Komische Einträge im W-LAN Router

[X5-599]

Hallo Leute, ich werde unten das Syslog meines ASUS RT-AC56U einstellen.
Ich weis nicht was ich damit anfangen soll, vielleicht ist es harmlos, eventuell auch nicht.
Witzig ist, dass das Datum korrekt ist und dann plötzlich auf den 5. May switcht und etliche Einträge zu diesem Datum liefert und dann wieder zum richtigen Datum switcht.
Hat da wer meinen Router gehackt, kann ich mir nicht vorstellen. Aber ist mir früher nie aufgefallen.

Hier das oder der Log?

Feb 20 21:40:34 rc_service: httpd 30393:notify_rc reboot
Feb 20 21:40:36 iTunes: daemon is stoped
Feb 20 21:40:36 FTP Server: daemon is stoped
Feb 20 21:40:36 Samba Server: smb daemon is stoped
Feb 20 21:40:36 kernel: gro disabled
Feb 20 21:40:36 Timemachine: daemon is stoped
Feb 20 21:40:36 WEBDAV Server: daemon is stoped
May 5 07:05:00 syslogd started: BusyBox v1.17.4
May 5 07:05:00 kernel: klogd started: BusyBox v1.17.4 (2018-05-27 15:55:18 CST)
May 5 07:05:00 kernel: Linux version 2.6.36.4brcmarm (root@asus) (gcc version 4.5.3 (Buildroot 2012.02) ) #1 SMP PREEMPT Sun May 27 16:00:03 CST 2018
May 5 07:05:00 kernel: CPU: ARMv7 Processor [413fc090] revision 0 (ARMv7), cr=10c53c7f
May 5 07:05:00 kernel: CPU: VIPT nonaliasing data cache, VIPT nonaliasing instruction cache
May 5 07:05:00 kernel: Machine: Northstar Prototype
May 5 07:05:00 kernel: Ignoring unrecognised tag 0x00000000
May 5 07:05:00 kernel: Memory policy: ECC disabled, Data cache writealloc
May 5 07:05:00 kernel: Built 1 zonelists in Zone order, mobility grouping on. Total pages: 60416
May 5 07:05:00 kernel: Kernel command line: root=/dev/mtdblock2 console=ttyS0,115200 init=/sbin/preinit earlyprintk debug
May 5 07:05:00 kernel: Memory: 255504k/255504k available, 6640k reserved, 0K highmem
May 5 07:05:00 kernel: Virtual kernel memory layout:
May 5 07:05:00 kernel: vector : 0xffff0000 - 0xffff1000 ( 4 kB)
May 5 07:05:00 kernel: fixmap : 0xfff00000 - 0xfffe0000 ( 896 kB)
May 5 07:05:00 kernel: DMA : 0xf7e00000 - 0xffe00000 ( 128 MB)
May 5 07:05:00 kernel: vmalloc : 0xd0800000 - 0xf0000000 ( 504 MB)
May 5 07:05:00 kernel: lowmem : 0xc0000000 - 0xd0000000 ( 256 MB)
May 5 07:05:00 kernel: modules : 0xbf000000 - 0xc0000000 ( 16 MB)
May 5 07:05:00 kernel: .init : 0xc0008000 - 0xc003d000 ( 212 kB)
May 5 07:05:00 kernel: .text : 0xc003d000 - 0xc03a6000 (3492 kB)
May 5 07:05:00 kernel: .data : 0xc03be000 - 0xc03e1160 ( 141 kB)
May 5 07:05:00 kernel: External imprecise Data abort at addr=0x0, fsr=0x1c06 ignored.
May 5 07:05:00 kernel: Mount-cache hash table entries: 512
May 5 07:05:00 kernel: CPU1: Booted secondary processor
May 5 07:05:00 kernel: Found a AMD NAND flash:
May 5 07:05:00 kernel: Total size: 128MB
May 5 07:05:00 kernel: Block size: 128KB
May 5 07:05:00 kernel: Page Size: 2048B
May 5 07:05:00 kernel: OOB Size: 64B
May 5 07:05:00 kernel: Sector size: 512B
May 5 07:05:00 kernel: Spare size: 16B
May 5 07:05:00 kernel: ECC level: 8 (8-bit)
May 5 07:05:00 kernel: Device ID: 0x 1 0xf1 0x 0 0x1d 0x 1 0xf1
May 5 07:05:00 kernel: bio: create slab <bio-0> at 0
May 5 07:05:00 kernel: PCI: no core
May 5 07:05:00 kernel: PCI: no core
May 5 07:05:01 kernel: PCI: Fixing up bus 0
May 5 07:05:01 kernel: PCI: Fixing up bus 0
May 5 07:05:01 kernel: PCI: Fixing up bus 1
May 5 07:05:01 kernel: PCI: Fixing up bus 0
May 5 07:05:01 kernel: PCI: Fixing up bus 2
May 5 07:05:01 LAN network changes (%s/%s --> %s/%s). : 192.168.1.1
May 5 07:05:01 Samba Server: smb daemon is stoped
May 5 07:05:01 kernel: VFS: Disk quotas dquot_6.5.2
May 5 07:05:01 kernel: Dquot-cache hash table entries: 1024 (order 0, 4096 bytes)
May 5 07:05:01 kernel: pflash: found no supported devices
May 5 07:05:01 kernel: bcmsflash: found no supported devices
May 5 07:05:01 kernel: Boot partition size = 524288(0x80000)
May 5 07:05:01 kernel: lookup_nflash_rootfs_offset: offset = 0x200000
May 5 07:05:01 kernel: nflash: squash filesystem with lzma found at block 28
May 5 07:05:01 kernel: Creating 4 MTD partitions on "nflash":
May 5 07:05:01 kernel: 0x000000000000-0x000000080000 : "boot"
May 5 07:05:01 kernel: 0x000000080000-0x000000200000 : "nvram"
May 5 07:05:01 kernel: 0x000000200000-0x000004000000 : "linux"
May 5 07:05:01 kernel: 0x00000039b1b8-0x000004000000 : "rootfs"
May 5 07:05:01 kernel: Registering the dns_resolver key type
May 5 07:05:01 kernel: Spare area=64 eccbytes 56, ecc bytes located at:
May 5 07:05:01 kernel: 2 3 4 5 6 7 8 9 10 11 12 13 14 15 18 19 20 21 22 23 24 25 26 27 28 29 30 31 34 35 36 37 38 39 40 41 42 43 44 45 46 47 50 51 52 53 54 55 56 57 58 59 60 61 62 63
May 5 07:05:01 kernel: Available 7 bytes at (off,len):
May 5 07:05:01 kernel: (1,1) (16,2) (32,2) (48,2) (0,0) (0,0) (0,0) (0,0)
May 5 07:05:01 kernel: Options: NO_AUTOINCR,NO_READRDY,BBT_SCAN2NDPAGE,
May 5 07:05:01 kernel: Creating 2 MTD partitions on "brcmnand":
May 5 07:05:01 kernel: 0x000004000000-0x000007ec0000 : "brcmnand"
May 5 07:05:01 kernel: 0x000007ec0000-0x000008000000 : "asus"
May 5 07:05:01 RT-AC56U: start httpd:80
May 5 07:05:01 kernel: VFS: Mounted root (squashfs filesystem) readonly on device 31:3.
May 5 07:05:01 kernel: ctf: module license 'Proprietary' taints kernel.
May 5 07:05:01 kernel: Disabling lock debugging due to kernel taint
May 5 07:05:01 kernel: et_module_init: passivemode set to 0x0
May 5 07:05:01 kernel: et_module_init: txworkq set to 0x0
May 5 07:05:01 kernel: et_module_init: et_txq_thresh set to 0xce4
May 5 07:05:01 kernel: eth0: Broadcom BCM47XX 10/100/1000 Mbps Ethernet Controller 6.37.14.126 (r561982)
May 5 07:05:01 kernel: et_probe: mvlan vid[0]: 0
May 5 07:05:01 kernel: et_probe: mvlan vid[1]: 0
May 5 07:05:01 kernel: et_probe: mvlan en 0
May 5 07:05:01 kernel: wl_module_init: passivemode set to 0x0
May 5 07:05:01 kernel: wl_module_init: igs set to 0x0
May 5 07:05:01 kernel: wl_module_init: txworkq set to 0x0
May 5 07:05:01 kernel: PCI: Enabling device 0001:01:00.0 (0140 -> 0142)
May 5 07:05:01 kernel: eth1: Broadcom BCMa8db 802.11 Wireless Controller 6.37.14.126 (r561982)
May 5 07:05:01 kernel: eth2: Broadcom BCM4360 802.11 Wireless Controller 6.37.14.126 (r561982)
May 5 07:05:01 kernel: xhci_hcd 0000:00:0c.0: Failed to enable MSI-X
May 5 07:05:01 kernel: xhci_hcd 0000:00:0c.0: failed to allocate MSI entry
May 5 07:05:01 kernel: usb usb1: No SuperSpeed endpoint companion for config 1 interface 0 altsetting 0 ep 129: using minimum values
May 5 07:05:02 kernel: et0: et_mvlan_netdev_event: event 16 for vlan1 mvlan_en 0
May 5 07:05:02 kernel: et0: et_mvlan_netdev_event: event 5 for vlan1 mvlan_en 0
May 5 07:05:02 kernel: et0: et_mvlan_netdev_event: event 16 for vlan2 mvlan_en 0
May 5 07:05:02 kernel: et0: et_mvlan_netdev_event: event 5 for vlan2 mvlan_en 0
May 5 07:05:02 kernel: et0: et_mvlan_netdev_event: event 13 for vlan1 mvlan_en 0
May 5 07:05:02 kernel: et0: et_mvlan_netdev_event: event 1 for vlan1 mvlan_en 0
May 5 07:05:02 kernel: gro disabled
May 5 07:05:02 syslog: Generating SSL certificate...
May 5 07:05:03 NAT Tunnel: AAE Service is stopped
May 5 07:05:03 AAE: AAE Service is started
May 5 07:05:03 ATE: valid user mode(1)
May 5 07:05:03 jffs2: valid logs(1)
May 5 07:05:03 disk monitor: be idle
May 5 07:05:03 syslog: module ledtrig-usbdev not found in modules.dep
May 5 07:05:03 syslog: module leds-usb not found in modules.dep
May 5 07:05:03 kernel: SCSI subsystem initialized
May 5 07:05:04 Mastiff: init
May 5 07:05:04 rc_service: psta_monitor 240:notify_rc restart_wlcmode 1
May 5 07:05:05 FTP Server: daemon is stoped
May 5 07:05:06 Samba Server: smb daemon is stoped
May 5 07:05:06 kernel: gro disabled
May 5 07:05:13 RT-AC56U: start httpd:80
May 5 07:05:15 rc_service: udhcpc_lan 380:notify_rc stop_httpd
May 5 07:05:15 rc_service: udhcpc_lan 380:notify_rc start_httpd
May 5 07:05:15 rc_service: waitting "stop_httpd" via udhcpc_lan ...
May 5 07:05:16 RT-AC56U: start httpd:80
May 5 07:05:16 rc_service: udhcpc_lan 380:notify_rc start_dnsmasq
May 5 07:05:16 rc_service: waitting "start_httpd" via udhcpc_lan ...
May 5 07:05:19 ntp: start NTP update
Feb 20 21:42:58 rc_service: ntp 384:notify_rc restart_diskmon
Feb 20 21:42:58 disk_monitor: Finish
Feb 20 21:43:00 disk monitor: be idle
Feb 20 21:43:37 crond[233]: time disparity of 1472618 minutes detected
Feb 20 21:49:55 rc_service: httpd 382:notify_rc start_webs_update
Feb 20 21:50:32 rc_service: httpd 382:notify_rc start_webs_update

 

[Nilson]

May 5 07:05:19 ntp: start NTP update

NTP = Network Time Protocol
Der 5 Mai ist wohl irgendeine Standard-Datum bis sich der Router vom NTP-Server die aktuelle Zeit holt.
Ist der Router zu dem Zeitpunkt neu gestartet? Sieht mir danach aus.

 

[tollertyp]

Klar, weil der Router gehackt wurde tauchen plötzlich solche Meldungen im Log auf. Das ist wie in der Matrix mit dem Déjà-vu.

Also jetzt mal ernst gemeint: Du kannst dir doch selbst jeden der Log-Einträge anschauen? Ist etwas bedenkliches dabei? Ich sehe gerade nichts.
Wenn du sagst, dass du das nicht beurteilen kannst, warum interessierst du dich für die Log-Einträge?

@Nilson: Yap, und davor wurden halt alle möglichen Dinge runtergefahren. Evtl ein Firmware-Update oder so durchgeführt worden... oder warum auch immer der Router neugestartet hat.

Edit: Firmware-Update wohl eher nicht, zumindest ist im Internet nur die neuste Version vom letzten Jahr.

 

[Benji18]

vermutlich hat der Router keine Batterie und daher ein „hardcoded Datum“ drinnen.

May 5 07:05:19 ntp: start NTP update

hier wird der Zeitserver sync gestartet

 

[Hayda Ministral]

Feb 20 21:40:36 WEBDAV Server: daemon is stoped
May  5 07:05:00 syslogd started: BusyBox v1.17.4

Vermutung: der erste Eintrag gehört zum runterfahrenden System, das hat noch die korrekte Uhrzeit. Der zweite Eintrag wird beim Systemstart geschrieben, da stimmt die Uhrzeit noch nicht.

May  5 07:05:19 ntp: start NTP update
Feb 20 21:42:58 rc_service: ntp 384:notify_rc restart_diskmon

Hier holt er sich die korrekte Uhrzeit aus dem Netz.

Analyse: Deine RTC im Router steht auf dem falschen Datum. sync it.

 

[Matthias80]

anfangen

Vielleicht sagst du uns mal was für DICH da komisch ist.

Mfg

 

[SpiII]

@Matthias80 lies dir doch den Startpost durch. Es wird doch gesagt was er komisch findet!

 

[-Razzer-]

Nach einem Neustart zeigt mein Asus Router auch 05 May 07:05 an in den Logs:

May 5 07:05:27 ddns update: connected to nwsrv-ns1.asus.com (52.250.42.40) on port 443.
May 5 07:05:27 ddns update: Asus update entry:: return: HTTP/1.1 200 OK^M Date: Sat, 30 Jan 2021 09:22:31 GMT^M Server: Apache^M Content-Length: 0^M Connection: close^M Content-Type: text/html; charset=UTF-8^M ^M
May 5 07:05:27 ddns update: retval= 0, ddns_return_code (,200)
May 5 07:05:27 ddns update: asusddns_update: 0
May 5 07:05:27 ddns: ddns update ok
May 5 07:05:27 ddns update: exit_main
May 5 07:05:27 ntp: start NTP update
Jan 30 10:22:32 rc_service: ntp 2013:notify_rc restart_diskmon
Jan 30 10:22:32 disk_monitor: Finish
Jan 30 10:22:32 disk monitor: be idle

 

[X23^Piracy]

Hi,

https://community.spiceworks.com/topic/2206129-can-someone-make-sense-of-my-router-logs

Mal ganz unabhängig davon ob der 5 May legit ist oder nicht, die Asus Dinger sind mit Original Firmware doch recht anfällig:

https://www.bleepingcomputer.com/ne...router-models-are-vulnerable-to-simple-hacks/
https://rog.asus.com/forum/showthread.php?101004-I-Believed-my-RT-AC88U-hacked-3-times-please-help

Ich persönlich vertraue da am liebsten auf Selbstbau mit fli4l basis: https://www.fli4l.de/ oder ner Fritzbox.


Gruß X23

 

[areiland]

Hat da wer meinen Router gehackt, kann ich mir nicht vorstellen. Aber ist mir früher nie aufgefallen.

Das ist einfach nur das Protokoll eines Routerneustarts, bei dem der Start nicht konfigurierter Funktionen übergangen wird.

 

[X5-599]

Danke für die vielen unbrauchbaren Antworten. Ja wer Lesen kann ist klar im Vorteil. Habe ich gerade auch im anderen Thread gesehen. Da schreibe ich das Windows auf einer SSD vorliegt und was wird mir empfohlen? Genau, eine SSD für mein Windows.

Nochmals, das/der Log kommt mir komisch vor. Soll ich jetzt sagen Buchstabe n vor Buchstabe t kommt mir komisch vor? Denn ich habe mein Router schon mehrfach neu gestartet, mir schon mehrfach den Log angeschaut, aber diese Einträge habe ich noch nie gesehen.
Wenn ich jeden Tag Pizza Margherita Esse und nach 2 Jahren ist da plötzlich eine Ananas drauf, dann kommt mir die Ananas komisch vor, denn zwei Jahre lang war auf der Margherita keine Ananas (als Beispiel genannt).
Da ich kein Fachmann für Router Logs bin, dachte ich halt eben hier nachzufragen. Aber scheinbar sind hier auch keine Fachleute, sonst würden sie statt komischer Fragen eine brauchbare Antwort geben.

@tollertyp warum soll es nicht gehackt sein? Genau so wie es Profis gibt die das so machen das man es nicht merkt, gibt es auch Laien und Anfänger und die können ihre Spuren halt noch nicht oder nicht so gut verstecken. Da ich aber kein Hacker Profi bin und nur weis das es sowas gibt, kann ich nicht Urteilen was das hier ist. Ist es nur ein falscher Time Sync oder mein Nachbar der seine Hackkentnisse erweitern möchte.
Daher stellt man Fragen, um was zu Lernen. Wenn das aber verpöhnt ist, und das in einem Forum in dem man Fragen stellt, dann tut es mir Leid. Für mich hat sich die Sach erstmal erledigt

 

[carnival55]

Mal ganz unabhängig davon ob der 5 May legit ist oder nicht, die Asus Dinger sind mit Original Firmware doch recht anfällig:

https://www.bleepingcomputer.com/ne...router-models-are-vulnerable-to-simple-hacks/

fast 5 Jahre alte Firmwarebugs? rly?

Aber abgesehen davon, kann man natürlich die Merlin Firmware nehmen.
Auch für den schon etwas älteren RT-AC56U gibts da noch eine Legacy Version.

 

[tollertyp]

Wenn du Fachleute willst, hättest du bei Asus nachfragen sollen. Ansonsten bekommst du hier Meinungen.

Du hättest ja wenigstens mal selbst überlegen können, nachdem jemand komische fragen gestellt hast, ob selbst davon Kenntnis hattest, dass der Router zu der Zeit neu gestartet wurde. Und aus welchem Grund.

 

[carnival55]

Wenn du Fachleute willst, hättest du bei Asus nachfragen sollen. Ansonsten bekommst du hier Meinungen.

Oder, um mal konstruktive Tipps zu geben: hier reinschauen: https://www.snbforums.com/forums/asus-wireless.37/

 

[Matthias80]

komisch

Na das mit dem ntp. Aber ist ja wie schon gesagt wurde normales Verhalten. Von daher meine Nachfrage was den genau "komisch" sein soll an den vielen Einträgen. Für mich war da gar nix komisch... So meinte ich das.

Mfg

 

[tollertyp]

@carnival55:
Für die Zukunft halt. Dass es kein ungewöhnliches Verhalten ist, hat ja auch ein anderer User in dem Fall bestätigt.

 

[Matthias80]

nachzufragen

Uff war überhaupt nicht böse gemeint.
Entschuldigung dafür.
Dann mal ein altes log dazu... Zum Vergleich bitte.

Mfg

 

[tollertyp]

Ich glaub nicht dass er dich meinte, Matthias80

 

[areiland]

Ist es nur ein falscher Time Sync oder mein Nachbar der seine Hackkentnisse erweitern möchte.

Nein, es sind einfach nur in der Firmware vorgegebene Datums- und Zeitwerte, auf die der Router zurückfällt, wenn er stromlos gemacht wird. Solche Router besitzen nun mal keine Pufferbatterie, die es ihnen erlaubt, solche Sachen über längere Zeit zu puffern. Also fällt der Router beim Neustart auf ein in der Firmware festgelegtes Standarddatum und die Standarduhrzeit zurück und holt sich diese beim Netzaufbau dann per NTP von einem konfigurierten Zeitserver.

Man muss nicht überall Angriffe sehen. Und wenn man Angriffe vermutet, dann prüft man zuallererst, ob der Router überhaupt Fernzugriffe erlauben könnte. Denn um den Router zu "hacken" muss der böse Nachbar dessen öffentliche IP Adresse kennen und der Router muss von der aus auch zugänglich sein. Und ausgerechnet das gepostete Routerlog sagt, dass die dafür relevanten Dienste gestoppt sind.

Es wird ganz einfach ein völlig normaler Routerstart protokolliert, bei dem es keinerlei Ungereimtheiten gibt. Selbst das mit Datum und Uhrzeit ist an Normalität nicht zu überbieten.

 

[Hayda Ministral]

Man muss nicht überall Angriffe sehen.

Sigwürdig. Thumbs up.

Und wenn man Angriffe vermutet, dan prüft man zuallererst, ob der Router überhaupt Fernzugriffe erlauben könnte. Denn um den Router zu "hacken" muss der böse Nachbar dessen öffentliche IP Adresse kennen und der Router muss von der aus auch zugänglich sein.

Nach einem Blick auf diese Webseite könntest Du möglicherweise die Notwendigkeit sehen Deine Aussage zu überdenken. Bei einigen Attacken kommt der Angreifer aus Sicht des Routers aus dem lokalen Netz.

Das aber nur als Anmerkung, im vorliegenden Fall gibt es viele Hinweise auf normales Verhalten und keinerlei Hinweise auf einen Angriff.