Fritzbox protokolliert besuchte Websiten mit?

[AlbertMinrich]

Hallo,

hab von einem Arbeitskollegen eine Fritbox 7270 gekauft. Plötzlich wusste er, welche Seiten ich besucht hatte. Er sagte, er hatte da irgendwann mal eine Anleitung im Internet gefunden. Er hat sich per telnet auf die FB verbunden und irgendeinen Befehl reinkopiert und ausgeführt. Jetzt werden die besuchten Seiten irgendwo im Internet veröffentlicht. So richtig rausrücken damit will er nicht. Weiß jemand, was er gemacht haben könnte?

Danke
Martin

 

[sf3978]

Weiß jemand, was er gemacht haben könnte?

Er könnte eine Software, wie z. B. iplog oder httpry auf deiner Box installiert haben.

 

[3949354]

Hallo,
Um das zu beenden solltest Du die Box mittels Recoverprogramm oder ruKernelTool neu flashen. Danach dürften keine Rückstände mehr vorhanden sein. Zur Sicherheit solltest Du das Pwd der Box, sowie eine eventuell vorhandene DynDNS-Adresse austauschen.

 

[AlbertMinrich]

Er könnte eine Software, wie z. B. iplog oder httpry auf deiner Box installiert haben.

Jetzt bin ich zumindest schon mal per telnet auf der Fritzbox.
Von iplog oder httpry kann ich nichts finden. Meine Linux-Kenntnisse sind aber auch eher rudimentär. Wo müsste ich den schauen. "find -name httpry*" und "find -name iplog*" hat nichts gefunden.

Hier mal die Ausgabe von ps

# ps
  PID USER       VSZ STAT COMMAND
    1 root      1404 S    init
    2 root         0 SW   [kthreadd]
    3 root         0 SW   [ksoftirqd/0]
    4 root         0 SW   [events/0]
    5 root         0 SW   [khelper]
    6 root         0 SW   [async/mgr]
    7 root         0 SW   [CPMAC workqueue]
    8 root         0 SW   [sync_supers]
    9 root         0 SW   [bdi-default]
   10 root         0 SW   [kblockd/0]
   11 root         0 SW   [khubd]
   12 root         0 SW   [rpciod/0]
   13 root         0 SW   [kswapd0]
   14 root         0 SW   [aio/0]
   15 root         0 SW   [nfsiod]
   20 root         0 SW   [pm_info]
   21 root         0 SWN  [avmdebug]
   22 root         0 SW   [mtdblockd]
   23 root         0 SW   [tffsd_mtd_0]
   85 root         0 SW   [cleanup_timer_f]
   87 root         0 SW   [scsi_eh_0]
   94 root         0 SW   [usb-storage]
  190 root         0 SWN  [jffs2_gcd_mtd5]
  212 root         0 SW<  [loop0]
  224 root         0 SW   [capi_oslib]
  225 root         0 SW   [capi_oslib/0]
  227 root         0 SW   [capitransp]
  230 root         0 SW<  [avm_dect_thread]
  231 root         0 SW   [ksock tcp worke]
  232 root         0 SW   [ksock tcp serve]
  315 root      1420 S <  /sbin/udevd --daemon
  352 root      2856 S    aurad
  353 root      2856 S    aurad
  354 root      2856 S    aurad
  355 root      2856 S    aurad
  446 root      1420 S <  /sbin/udevd --daemon
  575 root      4224 S    /bin/configd
  882 root         0 SWN  [dectuart_route]
  890 root     12176 S    ctlmgr
  901 root      6168 S    upnpd
  932 root      4868 S    multid -t
 1011 root     12176 S    ctlmgr
 1012 root     12176 S    ctlmgr
 1013 root     12176 S    ctlmgr
 1115 root      4868 S    multid -t
 1301 root      6168 S    upnpd
 1302 root      6168 S    upnpd
 1303 root      6168 S    upnpd
 1508 root      4132 S    usermand
 1532 root      1420 S <  /sbin/udevd --daemon
 1653 root      3284 S    hostapd -B /var/tmp/wlan_ath0_topology
 1686 root      4888 S    dsld -i -n
 1694 root      5340 S    telefon a127.0.0.1
 1699 root      5000 S <  voipd
 1704 root      3996 S    pbd
 1705 root      3996 S    pbd
 1708 root      3996 S    pbd
 1709 root      3996 S    pbd
 1716 root      5340 S    telefon a127.0.0.1
 1717 root      5340 S    telefon a127.0.0.1
 2175 root      4660 S    /bin/avmike
 2179 root         0 SWN  [kdsld_token]
 2235 root      1400 S    /usr/sbin/inetd
 2249 root      1136 S    /bin/run_clock -c /dev/tffs -d
 2258 root      1404 S    init
 2294 root      1492 S    /sbin/chronyd -f /var/tmp/chrony.conf
 2347 root      4400 S    mediasrv -d /var -l 11
 2348 root      4400 S    mediasrv -d /var -l 11
 2349 root      4400 S    mediasrv -d /var -l 11
 2350 root      4400 S    mediasrv -d /var -l 11
18205 root      1396 S    sh /bin/inetdsamba
18206 root      6300 S    /sbin/smbd
18481 root      1396 S    telnetd -l /sbin/ar7login
18503 root      1424 S    -sh
18777 root      2756 S    nmbd
18804 root         0 SW   [flush-8:0]
18849 root      1396 R    ps
#

 

[sf3978]

Jetzt bin ich zumindest schon mal per telnet auf der Fritzbox.
Von iplog oder httpry kann ich nichts finden. Meine Linux-Kenntnisse sind aber auch eher rudimentär. Wo müsste ich den schauen. "find -name httpry*" und "find -name iplog*" hat nichts gefunden.

Versuch mal:

find [B][COLOR=red]/[/COLOR][/B] -iname 'iplog*'

find [COLOR=red][B]/ [/B][/COLOR]-iname 'httpry*'

find [COLOR=red][B]/ [/B][/COLOR]-iname 'logread'

logread

Wenn ich so etwas machen würde, dann würde ich die binaries umbennenen, so dass man iplog und httpry nicht finden würde. Aber so etwas mach ich nicht.

 

[AlbertMinrich]

Hallo,
Um das zu beenden solltest Du die Box mittels Recoverprogramm oder ruKernelTool neu flashen. Danach dürften keine Rückstände mehr vorhanden sein. Zur Sicherheit solltest Du das Pwd der Box, sowie eine eventuell vorhandene DynDNS-Adresse austauschen.

Password und DynDNS hab ich eh sofort geändert. Bevor ich flashe würde ich gerne wissen, wie es funktioniert.

 

[AlbertMinrich]

Versuch mal:

find [B][COLOR=red]/[/COLOR][/B] -iname 'iplog*'

find [COLOR=red][B]/ [/B][/COLOR]-iname 'httpry*'

find [COLOR=red][B]/ [/B][/COLOR]-iname 'logread'

logread

find / -iname 'httpry*' und find / -iname 'logread' findet gar nichts.
find / -iname 'iplog*' auch nicht, es kommen nur diese Fehler
# find / -iname 'iplog*'
find: /proc/890/fdinfo/37: No such file or directory
find: /proc/890/fdinfo/39: No such file or directory
find: /proc/21347: No such file or directory

Wenn ich so etwas machen würde, dann würde ich die binaries umbennenen, so dass man iplog und httpry nicht finden würde. Aber so etwas mach ich nicht.

Also mein Arbeitskollege sicher auch nicht, der kennt sich mit Linux noch weniger aus als ich. Aber der ist halt einfach nach irgendeiner Anleitung vorgegangen. Wie würde die Teile den finden, wenn sie umbenannt wären?

 

[doc456]

Hallo,

dann mach doch endlich eine Recover, wie im Post#3 vorgeschlagen!

 

[AlbertMinrich]

Hallo,

dann mach doch endlich eine Recover, wie im Post#3 vorgeschlagen!

Mach ich schon noch. Aber man muss doch irgendwie rauskriegen, was da abläuft. Ist denn an der Prozessliste nichts ungewöhnliches? Oder gibts so was wie crontab?

 

[doc456]

Wenn auf der Box kein Freetz läuft, dann auch kein crontab! Die Box selbst hat sowas nicht...

 

[sf3978]

Aber man muss doch irgendwie rauskriegen, was da abläuft. Ist denn an der Prozessliste nichts ungewöhnliches? Oder gibts so was wie crontab?

Ich denke, der Aufwand das rauszukriegen, lohnt sich nicht. Es gibt einige Möglichkeiten, den Webtraffic zu loggen und über das Internet weiter zu leiten.

 

[wichard]

...oder es gibt "Social Engineering" und den (erfolgreichen) Versuch, Dich auf's Glatteis zu führen.


Gruß,
Wichard

 

[3949354]

Hallo,
Bevor Du mit der Box weiterhin online bist, solltest Du sie recovern. Wenn da etwas in der Box verborgen ist, weißt Du nicht, was Dein "Kollege" sonst noch sieht. ...weiter danach zu suchen, dauert zu lange...

 

[roadman17]

Ich würde

cat /var/flash/debug.cfg

eintippen und danach recovern.

 

[Bejobe]

Hier ein Vergleich mit meiner 7270v3 74.05.05:

 

[RalfFriedl]

Es könnte sein, dass einfach ein DNS-Server eingetragen ist, der die Anfragen protokolliert.

Wenn Du mehr herausfinden willst, kannst Du ein tcpdump Programm auf dir Box bringen.

 

[HyBird]

Genau wenn dein Toller Freund die DN-Server auf OpenDNS umbiegt, kann er sofern er Zugang zum OpenDNS Server hat sehen welche Seiten Du besucht hast.
Um das rauszufinden mußt du mal schauen ob in der ar7.cfg die Server auftauchen.

 

[AlbertMinrich]

Genau wenn dein Toller Freund die DN-Server auf OpenDNS umbiegt, kann er sofern er Zugang zum OpenDNS Server hat sehen welche Seiten Du besucht hast.
Um das rauszufinden mußt du mal schauen ob in der ar7.cfg die Server auftauchen.

Die ar7.cfg gibts einige Male. Alle unterhalb von /var/tmp/providers/ sind leer. In der /etc/default.Fritz_Box_7270_17/avm/ar7.cfg kann ich nichts von DNS-Servern finden.
Ich glaub, jetzt werd ich das Teil doch mal zurücksetzen. Ich kenn mich mit Fritzboxen bisher noch nicht so aus. Reicht es nicht aus, das Teil auf Werkseinstellungen zurückzusetzen?
Wenn ich es mit dem AVM Recoverytool flashe, kann ich mir das so vorstellen, wie wenn man auf einen PC ein Festplattenimage einspielt, also die ganze Festplatte mit dem Image überschrieben wird?

Danke
Martin

 

[3949354]

Hallo,
Ja,
Beim Werksreset könnten ggf. noch einige Dinge hängen bleiben. Ein Recover löscht den Speicher der Box vorher. Du kannst das Recover nutzen, oder Dich ins ruKernelTool einlesen.

 

[eisbaerin]

Schau mal in der var/flash/ar7.cfg und dort such mal nach: overwrite_dns

Du hast auch noch nicht geschrieben was "cat /var/flash/debug.cfg " bringt.

Zu den Fragen:
1. nicht unbedingt
2. Ja, aber genau das ist gewollt und hilft bei dir sicherer