisor’ login.  Alles wat daarna is bijgelogt, attack en mijn eigen logins zijn niet meer zichtbaar. Vanochtend nog wel.  Kan je dit nog doorgeven aan jullie “onderzoeker”. Wederom bedankt.

Reputatie 7
Badge +16

Goedemorgen @marvpp, bedankt voor je updates en excuses voor mijn verlate reactie: ik mocht genieten van een vrijdag én maandag vrij. Ik geef jouw update door aan onze onderzoeker en hoop hier spoedig meer mee te kunnen doen voor je!

Reputatie 3

Hallo @Jason . Update: Er is weer wat aangepast vanuit de t-mobile kant lijkt het. 
Ik kan nu in geheel niet meer bij de logs. Systeemlogboek is leeg en als ik veiligheidslogboek selecteer krijg ik : “ Het is onmogelijk om de informatie nu op te halen. Probeer het opnieuw ".

Ik heb al opnieuw herstart, maar de boodschap blijft. Behoeft weinig uitleg dat dit onwenselijk is. Is er al een update mbt onderzoek?

Bvd

Reputatie 7
Badge +16

Goedemorgen @marvpp, er is niets aangepast vanuit T-Mobile, onze onderzoekers zijn nog bezig om het issue aan hun kant te kunnen reproduceren zodat er meer duidelijkheid ontstaat over waar de oorzaak precies zit. Ik hoop spoedig een meer concrete update te kunnen geven!

Reputatie 7
Badge +16

@marvpp Onze engineer heeft het getest met een aantal Zyxel modems en komt tot de volgende conclusies:

Wanneer je reset via de power-knop, gooit hij alles leeg; doe je dit via de webgui dan gaat het gewoon goed. Kan ik concluderen dat jij via de power-knop herstart hebt?

Reputatie 3

 Hi @Jason ,  ik heb zojuist 2 maal herstart, 1 maal soft (via GUI)  en 1 maal hard reset met de powerknop.
Als modem weer op is krijg ik bij beide keren de boodschap, wat ik bovenstaand ook al aangaf, : 
It is impossible to retrieve the information now. Please try again . Alleen nu is alle text in het engels. Systeemlog en veiligheidslog zijn dus ook engels: systemlog en security log. Geeft niet , maar ik heb de language aanpassing niet gedaan. Als ik deze echter via de GUI wil doen, dus van Engels naar Dutch, waar de setting op stond dan krijg ik de boodschap:
Het is onmogelijk om de informatie nu op te halen. Probeer het opnieuw. De taal wordt echter wel aangepast.


Opvallend is ook dat de systeemlog  wel exporteerbaar is en dat er dan wat in staat en veiligheids log is gewoon leeg. Ook kan ik namen van devices in het “verbindingen" scherm niet kan (meer) aanpassen. Kon eerder wel. Ik krijg dan boodscahp : Het verzoek was verboden . Op meerdere fronten klopt het dus iets niet. Op een van de IP adres staat nu ook een jQuery command als text.

==> Het vervelende is dus dat ik nu nog steeds geen log meldingen meer kan inzien. Ik denk dat er wel gelogd wordt en wil graag inzage hebben/houden.

Reputatie 7
Badge +16

@marvpp Hmm dat is wel vreemd, zeker omdat we het getest hebben en met GUI juist niet meer verloren gaat. Wellicht dan toch een bug bij Zyxel. Ik geef het meteen door, thanks voor je updates!

Reputatie 3

@marvpp Hmm dat is wel vreemd, zeker omdat we het getest hebben en met GUI juist niet meer verloren gaat. Wellicht dan toch een bug bij Zyxel. Ik geef het meteen door, thanks voor je updates!

 

@Jason . Dank. Ik had je update van zojuist nog niet gezien en had onderstaande dus nog extra toegevoegd  ik de eerder post:
Opvallend is ook dat de systeemlog  wel exporteerbaar is en dat er dan wat in staat en veiligheids log is gewoon leeg. Ook kan ik namen van devices in het “verbindingen" scherm niet kan (meer) aanpassen. Kon eerder wel. Ik krijg dan boodscahp : “Het verzoek was verboden” . Op meerdere fronten klopt het dus iets niet. Op een van de IP adres staat nu ook een jQuery command als text.

Zonder evidence en alles optellend, denk ik dat het mogelijk, mischien iets met met mijn admin account
authorisatie van doen heeft.

Reputatie 7
Badge +16

Hoi @marvpp, jij bedankt voor jouw terugkoppelingen! Ik speel dit ook weer door naar onze expert en hoop dat Zyxel de bug eruit kan halen - indien het inderdaad om een bug gaat (lijkt me wel).