Mogelijk malware buiten SD kaart van Pi? - Client software algemeen

Vraag

woensdag 2 december 2020 08:16

Acties:

0 Henk 'm!

Topicstarter

Ik loop tegen een probleem aan dat een Raspberry Pi zelfs na volledige format van sd card en opnieuw etchen van diezelfde sd kaart nog steeds pogingen doet via port 22 te connecten naar willekeurige servers buiten mijn netwerk. Ik kan het niet hard maken, vanwege ontbreken van echt gedetailleerde logging.

Mijn vraag is, kan een Pi besmet raken buiten de SD kaart om? Bootloader of iets dergelijks?

Alle reacties

woensdag 2 december 2020 08:45

Acties:

0 Henk 'm!

SniperGuy

Probeer eens een andere image, als het probleem in de image zit die je steeds opnieuw gebruikt, tja dan verhelp je het probleem niet.
Ik gebruik alleen originele images via de Raspberry Pi Imager

woensdag 2 december 2020 13:09

Acties:

0 Henk 'm!

Deadly Knapsack

Topicstarter

Het zijn verse originele images van oorspronkelijke bron. Daarbij heb ik diverse images geprobeerd van diverse vendors.

woensdag 2 december 2020 14:33

Acties:

0 Henk 'm!

Yagermeister

Bedrijfsprutser on call

Heb je wellicht ook een lijstje van servers/adressen waar hij verbinding mee wilt maken? Tevens welke images gaat het zich om wat je gebruikt?

Is het bijv niet de update of time servers waarmee die verbinding maakt. Naar mijn weten kan het kaartje niet zomaar besmet raken met malware dus dat zou eigenlijk geen probleem mogen zijn.

-Te huur

woensdag 2 december 2020 15:02

Acties:

+1 Henk 'm!

_ferry_

Moderator Tweaking

Nipple Tweaker

-> Schopje van MME naar CSA.

woensdag 2 december 2020 15:05

Acties:

+1 Henk 'm!

slaay

Natuurbeleven.com

Ik kan het niet hard maken, vanwege ontbreken van echt gedetailleerde logging.

Maar hoe weet je dan dat er verbindingen worden gemaakt naar willekeurige servers op poort 22?

Dich bis echt unne foëzen haas

woensdag 2 december 2020 15:21

Acties:

0 Henk 'm!

Deadly Knapsack

Topicstarter

slaay schreef op woensdag 2 december 2020 @ 15:05:
[...]

Maar hoe weet je dan dat er verbindingen worden gemaakt naar willekeurige servers op poort 22?

Omdat ik elke keer rond de tijd dat ik die Pi aan mijn netwerk hang afgesloten werd door Ziggo, vanwege unauthorized pogingen op port 22 vanaf mijn adres. Dat is OF toeval OF er gaat iets mis met de Pi. Ik heb letterlijk al 4 keer nieuwe image gebrand en elke keer lijkt het de oorzaak dat ik afgesloten word. De meldingen komen overaan met de tijdstippen dat ik 'm opstart. Nu natuurlijk geblocked, maar de vraag blijft: kan er malware op de Pi staan die persistent is na SD wissel?

woensdag 2 december 2020 15:22

Acties:

0 Henk 'm!

Deadly Knapsack

Topicstarter

Yagermeister schreef op woensdag 2 december 2020 @ 14:33:
Heb je wellicht ook een lijstje van servers/adressen waar hij verbinding mee wilt maken? Tevens welke images gaat het zich om wat je gebruikt?

Is het bijv niet de update of time servers waarmee die verbinding maakt. Naar mijn weten kan het kaartje niet zomaar besmet raken met malware dus dat zou eigenlijk geen probleem mogen zijn.

Nee, het zijn meldingen op AbuseIPDB. IP adres van getroffen server staat er deze keer niet bij. Wel poort 22.

woensdag 2 december 2020 15:24

Acties:

0 Henk 'm!

Verwijderd

Lijkt me sterk dat het vanaf je Pi komt. Want deze heeft geen eigen opslag, dat kan alleen via je MicroSD of externe USB devices.
Weet je zeker dat het vanaf je Raspberry Pi komt en niet vanaf andere devices? Geen buren die op jou Wi-Fi zitten? Gebeurd het pas bijvoorbeeld nadat je bepaalde toolings hebt geïnstalleerd op je Pi?

woensdag 2 december 2020 15:29

Acties:

+1 Henk 'm!

u_nix_we_all

In je vorige topic staan tips om je netwerkverkeer te loggen, is daar nog wat uitgekomen ?
Ook geef je aan verschillende docker images op je pi te draaien, maar vertelt niet welke dat zijn. Heb je bijv al eens hiernaar gekeken: https://docs.docker.com/e...mandline/network_inspect/ ?

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

woensdag 2 december 2020 15:45

Acties:

+1 Henk 'm!

Yagermeister

Bedrijfsprutser on call

Deadly Knapsack schreef op woensdag 2 december 2020 @ 15:21:
[...]

Omdat ik elke keer rond de tijd dat ik die Pi aan mijn netwerk hang afgesloten werd door Ziggo, vanwege unauthorized pogingen op port 22 vanaf mijn adres. Dat is OF toeval OF er gaat iets mis met de Pi. Ik heb letterlijk al 4 keer nieuwe image gebrand en elke keer lijkt het de oorzaak dat ik afgesloten word. De meldingen komen overaan met de tijdstippen dat ik 'm opstart. Nu natuurlijk geblocked, maar de vraag blijft: kan er malware op de Pi staan die persistent is na SD wissel?

Het lijkt me sterk dat Ziggo je al meteen gaat afsluiten meteen bij de eerste constatering dus dat lijkt me dan ook heel sterk dat het vanaf de pi komt. Ik vermoed eerder dat er een ander apparaat is wat voor problemen zorgt en per toeval dat het erop lijkt dat het de pi is.

-Te huur

woensdag 2 december 2020 15:56

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Deadly Knapsack schreef op woensdag 2 december 2020 @ 15:21:
[...]
maar de vraag blijft: kan er malware op de Pi staan die persistent is na SD wissel?

Ja, dat kan. Er zit een stukje NVRAM in de rPi en daar zou bijv. een wget opdracht kunnen staan die de poortscanner downloadt en uitvoert. De nadruk ligt op "zou"; ik heb het nog niet eerder gehoord namelijk. Maar iemand moet de eerste zijn

QnJhaGlld2FoaWV3YQ==

woensdag 2 december 2020 16:08

Acties:

0 Henk 'm!

Dutch_Celt

Jollygood

Deadly Knapsack schreef op woensdag 2 december 2020 @ 15:21:
[...]

Omdat ik elke keer rond de tijd dat ik die Pi aan mijn netwerk hang afgesloten werd door Ziggo, vanwege unauthorized pogingen op port 22 vanaf mijn adres. Dat is OF toeval OF er gaat iets mis met de Pi. Ik heb letterlijk al 4 keer nieuwe image gebrand en elke keer lijkt het de oorzaak dat ik afgesloten word. De meldingen komen overaan met de tijdstippen dat ik 'm opstart. Nu natuurlijk geblocked, maar de vraag blijft: kan er malware op de Pi staan die persistent is na SD wissel?

Kun je aangeven wat je eventueel op de Pi geconfigureerd hebt in de diverse images voor je deze weer aan het netwerk hangt?
Met name wat je zelf eventueel qua ssh en evt. logging / meldingen ingesteld hebt en waar/hoe deze heen gestuurd worden?

woensdag 2 december 2020 17:02

Acties:

0 Henk 'm!

Deadly Knapsack

Topicstarter

Verwijderd schreef op woensdag 2 december 2020 @ 15:24:
Lijkt me sterk dat het vanaf je Pi komt. Want deze heeft geen eigen opslag, dat kan alleen via je MicroSD of externe USB devices.
Weet je zeker dat het vanaf je Raspberry Pi komt en niet vanaf andere devices? Geen buren die op jou Wi-Fi zitten? Gebeurd het pas bijvoorbeeld nadat je bepaalde toolings hebt geïnstalleerd op je Pi?

Ik weet niet zeker dat het door de Pi komt, daarom stel ik juist de vraag hier 🙂

Ik weet exact wie er op mijn netwerk zitten en nee, ik heb niets anders geinstalleerd.

u_nix_we_all schreef op woensdag 2 december 2020 @ 15:29:
In je vorige topic staan tips om je netwerkverkeer te loggen, is daar nog wat uitgekomen ?
Ook geef je aan verschillende docker images op je pi te draaien, maar vertelt niet welke dat zijn. Heb je bijv al eens hiernaar gekeken: https://docs.docker.com/e...mandline/network_inspect/ ?

Ik draai de Dockers op een NAS en die NAS is sinds ikzelf offline ben gehaald niet meer aangesloten geweest. Deze case met de Pi is gewoon een verse pi, zonder iets bijzonders.

Yagermeister schreef op woensdag 2 december 2020 @ 15:45:
[...]

Het lijkt me sterk dat Ziggo je al meteen gaat afsluiten meteen bij de eerste constatering dus dat lijkt me dan ook heel sterk dat het vanaf de pi komt. Ik vermoed eerder dat er een ander apparaat is wat voor problemen zorgt en per toeval dat het erop lijkt dat het de pi is.

Kun je sterk vinden, maar dat is wel wat er gebeurd is. Ik ken de mensen bij Abuse inmiddels persoonlijk, zoveel contact heb ik gehad hierover.

Brahiewahiewa schreef op woensdag 2 december 2020 @ 15:56:
[...]

Ja, dat kan. Er zit een stukje NVRAM in de rPi en daar zou bijv. een wget opdracht kunnen staan die de poortscanner downloadt en uitvoert. De nadruk ligt op "zou"; ik heb het nog niet eerder gehoord namelijk. Maar iemand moet de eerste zijn

Interessant. Kan ik dat flushen?

Dutch_Celt schreef op woensdag 2 december 2020 @ 16:08:
[...]

Kun je aangeven wat je eventueel op de Pi geconfigureerd hebt in de diverse images voor je deze weer aan het netwerk hangt?
Met name wat je zelf eventueel qua ssh en evt. logging / meldingen ingesteld hebt en waar/hoe deze heen gestuurd worden?

ik run direct een passwd en doe er verder niets bijzonders mee. Het gaat zowel om een verse Buster als een Octoprint image (voor 3d printer). Pi hoeft ook helemaal niet online te zijn, dat is het probleem niet. Ik wil weten of het kan dat er iets op een boardje draait, wat persistent is. De kans dat meerdere images allemaal malware hebben draaien is nagenoeg 0, dat realiseer ik me ook wel.

woensdag 2 december 2020 17:22

Acties:

0 Henk 'm!

Biersteker

Dit kan best veel zijn om te checken, maar komt ie:
- Welke router draai je? (Geef die maar een factory reset)
- Installeer de pi zonder internet,en hou ssh uit en vervang het default password meteen. (mac adressen van een pi zijn makkelijk te checken, en eigenlijk als je iets aan troep in je netwerk heb dat kijkt naar specifiek pi's is het relatief easy om ssh pi@<ip van rpi> <command dat payload binnentrekt> met default password rasbian te doen, dus uitsluiten herbesmetting)
- Docker, check echt alle images die je draait. Docker is heel leuk, maar random een docker image pakken is best link. Check de sources, en check het netwerk verkeer.
- Check andere gekke meuk in je netwerk. Dus echt alles wat netwerk connectiviteit heeft. (telefoon,tv,tablet,lampen,cameras,deurbellen).
- Update je bootrom van je pi. https://www.raspberrypi.o...raspberrypi/booteeprom.md

Dit allemaal omdat je aangeeft dat er een link is tussen de tijd van gebruik van de pi en de abuse data.

tldr; alles uit,factory resetten als je kan , opnieuw opbouwen,wachtwoorden veranderen zonder netwerking en je pi updaten.

Je geeft aan trouwens een UPC modem te gebruiken. Staat die in router mode of in bridge, zo ja heb je er nog een router die iets van NAT doet aan hangen?

[ Voor 6% gewijzigd door Biersteker op 02-12-2020 18:03 ]

Originally, a hacker was someone who makes furniture with an axe.

woensdag 2 december 2020 20:09

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Deadly Knapsack schreef op woensdag 2 december 2020 @ 17:02:
[...]

Interessant. Kan ik dat flushen?
[...]

Waarschijnlijk wel, maar vraag mij niet hoe ;o)
https://www.flashrom.org/RaspberryPi lijkt een goed startpunt

QnJhaGlld2FoaWV3YQ==

zaterdag 5 december 2020 15:32

Acties:

0 Henk 'm!

Deadly Knapsack

Topicstarter

Biersteker schreef op woensdag 2 december 2020 @ 17:22:
Dit kan best veel zijn om te checken, maar komt ie:
- Welke router draai je? (Geef die maar een factory reset)
- Installeer de pi zonder internet,en hou ssh uit en vervang het default password meteen. (mac adressen van een pi zijn makkelijk te checken, en eigenlijk als je iets aan troep in je netwerk heb dat kijkt naar specifiek pi's is het relatief easy om ssh pi@<ip van rpi> <command dat payload binnentrekt> met default password rasbian te doen, dus uitsluiten herbesmetting)
- Docker, check echt alle images die je draait. Docker is heel leuk, maar random een docker image pakken is best link. Check de sources, en check het netwerk verkeer.
- Check andere gekke meuk in je netwerk. Dus echt alles wat netwerk connectiviteit heeft. (telefoon,tv,tablet,lampen,cameras,deurbellen).
- Update je bootrom van je pi. https://www.raspberrypi.o...raspberrypi/booteeprom.md

Dit allemaal omdat je aangeeft dat er een link is tussen de tijd van gebruik van de pi en de abuse data.

tldr; alles uit,factory resetten als je kan , opnieuw opbouwen,wachtwoorden veranderen zonder netwerking en je pi updaten.

Je geeft aan trouwens een UPC modem te gebruiken. Staat die in router mode of in bridge, zo ja heb je er nog een router die iets van NAT doet aan hangen?

Ik waarder enorm dat je dit hier zo uitgebreid uiteenzet, echt waar, maar we gaan een beetje off-topic als ik heel eerlijk ben. Mijn vraag ging heel concreet over de Pi, niet over de rest van mijn netwerk. Ik heb alles wat jij aandraagt al geprobeerd en daarom wil ik het juist heel specifiek afpellen. Een van de punten waar ik dus over twijfel is de Pi. Nu hangt hij aan het netwerk zonder verbinding naar buiten, want functioneel heb ik 'm nodig binnenshuis.

Ik zal eens naar de bootrom update kijken, dat is wel enorm on-topic en interessant!

Begrijp me niet verkeerd, dank voor het meedenken, maar de reden dat ik een specifieke vraag stelde is omdat ik ook op zoek was naar een specifiek antwoord 🙂

zaterdag 5 december 2020 15:54

Acties:

+1 Henk 'm!

_Arthur

blub

Al sinds begin dit jaar met dit probleem bezig en eigenlijk volg je geen van de aangedragen test / sniffer oplossingen op. Maar focus je op 1 item waarvan je niet weet of daar het probleem zit.

In dit topic legio info aangedragen maar volgens mij heb je alles genegeerd Afgesloten door Ziggo vanwege verdachte activiteiten

Als je toch alles beter weet, moet je het gewoon lekker zelf uitzoeken toch?

[ Voor 10% gewijzigd door _Arthur op 05-12-2020 15:55 ]

zaterdag 5 december 2020 15:58

Acties:

0 Henk 'm!

pennywiser

Deadly Knapsack schreef op zaterdag 5 december 2020 @ 15:32:
[...]

Ik waarder enorm dat je dit hier zo uitgebreid uiteenzet, echt waar, maar we gaan een beetje off-topic als ik heel eerlijk ben. Mijn vraag ging heel concreet over de Pi, niet over de rest van mijn netwerk. Ik heb alles wat jij aandraagt al geprobeerd en daarom wil ik het juist heel specifiek afpellen. Een van de punten waar ik dus over twijfel is de Pi. Nu hangt hij aan het netwerk zonder verbinding naar buiten, want functioneel heb ik 'm nodig binnenshuis.

Ik zal eens naar de bootrom update kijken, dat is wel enorm on-topic en interessant!

Begrijp me niet verkeerd, dank voor het meedenken, maar de reden dat ik een specifieke vraag stelde is omdat ik ook op zoek was naar een specifiek antwoord 🙂

Hi, je klinkt alsof je geen echte aanwijzingen wil maar naar een voor jou passend antwoord rondwinkelt. succes daarmee. Ik zal 1 ding vast zeggen, het ligt niet aan de bootrom die "besmet" is of wat dan ook.

[ Voor 4% gewijzigd door pennywiser op 05-12-2020 16:00 ]

zaterdag 5 december 2020 16:10

Acties:

0 Henk 'm!

pennywiser

_Arthur schreef op zaterdag 5 december 2020 @ 15:54:
Al sinds begin dit jaar met dit probleem bezig en eigenlijk volg je geen van de aangedragen test / sniffer oplossingen op. Maar focus je op 1 item waarvan je niet weet of daar het probleem zit.

In dit topic legio info aangedragen maar volgens mij heb je alles genegeerd Afgesloten door Ziggo vanwege verdachte activiteiten

Als je toch alles beter weet, moet je het gewoon lekker zelf uitzoeken toch?

Gaat gewoon een nieuw topic openen als de antwoorden hem niet meer aanstaan

zaterdag 5 december 2020 16:11

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

Vast al wel gesuggereerd in één van de andere topics van @Deadly Knapsack maar toch: Heb je toevallig een switch waarbij je poorten in 'monitor/mirror-mode' kunt zetten zodat je AL het verkeer wat er over de poort waarop je Pi aangesloten zit ook naar die mirror poort gestuurd wordt (én je het dus LIVE met Wireshark (PCAP) kunt bekijken vanop een PC / Laptop!!)?

Als je niet zo'n intelligente switch hebt: Een oude 'hub' doet exact dát maar dan meteen naar ALLE poorten.

Boldly going forward, 'cause we can't find reverse

zaterdag 5 december 2020 17:01

Acties:

0 Henk 'm!

Deadly Knapsack

Topicstarter

_Arthur schreef op zaterdag 5 december 2020 @ 15:54:
Al sinds begin dit jaar met dit probleem bezig en eigenlijk volg je geen van de aangedragen test / sniffer oplossingen op. Maar focus je op 1 item waarvan je niet weet of daar het probleem zit.

In dit topic legio info aangedragen maar volgens mij heb je alles genegeerd Afgesloten door Ziggo vanwege verdachte activiteiten

Als je toch alles beter weet, moet je het gewoon lekker zelf uitzoeken toch?

Wow, je hebt geen flauw idee wat ik allemaal probeer en geprobeerd heb en komt dan met zo'n opmerking? Dacht dat dit een veilige omgeving was waar je om hulp kon vragen. Ik heb logging draaien, ik probeer een sniffer op een monitorport in mijn switch werkend te krijgen, er hangt een laptop met Wireshark in de meterkast klaar om gebruikte te worden en ik stel hier letterlijk één hele specifieke vraag over een Pi die ik niet vertrouw en ik krijg deze bak ellende op me afgevuurd omdat ik tegelijk in een ander topic nog andere zaken probeer uit te sluiten. Ik denk ik stel mijn vraag op de juiste plek in andere hoek van dit forum, want oh wee dat je een Pi vraag stelt in het netwerk subforum. Een mens kan het hier eigenlijk nooit goed doen he?

zaterdag 5 december 2020 17:07

Acties:

0 Henk 'm!

Deadly Knapsack

Topicstarter

pennywiser schreef op zaterdag 5 december 2020 @ 15:58:
[...]

Hi, je klinkt alsof je geen echte aanwijzingen wil maar naar een voor jou passend antwoord rondwinkelt. succes daarmee. Ik zal 1 ding vast zeggen, het ligt niet aan de bootrom die "besmet" is of wat dan ook.

Je klinkt als iemand die het niet kan laten een antwoord te combineren met een onaardige sneer. Succes daarmee.

zaterdag 5 december 2020 17:18

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Goed, ik denk dat zowel een mogelijk antwoord als verdere tips zijn gegeven om verder te zoeken.

Mede op verzoek van de TS sluit ik deze maar.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1

Dit topic is gesloten.