CLI: who - Wer ist denn da?

[stefanbunzel]

Hallo LANCOMer,

vor geraumer Zeit ist mir folgendes Merkwürdige auf der CLI auf den LANCOM-Routern / APs aufgefallen: Der CLI-Befehl "who" listet lt. CLI-Hilfe alle aktiven (Konsolen-)Verbindungen auf.

Bei einem unkonfigurierten bzw. neu gestarteten Gerät und zum Beispiel Zugriff über SSH erfolgt die Ausgabe auch wie erwartet:

Code: Alles auswählen

*root              SSH              07/01/2016 08:11:07(10.10.10.10)

Bei allen von mir vollständig konfigurierten LANCOM-Routern / APs, die eine Weile aktiv sind, sieht die Ausgabe aber immer mehr oder weniger wie folgt aus:

Code: Alles auswählen

 root              Outband          01/01/1900 00:59:33
*root              SSH              07/01/2016 07:59:59(10.10.10.10)

Auch hier erfolgt mein Zugriff - wie zu sehen - über SSH. Da frage ich mich aber, wer der erste Outband-User "root" ist, der offensichtlich seit knapp einer Stunde nach Gerätestart mit dem Gerät verbunden ist? Anzumerken ist, dass diese Ausgabe unabhängig davon erscheint, ob ein serielles Kabel am COM-Port (Outband) angeschlossen ist oder nicht.

Wer ist dieser "virtuelle" Outband-root-User? Ist das ein interner Dienst wie Syslog oder dergleichen? Oder habe ich einen ungebetenen Gast im System???

Ich würde mich freuen, wenn ich hierfür mal eine Erklärung erhalten könnte.

Viele Grüße,
Stefan

[MariusP]

Hi,
Hast du ein USB Gerät angeschlossen?
Gruß

[stefanbunzel]

Hallo MariusP,

Hast du ein USB Gerät angeschlossen?

An einem L-452agn ?
Nein, dieser Eintrag scheint unabhängig von einem evtl. angeschlossenem USB-Gerät zu sein.

Viele Grüße,
Stefan

[alf29]

Moin,

sind irgendwelche Skripte und/oder Cron-Aktionen auf dem Gerät gelaufen?

Gruß Alfred

[stefanbunzel]

Hallo Alfred,

sind irgendwelche Skripte und/oder Cron-Aktionen auf dem Gerät gelaufen?

Ja, die üblichen: E-Mail-Benachrichtigung 1 Minute nach Geräte-Neustart (nach 1 Minute Betriebszeit) usw.

Aber, wenn zum Beispiel dieser Cron-Job dafür zuständig wäre, warum erscheint dann dieser Who-Eintrag mit dem Zeitstempel 1 Std. nach Neustart?

Viele Grüße,
Stefan

[Jirka]

Hallo zusammen,

vor geraumer Zeit ist mir folgendes Merkwürdige auf der CLI auf den LANCOM-Routern / APs aufgefallen

jo, mir auch. Wobei die geraume Zeit schon etwas andauert, 3 Jahre vielleicht.

Hast du ein USB Gerät angeschlossen?

Nö.

sind irgendwelche Skripte und/oder Cron-Aktionen auf dem Gerät gelaufen?

Nein. Das ist hier auch bei Geräten, wo kein Cron-Tabellen-Eintrag ist und auch noch nie ein Script drüber gelaufen ist.

warum erscheint dann dieser Who-Eintrag mit dem Zeitstempel 1 Std. nach Neustart?

Die Frage ist eigentlich, warum eine Stunde nach Neustart dann mit so einem Datum "01/01/1900"... Und das auch bei Geräten, die eine Echtzeituhr drin haben, die auch garantiert eine korrekte Zeit hatte.
Die "eine Stunde" kann übrigens auch zwischen 46 Min. und 62 Min. sein (wobei zwischen 55 Min. und 61 Min. wohl am häufigsten ist). Keine Ahnung, was da passiert.
Oder aber es steht wirklich mal eine korrekte Zeit da:

Code: Alles auswählen

root@AP_C_04:/
> who

 root              Outband          09/21/2015 12:50:16
*root              SSH              07/01/2016 16:50:47(10.10.10.11)

Wobei das habe ich nur bei der 8.84 und der 9.00 beobachten können. Und dann scheint es die Startzeit des Gerätes zu sein.

Ach noch was, bei der 8.62 gab es das Problem noch nicht. Bei der 8.82 dann auf alle Fälle ja, wie es mit der 8.80 aussieht, das entzieht sich, mangels Geräten mit dieser Firmware, meiner Kenntnis.

Viele Grüße,
Jirka

[backslash]

Hi stefanbunzel

Code: Alles auswählen

Aber, wenn zum Beispiel dieser Cron-Job dafür zuständig wäre, warum erscheint dann dieser Who-Eintrag mit dem Zeitstempel 1 Std. nach Neustart?

vermutlich, weil du als Zeitzone GMT+1 eingestellt hast. Die Ausgabe von Timestamps erfolgt immer in local-time, d.h. der Eintrag dürfte sofort nach dem reboot entstanden sein - was dann auch wieder zu Alfreds Frage nach den Scripten paßt...


Gruß
Backslash

[Jirka]

Hallo Backslash,

hmm,

und die Schwankungen zwischen 46 und 62 Min. sind dann die Abweichungen der Uhr?

Viele Grüße,
Jirka

[stefanbunzel]

Hallo backslash,

der Eintrag dürfte sofort nach dem reboot entstanden sein

Da hier im Moment ja alle nur Vermutungen anstellen: Dann müsste doch aber diese Zeit immer größer 1 Stunde, also irgendwie "01:01:xx" oder so lauten, wenn +1 dazugerechnet wird und könnte nie unter "01:00:00" liegen.

Hallo Jirka,

Die Frage ist eigentlich, warum eine Stunde nach Neustart dann mit so einem Datum "01/01/1900"... Und das auch bei Geräten, die eine Echtzeituhr drin haben, die auch garantiert eine korrekte Zeit hatte.

Ich bin immer davon ausgegangen, dass dieser Zeitstempel mit dem Datum "01/01/1900" dann der Betriebszeit-Zähler ist, der ja gar keine echte Uhrzeit benötigt. Dieses Datum hatte ich immer als "Startdatum" bzw. eben "ungültiges Datum" gedeutet.

Das ist hier auch bei Geräten, wo kein Cron-Tabellen-Eintrag ist und auch noch nie ein Script drüber gelaufen ist.

Kann ich so nicht bestätigen. Ich habe hier mindestens ein komplett unkonfiguriertes Tesgerät (1781A) mit relativ aktuellem LCOS 9.20.0620 und gültiger Uhrzeit/Datum (Gerät hat Stützbatterie), der diesen Eintrag nach über 24 Stunden Laufzeit nicht aufweist. Vermutlich müsste man jetzt mal schrittweise eine Config einspielen und prüfen, ab wann dieser Eintrag auftaucht.

Prinzipiell sehe ich in diesem Eintrag ja gar kein großes Problem. Allerdings bin ich schon öfter mächtig erschrocken, wer sich denn da unerlaubt auf ein entferntes Gerät über Outband angeschlossen hat. Ist dann eben nur absolut peinlich wenn man behauptet, dass man beweisen könne, dass dort jemand vor Ort per seriellem Kabel auf dem Gerät ist, weil das LCOS es ja so meldet - und dann stimmt das gar nicht

Viele Grüße,
Stefan

[Jirka]

Hallo zusammen,

Da hier im Moment ja alle nur Vermutungen anstellen

ich habe eher versucht Fakten aufzuzeigen...

Dann müsste doch aber diese Zeit immer größer 1 Stunde, also irgendwie "01:01:xx" oder so lauten, wenn +1 dazugerechnet wird und könnte nie unter "01:00:00" liegen.

Darüber habe ich mich ja auch schon gewundert. Ich denke das mit der Zeitzone ist zwar erst mal naheliegend, aber das kann es nicht sein.

Aber um mal zu Vermutungen zu kommen:
Wenn man sich in ein Gerät einloggt, dann kommt:

Code: Alles auswählen

Using username "root".


#
| LANCOM 1821n Wireless
| Ver. 8.62.0050RU2 / 07.08.2012 / 6.26b/E74.02.54
| SN.  211041800112
| Copyright (c) LANCOM Systems

Vido_VPN, Connection No.: 002 (WAN)

Ganz unten steht Connection Number - und zwar die 2. Ja, was ist denn die Number 1? Das habe ich noch nie verstanden, wirklich noch nie. So und bei Geräten wie diesem älteren 1821n hier, da wird ja mit "who" nur ein Eintrag angezeigt (also meiner jetzt). Der zweite scheint aber trotzdem zu existieren, denn wie kommt sonst die Number 2 zustande? Das heißt, der ist lediglich ausgeblendet.
Daher bleibt als einzige Vermutung, dass es sich dabei um eine Backdoor handelt...
Was sagt denn eigentlich Dein L-151 zu dem Thema, der ja noch nicht mal eine serielle Schnittstelle hat?

Das ist hier auch bei Geräten, wo kein Cron-Tabellen-Eintrag ist und auch noch nie ein Script drüber gelaufen ist.

Kann ich so nicht bestätigen. Ich habe hier mindestens ein komplett unkonfiguriertes Testgerät (1781A) mit relativ aktuellem LCOS 9.20.0620 und gültiger Uhrzeit/Datum (Gerät hat Stützbatterie), der diesen Eintrag nach über 24 Stunden Laufzeit nicht aufweist.

Alfred fragte, ob bei diesem Gerät, wo es einen ersten "komischen" who-Eintrag gibt, ob da denn Cron-Tabellen-Einträge und Aktionstabellen-Scripte gelaufen sind. Und da habe ich gesagt, dass es daran nicht liegen kann, weil ich hier Geräte habe, wo nachweislich die Cron- und Aktionstabelle leer ist und der "komische" who-Eintrag trotzdem da ist. Wenn Du jetzt sagst, dass Du das so nicht bestätigen kannst, dann müssten bei Dir _alle_ Geräte, die keine Cron- und Aktionstabellen-Einträge haben, frei von diesem komischen who-Eintrag sein. Und das ist aber nicht der Fall. Dein unkonfiguriertes Testgerät wiederlegt ja nicht meine Aussage.

Prinzipiell sehe ich in diesem Eintrag ja gar kein großes Problem.

Also ich finde es schon unsauber. Aber da es schon immer so war, hat man sich halt einfach dran gewöhnt.

Viele Grüße,
Jirka

[stefanbunzel]

Hallo Jirka,

Was sagt denn eigentlich Dein L-151 zu dem Thema, der ja noch nicht mal eine serielle Schnittstelle hat?

Das stimmt ja nicht ganz: Er hat lt. MartinW schon eine serielle Schnittstelle. Nur eben keinen Pegelwandler.
Ohne Konfiguration und ohne Zeit (keine Batterie) sagt der mir mit LCOS 9.20.0347 nur:

Code: Alles auswählen

*root              SSH              00/00/0000 00:02:04(10.10.10.10)

Wobei hier die Datumsangabe 00/00/0000 gegenüber 01/01/1900 zu beachten ist!

Ich habe mal fix eine Konfig inkl. Cron-Tabelle, E-Mail usw. eingespielt und der L-151gn mit LCOS 9.20.0347 meldet nach einem Kalt- bzw. Neustart:

Code: Alles auswählen

 root              Outband          07/01/2016 20:18:33
*root              SSH              07/01/2016 20:18:48(10.10.10.10)

und mit LCOS 9.20.0566:

Code: Alles auswählen

 root              Outband          01/01/1900 01:00:03
*root              SSH              07/01/2016 20:24:27(10.10.10.10)

Man beachte wieder das unterschiedliche Datum bei Outband! - Irgendwie verwirrend...

Viele Grüße,
Stefan

[stefanbunzel]

@Jirka:

Daher bleibt als einzige Vermutung, dass es sich dabei um eine Backdoor handelt...

Jetzt doch wieder eine Vermutung? Doch sicher eine Feststellung von "Fakten"

Viele Grüße,
Stefan

[ecox]

Hallo zusammen,

also ich frage mich das auch schon seit geraumer Zeit, geht man per Console drauf, zählt der Wert auch hoch, aber wenn man noch nie eine Outband-Session hatte, frage ich mich wo sie herkommt. Als ob er mal am Anfang nach der Grundkonfiguration das Interface kurz prüft und dies als Session sieht, Sie muss ja defintiv vor den NTP Anfragen gemacht worden sein(oder eben bevor man die BEtriebszeit fest einstellt). Habe gerade mal ein paar Geräte getestet. Hier mal meine Auszüge. Seltsam das beim 1783VAW keine Outband angezeigt wird :/.

Code: Alles auswählen

| LANCOM 1783VAW (over ISDN)
| Ver. 9.20.0566Rel / 13.05.2016
Connection No.: 002 (WAN)

> who
*root              SSH              07/04/2016 11:00:48(xx.yy.zz.xx)

####################################################

| LANCOM L-322agn dual Wireless
| Ver. 9.20.0566Rel / 13.05.2016
Connection No.: 002 (LAN)

> who
 root              Outband          07/03/2016 18:38:42
*root              SSH              07/04/2016 11:01:24(xx.yy.zz.xx)

####################################################

| LANCOM 1781AW
| Ver. 9.20.0566Rel / 13.05.2016
Connection No.: 002 (LAN)

> who
 root              Outband          01/01/1900 00:59:34
*root              SSH              07/04/2016 11:01:49(xx.yy.zz.xx)

Grüße

[MoinMoin]

Moin, moin!

Das mit der Konsolensitzung Nr. 1 ist recht einfach zu erklären. Die Sitzung für die Outband wird nicht dynamisch angelegt, sondern ist immer da. Es ist immer die Nummer 1.

Allerdings sollte die ohne ein Terminal am Outbandkabel nicht in den Zustand "Verbunden" kommen. Und ohne Eingabe des Root-Passworts sollte da auch kein Root angemeldet sein. Das ist schon etwas merkwürdig.

Ciao, Georg

[ecox]

....Allerdings sollte die ohne ein Terminal am Outbandkabel nicht in den Zustand "Verbunden" kommen. Und ohne Eingabe des Root-Passworts sollte da auch kein Root angemeldet sein. Das ist schon etwas merkwürdig.

Korrekt, so seh ich das auch. Seltsam auch, das ich auf dem 1783 vor zwei Tagen erst per Console drauf war dort wird es aber nicht angezeigt auf den Geräten wo ich noch nie per Console drauf war, steht es da. Seltsam seltsam, da stellt sich mir langsam die Frage

881cfd838ed807cd48b54c0211d9e620.jpg

Grüße