Beantwoord

Veiligheidslogboek leeg na herstarten van Zyxel Modem en logboek niet te mailen

  • 9 February 2022
  • 61 reacties
  • 986 Bekeken
M
Reputatie 3
  • marvpp is een Master Poster
  • is een Master Poster
  • 28 reacties

Ik heb 2 situaties:

1: Na herstarten van mijn Zyxel VMG8825-T50 Modem blijkt dat mijn Veiligheidslogboek wat eerst gevuld was, dan leeg is. Het Systeem logboek is echter niet leeg. Zeer onwenselijke situatie dat logboek na herstart leeg is. (in zyxel hoofdmenu selecteer systeemmonitor en vervolgens logboek. Van hieruit zie je de 2 logboeken).

2: Ook kan ik een logboek wat op den duur weer gevuld is niet mailen naar een opgegeven mail adres. Resulterende boodschap is:  “Waarschuwing . Logboek niet verzonden.".

------

Firmware versie is V5.50(ABPY.1)b16_20210525

Wie heeft ervaring met bovenstaande en wat te doen om beide op te lossen.?

Alvast bedankt ,Mar.

 

 

icon

Beste antwoord door Jason van Odido 17 February 2022, 10:59

Bekijk origineel
This topic has been closed for comments

61 reacties

Jason van Odido
Rank
Reputatie 7
Badge +16

Hi @marvpp, wanneer wij inloggen is het inderdaad vanuit een 10.x.x.x. adres; de melding die aangeeft dat het om 192.168.1.200 is, zijn wij niet en we gebruiken geen telnet. Je kunt de logging van het supervisoraccount ook weer zien, dit stond uit in de settings - zo kun je direct zien dat we een 10-adres gebruiken! 😉

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
M
Reputatie 3

@marvpp Om de Zyxel mails te laten versturen, moet je eerst een afzender invullen bij Onderhoud > E-mailkennisgeving. Ik ga er even van uit dat je Gmail-account zowel afzender als ontvanger is. Dan zouden dit de instellingen moeten zijn:

Vervolgens kies je op het scherm dat je net stuurde bij ‘Selecteer één account’ voor dat e-mailadres. Daarna zou het moeten werken.

@TMTVOk, dit klinkt goed. Dit werkt inderdaad, alleen krijg ik wel een kritieke beveiligingsmelding aan de google mail kant, maar geeft aan dat het werkt. Bedankt !  ( Issue 2 🙂 )

Heb je mogelijk ook nog wat voor issue 1  ( veiligheidslogboek leeg na herstart?)

Jason van Odido
Rank
Reputatie 7
Badge +16

Goedemorgen @marvpp, bedankt voor je updates en excuses voor mijn verlate reactie: ik mocht genieten van een vrijdag én maandag vrij. Ik geef jouw update door aan onze onderzoeker en hoop hier spoedig meer mee te kunnen doen voor je!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
M
Reputatie 3

Hoi @Jason . Ik heb bovenstaande niet goed gelezen dus hier mijn update: Ik heb inderdaad ook AdBlocker geinstalleerd om werking te bezien. Deze nu verwijderd en ik zie inderdaad mijn “Logjes” weer. Super dat je dit hieraan kon relateren! Bedankt! @Timo78 
(Ps blijft nog wel vreemd wat de add blocker te doen heeft met jQuery die in ene in mijn beschrijving van Wireless device stond) .

M
Reputatie 3

Hallo @Jason,
is zie dat vanochtend mijn modem herstart is en dat ‘supervisor’ ingelogt heeft zoals de log aangeeft.
Is lijkt mij geiniteeerd door “Onderzoeker”. Klopt dit?

Log is niet leeg dus dat lijkt goed. Wat is er nu aangepast dat de log nu niet leeg is na herstart ?

Opvallend is echter wel dat ik gisteren in het geheeel geen attacks heb gehad wat eigenlijk niet klopt want er staat altijd wel een externe attack scan in. Verder is voor deze ‘supervisor’ login ook een sessie gestart van binnenuit (192.168.1.42) op SMB poort  445  naar “mijn home IP” adress:
kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=192.168.1.42 DST=MIJNHOME IP LEN=40 TOS=0x00 PREC=0x00 TTL=245 ID=34815 PROTO=TCP SPT=51856 DPT=445 WINDOW=1024 RES=0x00 SYN URGP=0 .

Maar dit is dus voor supervisor login. Kan de jullie onderzoeker aangeven waarvan dit komt? IP 192.168.1.42 , ken ik niet en TCP 445 is niet echt een secure sessie en ik was het zelf niet.
Alvast bedankt !

M
Reputatie 3

@Jason, Update op eerder bericht want logging is toch nog niet goed:
Ik heb zojuist modem toch nog even herstart en veiligheids log is nu leeg vanaf de eerdere ‘supervisor’ login.  Alles wat daarna is bijgelogt, attack en mijn eigen logins zijn niet meer zichtbaar. Vanochtend nog wel.  Kan je dit nog doorgeven aan jullie “onderzoeker”. Wederom bedankt.

TMTV
Rank
Reputatie 7
Badge +6

@marvpp Graag gedaan! Fijn dat het werkt. Op je eerste vraag heb ik niet echt een antwoord. Het is natuurlijk niet handig als het logboek na een stroomonderbreking leeg is. Het enige wat ik kan bedenken is dat het een bug is. De moderators van T-Mobile lezen mee. Misschien kan een van hen dit aan de ontwikkelaar doorgeven zodat die het op kan lossen.

"Jonge hackgod" - @Jason van Odido, 12 maart 2021
Jason van Odido
Rank
Reputatie 7
Badge +16

Hoi @marvpp, graag gedaan! Ik zou je niet zo snel durven zeggen waar dat interne IP-adres vandaan komt. Kan het zijn dat er een apparaat gekoppeld is geweest of geprobeerd heeft te linken waardoor deze melding voorbij kwam? 

Ik vraag onze Community-knaller @TechRacing93 om wat inzichten: heb jij een idee? Ook ten aanzien van de vraag: “Kan het zijn dat entries van type “attacks” (nog) niet gelogt worden?”

Thanks alvast voor je hulp!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Jason van Odido
Rank
Reputatie 7
Badge +16

Hoi @marvpp, dat is super om te horen, fijn dat dit het issue was! 😄 

Op 21 februari hebben onze engineers inderdaad nog ingelogd om te controleren of er een andere bug aanwezig was en dit bleek niet zo te zijn. Sorry voor mijn veel te late reactie: ik was een paar dagen met verlof!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Jason van Odido
Rank
Reputatie 7
Badge +16

Goedemorgen @marvpp, fijn om te zien dat iedereen gelijk zo goed helpt! 😊👍

Op je eerste vraag heb ik nog geen antwoord, maar ik zal het direct voor je navragen: anders wordt het net een potje badmintonnen tussen het logboek en de Zyxel, dat kan nog dagen zo doorgaan!

Ik kom hier snel op terug (hoop ik).

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Boris
Rank
Reputatie 7

Hi @marvpp,

Ik wil dan graag onze vriend @TechRacing93 vragen om je wat meer duidelijkheid te bieden over de navraag hierover. Zo komen we zeker tot de juiste oplossing! 

M
Reputatie 3

Goedemorgen @marvpp, fijn om te zien dat iedereen gelijk zo goed helpt! 😊👍

Op je eerste vraag heb ik nog geen antwoord, maar ik zal het direct voor je navragen: anders wordt het net een potje badmintonnen tussen het logboek en de Zyxel, dat kan nog dagen zo doorgaan!

Ik kom hier snel op terug (hoop ik).

@Jason , Dank voor je bericht. Ik heb zojuist nogmaals herstart van modem gedaan om nogmaals te testen en het veiligheidheidslogboek is weer leeg. Dus ja graag wat nader onderzoek want dit klopt niet. Bvd Mar

Jason van Odido
Rank
Reputatie 7
Badge +16

@marvpp Geen enkel probleem! Onze onderzoeker wil graag de verbinding induiken om één en ander te controleren. Kun je mij een privébericht (de link is klikbaar) sturen met jouw postcode, huisnummer, geboortedatum en de laatste vier cijfers van je IBAN, alsjeblieft? Thanks!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Jason van Odido
Rank
Reputatie 7
Badge +16

Hoi @marvpp, onze specialisten zijn nog druk in conclaaf met Zyxel. Zodra er een update te geven is, zal ik die direct delen met je. Bedankt voor je geduld!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
T
Reputatie 6
Badge +3

Hi @marvpp

Je krijgt “filtered” omdat die door de Firewall van de Zyxel eruit worden gefilterd en gedropped.

De hogeren poorten worden geblokt en krijgen daardoor wel een entry.  Niet elke manier van drop of blok wordt gelogd. Als je dat wilt adviseer ik een andere soort firewall appliance te gebruiken 😉

T
Reputatie 6
Badge +3

Hi @marvpp

Als je precies verteld wat je doet en wat je voor uitkomst verwacht, dan kan ik eventueel nog keer kijken als ik tijd heb. Maar kan niks beloven. 

Jason van Odido
Rank
Reputatie 7
Badge +16

Hoi @marvpp, ik vraag het na bij de experts en kom er dan hopelijk vandaag nog op terug! 😉

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
M
Reputatie 3

@marvpp Geen enkel probleem! Onze onderzoeker wil graag de verbinding induiken om één en ander te controleren. Kun je mij een privébericht (de link is klikbaar) sturen met jouw postcode, huisnummer, geboortedatum en de laatste vier cijfers van je IBAN, alsjeblieft? Thanks!

Done . Thanks

M
Reputatie 3

@Jason ok dank. Nog een update:
1) Het valt mij op dat een van mijn wireless devices, waar eerder als naam een jQuery command stond en niet aanpasbaar is deze nu wel aangepast is, en ik deze nu ook wel weer kan aanpassen.

2) Ik kan de security log (nog) niet inzien, maar nu wel weer exporteren, weliswaar met wat beperkte entries volgens mij.
Hieronder twee maal op de zelfde datum : Feb 10 23:34:57 kern.alert kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=192.168.1.42 DST=<MijnHomeIP>  LEN=40 TOS=0x00 PREC=0x00 TTL=245 ID=34815 PROTO=TCP SPT=51856 DPT=445 WINDOW=1024 RES=0x00 SYN URGP=0
Waar komt deze .42 van daan?
Ook staan er (maar) 2  entries van 18 feb, maar nu gelogd in de range van 10 feb en deze staan dubbel gemeld . Hoe kan dit?

Bvd

Jason van Odido
Rank
Reputatie 7
Badge +16

Goedemorgen @marvpp, ik zal nog eens aan @TechRacing93 vragen of hiernaar gekeken kan worden - ik weet zeker dat het geen bewuste afhouding was!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
M
Reputatie 3

Hi @Jason , weet niet precies welk antwoord ik nu moet krijgen, maar ik wacht nog op antwoord mbt eren mogelijke support sessie die gestart wordt vanuit 192.x ipv 10.x (zie eerdere update in dit issue).

Ik heb nu weer een zelfde telnet sessie port 23 (Log entry: Mar 31 14:40:18  kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=192.168.1.200 DST=<Home IP adres> LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=53833 PROTO=TCP SPT=37858 DPT=23 WINDOW=47370 RES=0x00 SYN URGP=0 )

Waarom is dit 192.x en niet 10.y vanuit support? Is dit van support die vervolgens inlogt met Supervisor?

Ik zou ook graag de supervisor logins willen zien in mij securitylog.

Bvd alvast. Mar.
 

Jason van Odido
Rank
Reputatie 7
Badge +16

@marvpp Hmm ik sluit me in dit geval aan bij wat @TechRacing93 hierboven aangeeft. Inderdaad wordt niet altijd elke wijze van drop of block gelogd. Ik betwijfel daarom of het aan de logging settings ligt, maar zal er nog eventjes naar kijken! Thanks voor de updates marvpp en voor de hulp @TechRacing93! 👍👍 

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Jason van Odido
Rank
Reputatie 7
Badge +16

@marvpp Je updates worden direct aangeleverd bij Zyxel, dankjewel en chapeau voor je snelle interacties en medewerking!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Jason van Odido
Rank
Reputatie 7
Badge +16

@marvpp Kan het zijn dat jij toevallig een Adblocker of Adblocker Plus gebruikt als Chrome extensie (bijvoorbeeld)? Die kan het logboek als ad zien en daardoor verwijderen/blokkeren. Dat zou ook de blokkade bij toegang verklaren.

Zou je nog antwoord kunnen geven op de vragen vanuit Zyxel, alsjeblieft?

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
M
Reputatie 3

Hallo @Jason . Update: Er is weer wat aangepast vanuit de t-mobile kant lijkt het. 
Ik kan nu in geheel niet meer bij de logs. Systeemlogboek is leeg en als ik veiligheidslogboek selecteer krijg ik : “ Het is onmogelijk om de informatie nu op te halen. Probeer het opnieuw ".

Ik heb al opnieuw herstart, maar de boodschap blijft. Behoeft weinig uitleg dat dit onwenselijk is. Is er al een update mbt onderzoek?

Bvd

ForumvoorwaardenCookie instellingen