TP-Link routers geïnfecteerd met Spyware?

vrijdag 15 april 2016 10:25

Acties:

0 Henk 'm!

Topicstarter

Ik had een probleem met instabiele Wifi op mijn TP Link Archer C7 router. Het probleem lijkt inmiddels meestal weg of minder te zijn maar zeker weten doe ik dat niet.
Hoe dan ook, ik deed wat speurwerk en blijf met een grote vraag en mysterie zitten......

Om verschillende redenen gebruik ik OpenDNS ipv de standaard, door DHCP opgehaalde DNS van mijn provider (Telfort,voorheen XMS glasvezel), o.a. zodat ik op die manier ook inzicht krijg in welke domeinen worden bezocht door alle devices achter de router.

Met stip worden twee TP-Link domeinen bezocht, IEDERE 30 seconden.....zelfs als alle andere apparatuur is uitgeschakeld of afgekoppeld.

Het OpenDNS log vertelt over de afgelopen week:
1 a.root-servers.net 19,834
2 www.tp-link.com 19,832
..... waar 19.xxx het aantal keren zijn dat de router die domeinen pollen.... (en wat gebeurt er nog meer??)

Heeft de Chinese overheid de TP-Link routers geïnfecteerd met spyware?????????

Bij navraag bij TP-Link zelf haalden zij hun schouders op of kon of wilde hier geen antwoord op geven...
Iemand enig idee wat er gebeurt?

[ Voor 0% gewijzigd door RobTim op 15-04-2016 10:26 . Reden: spelfout ]

vrijdag 15 april 2016 10:31

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Je ?-knop is kapot. Ik haal ????????????????????????????????????????????? uit de topictitel

En verplaats je topic van Netwerken naar B&V aangezien het over beveiliging gaat.

Waarom denk je dat het spyware is en niet iets anders? Welke content betreft het als je gaat sniffen?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 15 april 2016 10:34

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Root-servers.net doet het hier (wellicht vanwege mijn pi-hole) overigens ook niet. Waarom die dus net zo vaak polled, geen idee.

vrijdag 15 april 2016 10:40

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

a.root-servers.net is 'van' VeriSign. Root-servers.com van IANA / ICANN. Als zowel de Amerikanen als de Chinezen in het complot zitten dan zijn we b0rked

Waarom tp-link.com wordt gepolled (welke content er over de lijn gaat) kan de TS zelf sniffen, ik vermoed net gebruik maar meten is weten.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 15 april 2016 11:39

Acties:

0 Henk 'm!

AlterEgo

Ik gebruik ook OpenDNS op mijn Archer C5-die OpenWRT draait. Geen spoor van contact met a.root-servers.net of www.tp-link.com.

vrijdag 15 april 2016 13:54

Acties:

+1 Henk 'm!

Axewi

Open deur: Zoekt de tplink niet toevallig naar firmware updates bij tp-link.com?
Verder kan je natuurlijk het netwerk verkeer eens bekijken (sniffen) zodat je kan zien wat voor een verzoekjes je router stuurt naar tp-link.com.

En als je het niet vertrouwd kan je altijd nog openWRT installeren zoals AlterEgo aanhaalt.

Als de lat te hoog ligt kun je er nog altijd onderdoor lopen.

maandag 25 april 2016 15:53

Acties:

0 Henk 'm!

RobTim

Topicstarter

Axewi... iedere 30 seconden pollen voor nieuwe firmware had ik ook aan TP-Link support gevraagd maar het is natuurlijk belachelijk om dat zo vaak te doen, kan ook 1 x per uur of per paar uur / dag / week etc..

Sniffen.... lastig als de router direct achter het glasvezelmodem hangt, zou ik er eerst weer een apart netwerk van moeten maken. Het verkeer is namelijk niet afkomstig van een netwerk-gebruiker maar van de router zelf

maandag 25 april 2016 15:55

Acties:

0 Henk 'm!

RobTim

Topicstarter

F_J_K schreef op vrijdag 15 april 2016 @ 10:31:
Je ?-knop is kapot. Ik haal ????????????????????????????????????????????? uit de topictitel
PRIMA
En verplaats je topic van Netwerken naar B&V aangezien het over beveiliging gaat.
OOK GOED
Waarom denk je dat het spyware is en niet iets anders? Welke content betreft het als je gaat sniffen?

Bedenk eens wat het nog meer zou kunnen zijn?

maandag 25 april 2016 15:57

Acties:

0 Henk 'm!

RobTim

Topicstarter

AlterEgo schreef op vrijdag 15 april 2016 @ 11:39:
Ik gebruik ook OpenDNS op mijn Archer C5-die OpenWRT draait. Geen spoor van contact met a.root-servers.net of www.tp-link.com.

Waarom installeerde je OpenWRT ?

maandag 25 april 2016 16:03

Acties:

0 Henk 'm!

Verwijderd

Even van iemand een switch lenen met port mirroring/monitoring en deze tussen je modem en de TP-link zetten. Aan je mirror port hang je dan een PC met bijv. Wireshark. (Cisco naampje: SPAN)

Dan zie je zo wat voor verkeer het is. Gebruik je niet toevallig een of andere cloud dienst van TP-link? Dan zou ik me nog kunnen voorstellen dat je router zich elke X seconden gaat melden bij die dienst. (Vraag mij niet wat voor dienst....)

maandag 25 april 2016 17:03

Acties:

+2 Henk 'm!

johnkeates

RobTim schreef op maandag 25 april 2016 @ 15:57:
[...]

Waarom installeerde je OpenWRT ?

Waarom schreeuw je zo op internet?

woensdag 27 april 2016 13:49

Acties:

0 Henk 'm!

GuntherDW

Waarom hij elke 30 seconden naar a.root-server. gaat query'en is een beetje raar. Heb je in de TP-Link zelf ook die OpenDNS DNS ingesteld?

Het lijkt me raar dat hij bij de root servers gaan aankloppen als je OpenDNS als DNS hebt ingesteld. Dit zouden ze enkel moeten doen als je zelf je eigen DNS server draait, en je eigen lookups doet IPV een andere service te gebruiken zoals die van je ISP of OpenDNS.

Echter vind ik het raar dat je device de TTL negeert van de DNS replies die hij terug zou krijgen.
a.root-servers.net bijvoorbeeld heeft een TTL van 360 minuten, niet 30 seconden.

woensdag 27 april 2016 15:58

Acties:

0 Henk 'm!

johnkeates

GuntherDW schreef op woensdag 27 april 2016 @ 13:49:
Waarom hij elke 30 seconden naar a.root-server. gaat query'en is een beetje raar. Heb je in de TP-Link zelf ook die OpenDNS DNS ingesteld?

Het lijkt me raar dat hij bij de root servers gaan aankloppen als je OpenDNS als DNS hebt ingesteld. Dit zouden ze enkel moeten doen als je zelf je eigen DNS server draait, en je eigen lookups doet IPV een andere service te gebruiken zoals die van je ISP of OpenDNS.

Echter vind ik het raar dat je device de TTL negeert van de DNS replies die hij terug zou krijgen.
a.root-servers.net bijvoorbeeld heeft een TTL van 360 minuten, niet 30 seconden.

Waarschijnlijk doet TP-Link's firmware updater dat. Eerst via een hard-coded DNS server (in dit geval blijkbaar een van de root servers) TP'links update host resolven en daarna verbinden voor een check.

woensdag 27 april 2016 18:48

Acties:

0 Henk 'm!

StarWing

Huh ?!?

Een Archer C5 heeft geen ingebouwde firmware updater, enkel een manuele.
Misschien is het de ingebouwde NTP of ddns client ?

[ Voor 3% gewijzigd door StarWing op 27-04-2016 18:48 ]

Page intentionally left blank.

donderdag 28 april 2016 13:55

Acties:

0 Henk 'm!

iisschots

Zou je niet meer dan 1x achterelkaar aan willen posten. We hebben een hele mooie edit knop

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

donderdag 28 april 2016 14:41

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

RobTim schreef op maandag 25 april 2016 @ 15:55:
Bedenk eens wat het nog meer zou kunnen zijn?

Daar zijn wat suggesties voor gegeven. De frequentie blijft overigens erg hoog, wat ook op een bug kan duiden.

Het lijkt me sowieso dus toch nuttig om te gaan sniffen (zie eerder voor een optie daartoe) om te zien wat voor data het betreft. Het alternatief is het ding bij de milieustraat inleveren en een ander merk kopen, maar dat lijkt me vooralsnog overkill.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 28 april 2016 14:58

Acties:

0 Henk 'm!

hcQd

Dit speelt al minstens 4 jaar (link), vraag me niet waarom. Als je er last van hebt zet je er lekker OpenWRT oid op.

donderdag 28 april 2016 23:13

Acties:

+3 Henk 'm!

Thralas

Allemaal fout! Disassemblen is weten

Ik heb Archer C7_V2_150427 unpacked en gegrepped op de domeinen die TS noemt.

code:

$ grep -r root-servers *
Binary file usr/bin/httpd matches
Binary file usr/bin/uclited matches
Binary file usr/sbin/dnsproxy matches

De httpd spawned een thread die iedere 30 seconden een DNS request voor www.tp-link.com uitstuurt. De response handler bevat de volgende strings:

code:

1 2	Primary DNS server Is Down... Switching To Secondary DNS server Switching Back To Primary DNS server

Blijkbaar vond men het nodig om actief te controleren of de DNS server nog werkt.

Het domein www.tp-link.com is uniek voor de httpd, a.root-servers.net zit in 3 binaries, een van die drie zal wel eenzelfde grap uithalen.

zondag 1 mei 2016 13:09

Acties:

0 Henk 'm!

RobTim

Topicstarter

Huh? Hoezo?

johnkeates schreef op maandag 25 april 2016 @ 17:03:
[...]

Waarom schreeuw je zo op internet?

zondag 1 mei 2016 13:11

Acties:

0 Henk 'm!

RobTim

Topicstarter

In de DNS settings van de router staan de ip adressen van OpenDNS zodat alle apparatuur achter de router via deze name-servers gaan en ik in de log van OpenDNS kan zien of er vreemde dingen gebeuren, zoals dit dus.

GuntherDW schreef op woensdag 27 april 2016 @ 13:49:
Waarom hij elke 30 seconden naar a.root-server. gaat query'en is een beetje raar. Heb je in de TP-Link zelf ook die OpenDNS DNS ingesteld?

Het lijkt me raar dat hij bij de root servers gaan aankloppen als je OpenDNS als DNS hebt ingesteld. Dit zouden ze enkel moeten doen als je zelf je eigen DNS server draait, en je eigen lookups doet IPV een andere service te gebruiken zoals die van je ISP of OpenDNS.

Echter vind ik het raar dat je device de TTL negeert van de DNS replies die hij terug zou krijgen.
a.root-servers.net bijvoorbeeld heeft een TTL van 360 minuten, niet 30 seconden.

zondag 1 mei 2016 13:17

Acties:

0 Henk 'm!

RobTim

Topicstarter

Dat was ook mijn eerste gedachte maar waarom dan iedere 30 seconden checken naar firmwareupdates, lijkt me veel te vaak.
Afgezien daarvan, bij navraag bij TP Link Tech Support ontkennen ze stellig dat hun firmware dit doet. En al helemaal geen 2x per minuut. Maar ze kunnen (of willen) er ook geen andere verklaring voor geven. En zelfs zonder enige client in het netwerk (niet via Wifi of wired) blijft het fenomeen bestaan.......

johnkeates schreef op woensdag 27 april 2016 @ 15:58:
[...]

Waarschijnlijk doet TP-Link's firmware updater dat. Eerst via een hard-coded DNS server (in dit geval blijkbaar een van de root servers) TP'links update host resolven en daarna verbinden voor een check.

zondag 1 mei 2016 13:29

Acties:

0 Henk 'm!

RobTim

Topicstarter

Ik denk dat ik het begrijp, maar kan je het iets anders uitleggen?

Als ik een andere DNS gebruik dan die van de ISP waarom zou TP Link ieder 30 seconden het bestaan ervan willen checken? Dat gaat hun toch feitelijk niets aan?

Het vreemde is (en misschien heeft dat ermee te maken) ik ervaar soms momenten dat er geen internet verkeer mogelijk lijkt, bv YouTube timeouts etc, dus dat zou hiermee te maken kunnen hebben. Als de router firmware een timeout of late response op de DNS-poll krijgt laat hij gedurende (ongeveer 30 seconden heb ik de indruk) helemaal geen verkeer meer door. Soms lijkt het wel of verkeer naar vaste ip-adressen (zoals WhatApp) op die momenten wel gewoon doorgaat.

Het lijkt hiermee te verklaren.

Thralas schreef op donderdag 28 april 2016 @ 23:13:
Allemaal fout! Disassemblen is weten

Ik heb Archer C7_V2_150427 unpacked en gegrepped op de domeinen die TS noemt.
code:
1
2
3
4
$ grep -r root-servers *
Binary file usr/bin/httpd matches
Binary file usr/bin/uclited matches
Binary file usr/sbin/dnsproxy matches
De httpd spawned een thread die iedere 30 seconden een DNS request voor www.tp-link.com uitstuurt. De response handler bevat de volgende strings:
code:
1
2
Primary DNS server Is Down... Switching To Secondary DNS server 
Switching Back To Primary DNS server
Blijkbaar vond men het nodig om actief te controleren of de DNS server nog werkt.

Het domein www.tp-link.com is uniek voor de httpd, a.root-servers.net zit in 3 binaries, een van die drie zal wel eenzelfde grap uithalen.

zondag 1 mei 2016 13:30

Acties:

+1 Henk 'm!

AlterEgo

RobTim schreef op maandag 25 april 2016 @ 15:57:
[...]
Waarom installeerde je OpenWRT ?

Omdat ik een router wilde die geschikt is voor OpenWRT. Ik wil niet afhankelijk zijn van leveranciers en hun updatefrequenties (of het gebrek daaraan). En ik heb nog nooit een TP-Link firmware zonder taalfouten gezien (ik weet het, niet relevant, maar het geeft me geen vertrouwen).
En om dit soorten grappen voor te zijn.

zondag 1 mei 2016 13:34

Acties:

+1 Henk 'm!

Thralas

RobTim schreef op zondag 01 mei 2016 @ 13:29:
Als ik een andere DNS gebruik dan die van de ISP waarom zou TP Link ieder 30 seconden het bestaan ervan willen checken? Dat gaat hun toch feitelijk niets aan?

Omdat het niet uitmaakt welke DNS-servers je gebruikt, hij wil gewoon controleren of hij de primary of secondary moet gebruiken. Waarom men dat gewoon niet 'as it happens' concludeert weet ik niet.

Het vreemde is (en misschien heeft dat ermee te maken) ik ervaar soms momenten dat er geen internet verkeer mogelijk lijkt, bv YouTube timeouts etc, dus dat zou hiermee te maken kunnen hebben. Als de router firmware een timeout of late response op de DNS-poll krijgt laat hij gedurende (ongeveer 30 seconden heb ik de indruk) helemaal geen verkeer meer door. Soms lijkt het wel of verkeer naar vaste ip-adressen (zoals WhatApp) op die momenten wel gewoon doorgaat.

Het is natuurlijk in principe wel zo dat een DNS-record eenmalig geresolved wordt, daarna blijft een verbinding gewoon bestaan.

Overigens, je hoeft niet voor ieder antwoord een nieuwe post te beginnen. Daarnaast leest het fijner als je je berichten onder de quote tikt.

zondag 1 mei 2016 14:43

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

RobTim schreef op zondag 01 mei 2016 @ 13:09:
Huh? Hoezo?

offtopic:
Tekst vet maken komt (net als HOOFDLETTERS EN VRAAG-/UITROEPTEKENS GEBRUIKEN!!!11) nogal over als schreeuwen - en is als zodanig dus not-done. Vandaar.

Zie ook Thralas in de post hierboven, verschillende eigen posts onder elkaar zetten wordt ook niet zo gewaardeerd: zolang er nog geen 24 u is verstreken en er niemand anders heeft gepost, is het de bedoeling om de eigen laatste post aan de passen ipv. een nieuwe maken. En onder de gequote post reageren leest inderdaad veel makkelijker. (I.t.t. een e-mail, zal je hier bij een quote alleen de relevante delen quoten en niet alles. Dan is daaronder reageren veel beter leesbaar).

Had je Thralas' post van donderdagavond gezien? En ook: het sniffen al heroverwogen? Zonder te weten welke content wordt getransporteerd zou ik me iig niet ongerust maken (by design testen of de DNSserver het nog doet, of bug die een heel klein beetje bandbreedte opsnoept). Maar dat zou anders kunnen zijn als je wel de data aftapt om te zien wat het is. (Ik heb geen TIPLink dus kan het niet testen).

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1

Reageer

Onderwerpen