Brauche Hilfe

nMs_fr4gg3r · 5. September 2010, 03:06

Hallo. Bin gerade betrunken nach Hause gekommen und (ein paar Leute waren hier zu Besuch) war ein PuTTY-Fenster geöffnet. Ich will nur sichergehen, dass niemand externe Kontrolle über meinen PC hat.
Der PuTTY-Event Log sagt mir "Conifiguring XON/XOFF flow control".

cp - memory copy
cpumap - Display CPU memory mapping settings.
crc32 - checksum calculation
date - get/set/reset date & time
dclk - Display the MV device CLKs.
dhcp - invoke DHCP client to obtain IP/boot params
diskboot- boot from IDE device
echo - echo args to console
eeprom - EEPROM sub-system
erase - erase FLASH memory
ext2load- load binary file from a Ext2 filesystem
ext2ls - list files in a directory (default /)
fi - Find value in the memory.
flinfo - print FLASH memory information
fsinfo - print information about filesystems
fsload - load binary file from a filesystem image
g - start application at cached address 'addr'(default addr 0x40000)
go - start application at address 'addr'
help - print online help
icrc32 - checksum calculation
ide - IDE sub-system
iloop - infinite loop on address range
imd - i2c memory display
imm[.b, .s, .w, .l] - i2c memory modify (auto-incrementing)
imw - memory write (fill)
inm - memory modify (constant address)
iprobe - probe to discover valid I2C chip addresses
ir - reading and changing MV internal register values.
loop - infinite loop on address range
ls - list files in a directory (default /)
map - Diasplay address decode windows
md - memory display
me - PCI master enable
mm - memory modify (auto-incrementing)
mp - map PCI BAR
mtdparts- define flash/nand partitions
mtest - simple RAM test
mv_diag - perform board diagnostics
mw - memory write (fill)
nand - NAND sub-system
nboot - boot from NAND device
nbubt - Burn a boot loader image on the Boot Nand Flash.
nm - memory modify (constant address)
pci - list and access PCI Configuration Space
phyRead - Read PCI-E Phy register
pciePhyWrite - Write PCI-E Phy register
phyRead - Read Phy register
phyWrite - Write Phy register
ping - send ICMP ECHO_REQUEST to network host
printenv- print environment variables
protect - enable or disable FLASH write protection
rarpboot- boot image via network using RARP/TFTP protocol
reset - Perform RESET of the CPU
resetenv - Return all environment variable to default.
run - run commands in an environment variable
saveenv - save environment variables to persistent storage
se - PCI Slave enable
setenv - set environment variables
sflash - read, write or erase the external SPI Flash.
sg - scanning the PHYs status
sp - Scan PCI bus.
tftpboot- boot image via network using TFTP protocol
version - print monitor version
CE>> printenv
baudrate=115200
loads_echo=0
rootpath=/mnt/ARM_FS/
netmask=255.255.0.0
run_diag=yes
console=console=ttyS0,115200
CASset=min
MALLOC_len=1
ethprime=egiga0
bootargs_root=root=/dev/mtdblock2 ro
ethmtu=1500
usb0Mode=host
nandEcc=1bit
ethact=egiga0
ethaddr=00:10:75:1A:D1:1B
cesvcid=K9QRV2UZX43UC3MBMUD4ABNEFS
ceserialno=2GEP1H55
ceboardver=REDSTONE:1.0
bootcmd_org=nand read.e 0x800000 0x100000 0x300000; setenv bootargs $(console) $(bootargs_root); bootm 0x800000
arcNumber=2097
ipaddr=192.168.0.200
serverip=192.168.0.102
mtdparts=orion_nand:0x100000@0x0(u-boot),0x400000@0x100000(uImage),0x2000000@0x500000(rootfs),0xDB00000@0x2500000(data)
tftpboot=tftp 0x800000 uImage ; setenv bootargs $(console) root=/dev/sda1 rw rootdelay=5 $(mtdparts) ; bootm 0x800000
bootargs_ubi=ubi.mtd=2 root=ubi0:rootfs rootfstype=ubifs
bootcmd_ubi=nand read.e 0x800000 0x100000 0x300000 ; setenv bootargs $(console) $(mtdparts) $(bootargs_ubi) ; bootm 0x800000
bootcmd=run bootcmd_ubi
stdin=serial
stdout=serial
stderr=serial
mainlineLinux=yes
enaMonExt=no
enaCpuStream=no
enaWrAllo=no
pexMode=RC
disL2Cache=no
setL2CacheWT=yes
disL2Prefetch=yes
enaICPref=yes
enaDCPref=yes
sata_dma_mode=yes
netbsd_en=no
vxworks_en=no
bootdelay=3
disaMvPnp=no

Environment size: 1222/131068 bytes
CE>>
baudrate=115200
loads_echo=0
rootpath=/mnt/ARM_FS/
netmask=255.255.0.0
run_diag=yes
console=console=ttyS0,115200
CASset=min
MALLOC_len=1
ethprime=egiga0
bootargs_root=root=/dev/mtdblock2 ro
ethmtu=1500
usb0Mode=host
nandEcc=1bit
ethact=egiga0
ethaddr=00:10:75:1A:D1:1B
cesvcid=K9QRV2UZX43UC3MBMUD4ABNEFS
ceserialno=2GEP1H55
ceboardver=REDSTONE:1.0
bootcmd_org=nand read.e 0x800000 0x100000 0x300000; setenv bootargs $(console) $(bootargs_root); bootm 0x800000
arcNumber=2097
ipaddr=192.168.0.200
serverip=192.168.0.102
mtdparts=orion_nand:0x100000@0x0(u-boot),0x400000@0x100000(uImage),0x2000000@0x500000(rootfs),0xDB00000@0x2500000(data)
tftpboot=tftp 0x800000 uImage ; setenv bootargs $(console) root=/dev/sda1 rw rootdelay=5 $(mtdparts) ; bootm 0x800000
bootargs_ubi=ubi.mtd=2 root=ubi0:rootfs rootfstype=ubifs
bootcmd_ubi=nand read.e 0x800000 0x100000 0x300000 ; setenv bootargs $(console) $(mtdparts) $(bootargs_ubi) ; bootm 0x800000
bootcmd=run bootcmd_ubi
stdin=serial
stdout=serial
stderr=serial
mainlineLinux=yes
enaMonExt=no
enaCpuStream=no
enaWrAllo=no
pexMode=RC
disL2Cache=no
setL2CacheWT=yes
disL2Prefetch=yes
enaICPref=yes
enaDCPref=yes
sata_dma_mode=yes
netbsd_en=no
vxworks_en=no
bootdelay=3
disaMvPnp=no

Environment size: 1222/131068 bytes
CE>>
baudrate=115200
loads_echo=0
rootpath=/mnt/ARM_FS/
netmask=255.255.0.0
run_diag=yes
console=console=ttyS0,115200
CASset=min
MALLOC_len=1
ethprime=egiga0
bootargs_root=root=/dev/mtdblock2 ro
ethmtu=1500
usb0Mode=host
nandEcc=1bit
ethact=egiga0
ethaddr=00:10:75:1A:D1:1B
cesvcid=K9QRV2UZX43UC3MBMUD4ABNEFS
ceserialno=2GEP1H55
ceboardver=REDSTONE:1.0
bootcmd_org=nand read.e 0x800000 0x100000 0x300000; setenv bootargs $(console) $(bootargs_root); bootm 0x800000
arcNumber=2097
ipaddr=192.168.0.200
serverip=192.168.0.102
mtdparts=orion_nand:0x100000@0x0(u-boot),0x400000@0x100000(uImage),0x2000000@0x500000(rootfs),0xDB00000@0x2500000(data)
tftpboot=tftp 0x800000 uImage ; setenv bootargs $(console) root=/dev/sda1 rw rootdelay=5 $(mtdparts) ; bootm 0x800000
bootargs_ubi=ubi.mtd=2 root=ubi0:rootfs rootfstype=ubifs
bootcmd_ubi=nand read.e 0x800000 0x100000 0x300000 ; setenv bootargs $(console) $(mtdparts) $(bootargs_ubi) ; bootm 0x800000
bootcmd=run bootcmd_ubi
stdin=serial
stdout=serial
stderr=serial
mainlineLinux=yes
enaMonExt=no
enaCpuStream=no
enaWrAllo=no
pexMode=RC
disL2Cache=no
setL2CacheWT=yes
disL2Prefetch=yes
enaICPref=yes
enaDCPref=yes
sata_dma_mode=yes
netbsd_en=no
vxworks_en=no
bootdelay=3
disaMvPnp=no

Environment size: 1222/131068 bytes
CE>> setenv bootcmd 'run tftpboot'
CE>> saveenv
Saving Environment to NAND...
Erasing Nand...Writing to Nand... done
CE>>

FeliX_22 · 5. September 2010, 23:03

Ich hab keine Ahnung von PuTTY, aber ich lese daraus, dass erst mal die Liste der möglichen Befehle (da fehlt oben noch ein Stück?) und dann mit printenv die Umgebungsvariablen ausgegeben wurden. Dann wurde was an bootcmd geändert. Am besten du schreibst wieder setenv bootcmd 'run bootcmd_ubi' und dann saveenv. Ich hab aber keine Ahnung von PuTTY. Übrigens ist in deiner Ausgabe ein Stück doppelt.

Gruß

FeliX_22

Liberty Valance · 7. September 2010, 17:44

Via PuTTY können über die bereitgestellten textorientierten Terminal-Sitzung Befehle abgesetzt werden, die auf einem fernen System ausgeführt werden. Also gewöhnlich in der anderen Richtung. Da hat bestenfalls jemand versucht, ein anderes System zu übernehmen.

HTH + CU

knoerrli · 8. September 2010, 10:16

nMs_fr4gg3r schrieb:

Hallo. Bin gerade betrunken nach Hause gekommen und (ein paar Leute waren hier zu Besuch) war ein PuTTY-Fenster geöffnet.

Ich versteh zwar nicht warum bei Dir Leute zu Besuch sind und an deinem Rechner rumspielen, wenn du nicht da bist(Man kann seinen Rechner ja mit div. Schutzmechanismen gegen unbefugten Zugriff absichern).

Auf jeden Fall kann durch ein geöffnetes putty Fenster keiner auf deinen Rechner zugreifen! Dafür müsste schon ein SSH Server installiert werden(dropbear oder ähnl.).

FeliX_22 · 8. September 2010, 10:33

Aber mit bootcmd wurde doch was an seiner Bootsequenz geändert? Natürlich nicht von Windows (oder Linux), aber irgendetwas kann da booten und statt bootcmd_ubi ist es nun auf tftpboot geändert und gespeichert worden. Also was sagt das überhaupt aus? Würde mich mal interessieren.

Gruß

FeliX_22

Liberty Valance · 8. September 2010, 17:53

So wie ich das sehe, wurde versucht auf ein ARM-System zuzugreifen. Ich würde daher eher schlußfolgern, daß sie versucht haben sein Router zu übernehmen. Ob sie dabei erfolgreich waren, ist eine andere Frage...

HTH + CU

FeliX_22 · 9. September 2010, 00:19

Oha, das bedeutet ja, dass der Router die Startkonfiguration zum Booten per TFTP laden soll. Vielleicht sollte man ein altes Backup zurückspielen, nur um auf Nummer sicher zu gehen. Oder auf Werkseinstellungen zurücksetzen, oder die Optionen alle manuell überprüfen.

Gruß

FeliX_22

Liberty Valance · 9. September 2010, 14:26

Jeah! Allerdings ist meine Schlußfolgerung eine reine Vermutung. Das aber auf ein unixoider ARM-System zugegriffen wurde, kann man am unten angefügten Code deutlich erkennen.Theoretisch kann es aber auch ein Android-Handy oder z.B. ein Nokia N900 gewesen sein.

Quellcode

baudrate=115200
loads_echo=0
rootpath=/mnt/ARM_FS/
netmask=255.255.0.0
run_diag=yes
console=console=ttyS0,115200
CASset=min
MALLOC_len=1
ethprime=egiga0
bootargs_root=root=/dev/mtdblock2 ro
ethmtu=1500
usb0Mode=host
nandEcc=1bit
ethact=egiga0

Alles anzeigen

//Edit
Auch auf ein QNAP-NAS läßt sich BTW so zugreifen. Das sind nämlich die üblichen U-Boot-Environment-Befehle...

HTH + CU

Quellcode

Teilen