[LuKePicci]

Esatto, ma prima di farlo chiedi a chi sviluppa la dev cosa succede facendolo per il motivo di cui parlavo prima. Il comando per cancellare una partizione è mtd erase. Poi devi dargli o il percorso dell'mtd device (/dev/mtdX) o il nome della partizione come lo vedi da 'cat /proc/mtd' (quindi bank_1), meglio il secondo per non fare un guaio.

Chiedo scusa per aver deviato OT questa discussione ma penso che la cosa possa tornare utile per chi sperimenta con queste mod come openvpn che richiedono di installare pacchetti più "pericolosi".

[lorenzocanalelc]

Grazie di tutto, chiedo scusa anch’io

[puandr]

Attenzione che l'opzione comp-lzo (utilizzata nella configurazione della sessione), sarà deprecata dalla prossima versione di openvpn, la 2.4

[Snake1980]

Ciao a tutti, sono sulla 2.0.1.
Sto seguendo la guida in prima pagina per le verisoni successive alla 1.1.0, ma credo si sia "rotto" tutto in questo preciso momento...

Codice: [Seleziona]

opkg remove libopenssl --force-depends
opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/libopenssl_1.0.2n-1_brcm63xx-tch.ipk
Ora in pratica non riesco più nemmeno a fare un update...

Ottengo sempre questi errori...

Codice: [Seleziona]

...
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/packages/Packages.gz
wget: can't load library 'libssl.so.1.0.0'
*** Failed to download the package list from https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/packages/Packages.gz
...
...
...
 * opkg_download: Failed to download https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/packages/Packages.gz, wget returned 16.

Ho anche provato a cambiare il protocollo (passando in http) per tutti i repository sotto /etc/opkg.conf, ma niente.
Ho scaricato in locale il pacchetto https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/libopenssl_1.0.2q-2_brcm63xx-tch.ipk per provare ad installarlo "offline", ma mi dà questo errore...

Codice: [Seleziona]

root@modemtim:/tmp# ll | grep libopen
-rw-r--r--    1 root     root        751037 Jul 29 00:47 libopenssl_1.0.2q-2_brcm63xx-tch.ipk
root@modemtim:/tmp# opkg install libopenssl_1.0.2q-2_brcm63xx-tch.ipk
Installing libopenssl (1.0.2q-2) to root...
Downloading http://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/libopenssl_1.0.2q-2_brcm63xx-tch.ipk
wget: can't load library 'libssl.so.1.0.0'
Collected errors:
 * opkg_download: Failed to download http://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/libopenssl_1.0.2q-2_brcm63xx-tch.ipk, wget returned 16.
 * opkg_install_pkg: Failed to download libopenssl. Perhaps you need to run 'opkg update'?
 * opkg_install_cmd: Cannot install package libopenssl.

come ne esco ? 

[aezakmi123]

Qualche settimana fa ho notato nel log di OpenVPN /var/log/openvpn.log alcuni strani accessi e geolocalizzando gli IP uscivano fuori Cina e USA. Ho subito terminato il processo e creato nuove chiavi (anche con diversi PC per paura di aver preso qualche virus come un RAT) il risultato non cambia, dopo pochi giorni dall'installazione delle nuove chiavi noto nuovamente accessi non miei.
Queste chiavi non dovrebbero essere a prova di bomba o comunque hanno bisogno di supercomputer per essere forzate?

[fabiobassa]

@aezakmi123
Ti confermo la cosa e inoltre a me hanno sfondato anche SSH, ip Chinese.

Come é mai possibile ? E va tenuto presente anche che non erano su porte note ( né 22 né 1194)

Che sia qualche nuovo exploit ?

[aezakmi123]

@fabiobassa come anche l'SSH, c'è un modo per sapere i login effettuati? Io per la VPN ho fatto uno script che monitora il log e manda delle notifiche su un bot Telegram.
Proprio ora che sono dovuto partire  , ho bisogno di connettermi alla VPN

Edit:
Ora che ci penso si spiega anche l'SSH, ecco perché mi sono trovato svuotata la cartella root del router

[fabiobassa]

Me ne sono accorto perché ad un mio accesso mi é comparsa la scritta

Codice: [Seleziona]

last login on .... from 105.xxx.xxx.xxxed era un ip cinese.

Bel casotto .

EDIT:
A te ha attaccato e cancellato la root, a me ha creato utenti VoIP su asterisk

[larsen64it]

@aezakmi123 @fabiobassa
Ragazzi bene l'allerta sul forum, se le cose stanno in questo modo, mandate una comunicazione quantomeno agli autori dei programmi in modo che il bubbone venga allo scoperto... è importante.

[fabiobassa]

@larsen64it

Ciao Larsen, si la cosa è importante ma non a caso ho risposto ad un post di @aezakmi123 e non ho fatto una segnalazione mia , perchè alcune cose vanno prima vagliate, confermate, riprodotte.

Segnalare la cosa agli sviluppatori "potrebbe" creare allarmismo e,  se non confermato,  suscitare risposte poco ortodosse, fischi pernacchi e inviti a compare tricicli ( gia successo    )

Vediamo se altri qui sul forum sono incappati nel problema, altrimenti devo optare in una cattiva configurazione MIA o altri guai ( keylogger ? virus su qualche app del telefono? woodo ? spiriti maligni ? )
Insomma, confermiamo la cosa

EDIT : confermiamo la cosa.... questo è il log di stamattina

Codice: [Seleziona]

Mon Aug  5 08:57:52 2019 TCPv4_SERVER link remote: 186.23.160.189:54241
Mon Aug  5 08:57:54 2019 186.23.160.189:54241 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1543 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Mon Aug  5 08:57:54 2019 186.23.160.189:54241 Connection reset, restarting [0]
Mon Aug  5 08:57:54 2019 186.23.160.189:54241 SIGUSR1[soft,connection-reset] received, client-instance restarting
Mon Aug  5 08:57:54 2019 TCP/UDP: Closing socket
fortunatamente credo di capire Closing socket ma leggo anche this condition could also indicate a possible active attack on the TCP link
meno male che dunque connessione abortita.. ma intanto questo è ...

[LuKePicci]

Questo mi sembra più inerente i recenti sviluppi su TCP-SACK ma con l'accesso abusivo non credo c'entri nulla.

[fabiobassa]

@LuKePicci

Ho letto qualcosa su questo tpc-sack , ma è anche vero che uno degli accessi ( grazie ad @aezakmi123 che ha segnalato la cosa perche a me non sarebbe mai venuto in mente di controllare il log  ) riporta almeno un tentativo di transazione, fortunatamente andato a male

Codice: [Seleziona]

Sun Aug  4 20:52:22 2019 TCPv4_SERVER link remote: 141.98.81.254:2216
Sun Aug  4 20:53:22 2019 141.98.81.254:2216 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Aug  4 20:53:22 2019 141.98.81.254:2216 TLS Error: TLS handshake failed
Sun Aug  4 20:53:22 2019 141.98.81.254:2216 Fatal TLS error (check_tls_errors_co), restarting
Sun Aug  4 20:53:22 2019 141.98.81.254:2216 SIGUSR1[soft,tls-error] received, client-instance restarting
Sun Aug  4 20:53:22 2019 TCP/UDP: Closing socket

Forse si tratta di qualche nuova forma congiunta di attacco

Io purtroppo non ho le skills per fare una indagine " forense " cosi approfondita, forse qualcuno degli admin potrebbe aprire un post per le segnalazioni  di chiunque abbia un vpn-server attivo e fare un confronto

EDIT : tutti ip east -middle east
https://report.cs.rutgers.edu/DROP/attackers

[aezakmi123]

Se può servirvi io per ora ho realizzato questo script per controllare gli accessi, come ho detto non posso disattivare tutto non essendo a casa e avendo la necessità di connettermi alla VPN

Controllo accesso SSH (che ho solo in locale)
Controllo accesso VPN
Utilizzo un bot Telegram per mandare la notifica ma può essere adattato anche per mandare un'email

Lo script viene avviato in modo sporco mettendo il percorso in /etc/rc.local
Es: /root/controlloaccessi.sh &

Codice: [Seleziona]

#!/bin/sh

URL="https://api.telegram.org/botXXXXX:XXXXXXXXXXXXXXXXXXXXX/sendMessage"

logread -f | (while true ; do
    read -r line_to_check
        if echo $line_to_check | grep "Password auth succeeded" > /dev/null ; then
                curl -F chat_id='XXXXXX' -F text="$line_to_check" $URL
        fi
  done
) &

tail -f /var/log/openvpn.log | (while true ; do
    read -r line_to_check
        if echo $line_to_check | grep "Peer Connection Initiated" > /dev/null ; then
                curl -F chat_id='XXXXXX' -F text="$line_to_check" $URL
        fi
  done
) &

[fabiobassa]

@aezakmi123

Perfetto io nel frattempo ho visto se fosse possibile implementare fail2ban su openwrt ma assorbirebbe troppe risorse python

 esiste un progetto alternativo con droobear e iptables
Tu che sai scrivere codice potresti integrarli forse

[scaci]

Su openwrt sarebbe possibile utilizzare delle liste ricorrendo all'estensione ipset di netfilter; tuttavia è un modulo a parte e potrebbe non essere supportato. Secondo me sarebbe la soluzione migliore e semplice

https://openwrt.org/docs/guide-user/firewall/fw3_configurations/fw3_config_ipset