F-3890v3 "TR-069 connectivity to (dna.acs.domos.no) has failed"
"TR-069 connectivity to (dna.acs.domos.no) has failed" messua tulee logiin monta kipaletta sekunnissa jatkuvalla syötöllä. Aivan kaikki messut ovat severityllä "info", joka tekee login tutkimisen käytännössä mahdottomaksi koska kahdessa päivässä logia on yli 1200 sivua. Onko tähän tulossa korjausta firmispäivityksellä / milloin?
Seuraa viestiä
10
seuraajaa
Tracing route to dna.acs.domos.no [95.217.144.99]
10 10 ms 10 ms 12 ms static.99.144.217.95.clients.your-server.de [95.217.144.99]
Ja itsella kanssa Dnan kaapeliyhteys, ja tuon "dna.acs.domos.no"-osoitteen löysin sattumalta oman nimipalvelimeni logista. Mikä tuo on? Loppuosa ".no" viittaa norjaan mutta dns-nimi(.de) saksaan..
Ote omasta DNS-logista:
Feb 5 17:01:28 dnsmasq[16081]: query[A] dna.acs.domos.no from 82.181.oma.julki-ip
Osaisiko Dna antaa jotain infoa, mikä tuo "dna.acs.domos.no"-juttu oli?
Mar 7 19:57:07 dnsmasq[697]: query[A] dna.acs.domos.no from 82.181.oma.ip
Voisiko DNA vastata, miksi modeemit haluaa yhteyttä tuohon palvelimeen?
Kyseessä lienee nimittäin DNA-brändätty Domos Wi-Fi Slicing, josta Domos puolestaan kertoo näin: "For improving the models, Domos may extract fully anonymised “corner case” data sets, i.e. when facing unfamiliar data sets that the algorithms have not been properly trained for. " Technology — (domos.no)
Eli päättelyni mukaan kyse on siitä, että modeemi lähettää Domokselle analysoitavaksi tiedot netinkäytöstämme, jotta Domos voi kouluttaa tekoälyään, ja nämä yhteydenottokerrat näkyvät Sagemcomin lokissa.
Kotiverkko (LAN-puoli+wifi) ei kyllä kuulu Domokselle eikä edes DNA:lle. LAN-puoli on asiakkaan oma verkko, WAN-puoli kuuluu sitten DNA:lle.. tai mielestäni näin ainakin pitäisi olla. Aika härskiä, jos ne analysoi ihmisten LAN:in liikennettäkin.
Kunhan laitteen saa näyttämään asetuksiaan, niin se kertoo:
(jätin usernamet ja passwordit pois, mutta eivät ole kovin vahvoja)
TR-069 Client enabled = 1
IP Stack Num = 3
ACS Contacted = 1
ACS URL = http://dna.acs.domos.no:8080
ACS URL Overwritten = 0
ACS Username = XXXXX
ACS Password = XXXXX
Connection Request Username = XXXXX
Connection Request Password = XXXXX
Periodic Inform Enable = 1
Periodic Inform Interval = 86400
First Use Date = 2021-05-19T01:01:01Z
Provisioning Code =
SetAttribute Data = 3 0:
ACS Certificate validation = 1
CA Root Cert-1 Length = 0
CA Root Cert-1 Enable = 0
CA Root Cert-2 Length = 0
CA Root Cert-2 Enable = 0
Client Certificate Length = 0
Private Key Length = 0
===============================
Sagem CmForceMTA = Option122
fCopyToDhtml = Enabled
domosftpServerAddress =51.124.139.217
domosftpServerfqdn =
domosusername =XXXXX
domospassword =XXXXX
Tulokulmani oli tuo 51.124.139.217 (domosftpServerAddress) jonka näin lokissa:
(jätin pois username+password. Lisäksi tuossa tiedostonimessä on ihan oikea sarjanumeroni, että ei ehkä kovin anonyymiä)
Recv'd event FTP Start Event for session:
FTP Session Parameters:
IP Stack = (IP Stack3)
IP Address = (51.124.139.217)
Port Number = (21)
Username = (XXXXX)
Password = (XXXXX)
Transfer Type = (put)
Upload Filename = (SARJANUMERONI-202105191105.json)
Upload Filename Path = (SARJANUMERONI-202105191105.json)
Upload File Size = (2)
Ap scan time is 2234 current time is 1105
domos fqdn is null, init ftp server addr with : 51.124.139.217
Domos Device time=1
Time Elapsed usecs (73) seconds (7.3e-05)
Session Counters:
Payload Data Bytes = (2224)
Payload Throughput (Mbps) = (243.762)
Total Retransmit ACK Count = (0)
Elapsed Time = (7.3e-05)
Total Packet Bytes (includes retransmissions) = (2964)
Packet Throughput (includes retransmissions) (Mbps) = (324.228)
Virhe ei ole se, että tämä näkyy lokissa, vaan että sitä tapahtuu.
Ja jos DNA lukee foorumia, niin saisiko myös vastauksen: mikä on IP=168.63.9.120 jonne käy samat username+password kuin domosftpServerAddress?
Ja nyt kun peli on avattu, niin kysytään vielä yhden FTP-palvelimen tarkoitus, IP=202.170.132.181 (ja tähän on erityisen huonot username+password).
Tuo FTP-portin(21) käyttö viittaa myös siihen, että ftp-data liikkuu salaamattomana verkossa.
Rupeaa jo kiinnostamaan, pääseekö joku käsiksi minun sisä-LAN:in liikenteeseenkin? Siellä kun voi välillä olla http-liikennettä, josta oikealla työkalulla näkee selkokielisenä käyttäjänimet ja salasanat.
eCossilla pakettidatan dumppaaminen ei olekaan kovin helppoa. Sain yhden paketin neljästä. Ihan selkokielistä jsonia lähtee modeemista: yksilöintitietona heti alkuun MAC-osoite. Sitten lähtee erinäistä tilastoa up/download (Tx/Rx) määristä. Vielä en omia wlan-verkkojen nimiä/salasanoja nähnyt, mutta tosiaan vasta 25% jsonista sain.
Norjaan lähtee ainakin IP+serial+MAC.
FTPn voi vissiin toteuttaa niin, että vain upload on mahdollista, eikä download ollenkaan. Jos tehty näin, niin kelvottomat salasanat ei ehkä niin vaarallisia.
Jul 21 16:31:50 dnsmasq[728]: query[AAAA] dna.acs.domos.no from 82.181.oma.ip
Jul 21 16:31:51 dnsmasq[728]: exactly blacklisted dna.acs.domos.no is ::
Jul 21 16:31:51 dnsmasq[728]: query[AAAA] dna.acs.domos.no from 82.181.oma.ip
Jul 21 16:31:51 dnsmasq[728]: exactly blacklisted dna.acs.domos.no is ::
Pitkiin aikoihin ei ole tullut connection herjaa.
Login mukaan alkanut:
17.08.2021 12:55:32 Info SYS TR-069 connectivity to (dna.acs.domos.no) has failed
Sama connection herja on jatkunut tasaisella syötöllä tähän päivään asti.
Softana on FAST3890V3_DNA_sw18.76.10.12w-6
Purkki päättänyt bootata itsensä noin 8 päivää sitten.
UpTime 8d 21h18m31s
Toimenpiteet tilanteen tarkkailua varten:
Ota modeemiin SSH-yhteys. Ja sitten korota oikeudet su-tasolle.
cd forwarder
halif_show
-> Näyttää millä nimellä mitäkin interfacea kutsutaan, esim 0x20=IP Stack3 (voi varmaan olla jotain muutakin, kokeilemalla ainakin selviää)
log_packets true 0x20
-> Ja sitten pari minuuttia odottelua
Modeemi tekee DNS-kyselyn: "mikä on dna.acs.domos.no IP?"
Vastaus: 95.217.144.99
Modeemi lähettää 95.217.144.99:8080
74 ja 58 tavuisia paketteja, joista ei ota muuta selkoa, kuin ehkä juokseva numero
Modeemi kirjautuu 51.124.139.217:21 (Eli FTP-palvelimelle)
ftp kättely
ftp kirjautuminen, user+pass
ftp komento STOR ja filename (joka on modeemin_sarjanumero-aikaleima.json)
Modeemi lähettää tiedoston sisällön selkokielisenä 51.124.139.217:2006 (tai joku muu portti josta serveri ja client sopivat)
{
"update": {
"Router": {
"RouterMac": "XX:XX:XX:XX:XX:XX",
"FreeMemory": 43,
"FreeMemKB": 42438,
"Epoch": 1621407077,
"RouterID": "XXXXXXXXXXXXX"
},
"IPStats": {
"Tx": 2665839787,
"Rx": 984536452
},
"Latency": {
"PktsTx": 5,
"PktsRx": 5,
"Avg": 0,
"Max": 0,
"Min": 0
},
"Radios": [{
"Interface": "wlan0",
"TxBytes": 2645829787,
"RxBytes": 981537452,
"TxFail": 314,
"RxError": 0,
"TxReTrans": 338085,
"Mean": 4294967203,
"TxFrames": 2219291,
"RxFrames": 3522993,
"Channel": 37,
"ChanimStats": {
"chanspec": "e02a",
"TXOP": 98,
"tx": 1,
"inbss": 1,
"OBSS": 2,
"nocat": 1,
"NOPKT": 2,
"DOZE": 0,
"goodtx": 1,
"badtx": 0,
"glitch": 30,
"timestamp": 4193788448,
"badplcp": 49,
"knoise": -92,
"idle": 99
}
}, {
"Interface": "wlan1",
"TxBytes": 1631055555,
"RxBytes": 108128882,
"TxFail": 357,
"RxError": 229,
"TxReTrans": 544411,
"Mean": 4294967104,
"TxFrames": 1185928,
"RxFrames": 2611201,
"Channel": 1,
"ChanimStats": {
"chanspec": "1001",
"TXOP": 85,
"tx": 3,
"inbss": 1,
"OBSS": 8,
"nocat": 1,
"NOPKT": 4,
"DOZE": 0,
"goodtx": 1,
"badtx": 1,
"glitch": 2237,
"timestamp": 4193788318,
"badplcp": 59,
"knoise": -92,
"idle": 94
}
Tätä en saa kokonaan, koska modeemin SSH-serveri heittää tuntemattomasta syystä pyyhkeen kehään aina tässä kohdassa (eli katkaisee yhteyden clienttiin).
En tiedä miten tuota pakettidataa saisi modeemilla tiedostoon tai vaikka modeemin Linux-puolelle, jossa voisi olla vakaampi SSH-serveri.
Kaikki on linjassa tuon conffitiedoston kanssa, jonka jo aiemmin jaoin:
*IP Stack3
*ACS URL = http://dna.acs.domos.no:8080
*domosftpServerAddress =51.124.139.217
(Silti vielä mysteeri IPt: 168.63.9.120 ja 202.170.132.181)
Koko logi on niitä täynnä monen päivän ajalta.