Ziggo.nl
Zoeken
Uitleg
1
Vraag
2
Reacties
3
Oplossing
DeBul

Level 4
  • 29Posts
  • 1Oplossingen
  • 12Likes

Vreemde login in event log Ubee C1318ZG

Een reactie in dit topic is gekozen als oplossing: Bekijk oplossing

Ik zie een vreemde inlogmelding in het eventlog van mijn Ubee modem.

 

"Telnet user logged in from IP address D5 5D 80 0A .

"Telnet user logged out."

 

Ik ben niet de enige die dit constateert.

 

Kan een Ziggo medewerker wellicht uitleggen wat dit zou kunnen zijn?

.

 

Topic label
maart
Aantal gebruikers met deze vraag: 4
Oplossing

Geaccepteerde oplossingen
Paul
Community Moderator
Community Moderator
  • 16852Posts
  • 1292Oplossingen
  • 5818Likes

Bekijk oplossing

Goedemiddag allemaal,
 

Inmiddels hebben we een terugkoppeling van de collega's die inhoudelijk meer over de hier gestelde vraag konden vertellen. Hieronder het antwoord. 

 

We wilden onderzoeken of er problemen waren met de Ubee modems. Om het onderzoek te kunnen uitvoeren hebben we enkele netwerk gerelateerde gegevens opgehaald aan de netwerkzijde van de betreffende modems. We verzamelen wel vaker informatie uit systemen op deze wijze. We willen benadrukken dat we  op geen enkel moment toegang hadden tot het netwerk van onze klanten en geen privacy regels overtraden. Doordat het script de modem benadert via Telnet zijn er event logs berichten verstuurd.

Bekijk in context

maart
54 Reacties 54
efok

Level 17
Expert
  • 3869Posts
  • 215Oplossingen
  • 1482Likes

Bekijk oplossing

@DeBul Ik had exact hetzelfde:

2023-03-06 15:35:51criticalTelnet user logged out.
2023-03-06 15:35:40criticalTelnet user logged in from IP address D4 B2 DA EA .

 

 

 

Ik kon zelf niet meer inloggen in de webinterface, pas na een reset van het modem weer, en daarna zag ik dit in het log.  Ik neem aan dat het Ziggo zelf is geweest, maar kan iemand dat bevestigen.....?

 

D4 B2 DA EA converteert naar 217.   Daar begint mijn eigen IP ook mee. Kan het iets vanuit de CMTS zijn geweest?

maart
0 Kudos
DeBul
Topicstarter
Level 4
  • 29Posts
  • 1Oplossingen
  • 12Likes

Bekijk oplossing

Ja heel vreemd. Hoop dat er snel antwoord komt van iemand van Ziggo.

I

maart
0 Kudos
KBX458

Oud Community-lid
  • 8462Posts
  • 377Oplossingen
  • 3111Likes

Bekijk oplossing

Wellicht heeft @tobiastheebe hiervoor een verklaring.

M.i. zou het hier een inlog door een monteur op de CMTS kunnen zijn.🤔

https://gathering.tweakers.net/forum/list_messages/1355083

maart
0 Kudos
efok

Level 17
Expert
  • 3869Posts
  • 215Oplossingen
  • 1482Likes

Bekijk oplossing

@DeBulWaarom heb je het verwijderd? Plaats het maar weer terug, toch? Je was niet de enige.

maart
0 Kudos
MR_CHIP

Level 18
Expert
  • 7645Posts
  • 106Oplossingen
  • 2680Likes

Bekijk oplossing

die zie je niet in het modem log aan de gebruiker kant, tevens gebruiken die geen telnet maar een webomgeving "OBS Monteur"

maart
0 Kudos
DeBul
Topicstarter
Level 4
  • 29Posts
  • 1Oplossingen
  • 12Likes

Bekijk oplossing

OK, weer terug geplaatst.

maart
0 Kudos
tobiastheebe

Level 20
Super Expert
  • 19793Posts
  • 1315Oplossingen
  • 9371Likes

Bekijk oplossing

Hier dezelfde events, maar dan vanochtend. Ik heb er zelf ook geen directe verklaring voor, ik had geen idee dat er een Telnet-server actief is op het modem. Ik kom op IP-adres 212.178.218.234 uit, wat niet in de reguliere IPv4 blocks voor klanten in fZiggo/fUPC valt.


[0] => stdClass Object
(
[cm_event_log_time] => 2023-03-07 11:17:48
[cm_event_log_priority] => critical
[cm_event_log_description] => Telnet user logged out.
)

[1] => stdClass Object
(
[cm_event_log_time] => 2023-03-07 11:17:37
[cm_event_log_priority] => critical
[cm_event_log_description] => Telnet user logged in from IP address D4 B2 DA EA .
)

maart
0 Kudos
MR_CHIP

Level 18
Expert
  • 7645Posts
  • 106Oplossingen
  • 2680Likes

Bekijk oplossing

misschien kan een moderator dit laten uitzoeken foor engineering

maart
Eddie the Eagle

Level 9
Expert
  • 303Posts
  • 4Oplossingen
  • 78Likes

Bekijk oplossing

+1   Exact hetzelfde hier.

maart
0 Kudos
Pasi

Level 18
Expert
  • 7393Posts
  • 428Oplossingen
  • 3749Likes

Bekijk oplossing

Inderdaad ook hier :

Telnet.png



@MR_CHIP  schreef:

misschien kan een moderator dit laten uitzoeken foor engineering

Ik verwacht ( /vraag/eis ) dat Ziggo hier met een zinnige reactie komt, m.b.t. wie, wat en waarom !

Een Telnet sessie met apparatuur dat in mijn huis staat, moet/mag natuurlijk alleen maar door geverifieerde Ziggo medewerkers ! Als Ziggo dat niet kan bevestiging, dan moet ik er dus vanuit gaan dat het Ziggo modem is gehackt en ik dus onveilige Ziggo apparatuur in huis heb !!

maart
amvih

Level 9
Expert
  • 258Posts
  • 7Oplossingen
  • 121Likes

Bekijk oplossing

Hier ook gebeurd, gisterenavond iets na zeven uur.

Het is ook exact bij iedereen een 11 sec durende actie.

Inderdaad vreemd, wat is het?

maart
0 Kudos
Bert

Level 21
Super Expert
  • 66759Posts
  • 4688Oplossingen
  • 18466Likes

Bekijk oplossing

Bert_0-1678204327857.png

Bert_1-1678204476650.png

maart
MR_CHIP

Level 18
Expert
  • 7645Posts
  • 106Oplossingen
  • 2680Likes

Bekijk oplossing

mijn vermoeden : een bepaalde automatische configuratie iets

maart
0 Kudos
JanAssen

Level 9
Expert
  • 362Posts
  • 3Oplossingen
  • 87Likes

Bekijk oplossing

Ik heb dezelfde soort login op mijn Ubee.

Scherm­afbeelding 2023-03-07 om 17.03.39.png

maart
0 Kudos
efok

Level 17
Expert
  • 3869Posts
  • 215Oplossingen
  • 1482Likes

Bekijk oplossing

OK we zien dus logins van D4 B2 DA EA en van D5 5D 80 0A.

Die laten zich convertren naar resp. 212.178.218.234 en 213.93.128.10

De 1e is een statisch IP en heeft een reverse DNS: hop-access1.ext.oss.as9143.net.

De 2e heeft geen reverse DNS. Beide zijn wel degelijk Ziggo adressen. Maar ik hoor ook graag waar het hier om gaat. Is er iets aangepast in onze modems? En zo ja, wat dan?

 

maart
Pasi

Level 18
Expert
  • 7393Posts
  • 428Oplossingen
  • 3749Likes

Bekijk oplossing

Dat het Ziggo adressen zijn, dat zou best kunnen.....

 

....Maar een telnet sessie opzetten, is iets anders dan b.v. een configuratie file sturen/aanpassen !

maart
0 Kudos
tobiastheebe

Level 20
Super Expert
  • 19793Posts
  • 1315Oplossingen
  • 9371Likes

Bekijk oplossing

De adressen zijn wel onderdeel van het AS (33915) van VodafoneZiggo, maar niet van ORG-BA21-RIPE (fZiggo) en ORG-CB6-RIPE (fUPC), waar IP-adressen van klanten in vallen.

maart
0 Kudos
MR_CHIP

Level 18
Expert
  • 7645Posts
  • 106Oplossingen
  • 2680Likes

Bekijk oplossing

ik hoop dat we te horen krijgen wat er gebeurt is

maart
0 Kudos
DennyW

Level 17
Expert
  • 3107Posts
  • 250Oplossingen
  • 900Likes

Bekijk oplossing
2023-03-07 10:54:38criticalTelnet user logged out.
2023-03-07 10:54:27criticalTelnet user logged in from IP address D4 B2 DA EA .

 

Ook ca. 10 minuten 11 sec.

maart
0 Kudos
E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Polls
Wat is je favoriete seizoen?
Keuzes weergeven
Keuzes verbergen
En waarom?

Uitgelicht topic

Zoek verder op de Community

annuleren
Suggesties inschakelen
Met de functie voor automatische suggesties kun je je zoekresultaten snel verfijnen doordat mogelijke overeenkomsten wordt voorgesteld terwijl je typt.
Resultaten voor 
Weergeven  enkel  | Zoek in plaats daarvan naar 
Bedoelde u: 
Stel je vraag
of
Terug