Hello, Guest the thread was viewed1.7k times and contains 21 replies

last post from Smasher777 at the

U1541II+ startet automatisch ein CRT

    Moin zusammen,


    habe ein merkwürdiges Verhalten bei meinem U 1541 II+ mit FW 3,11(11E) an einem reloaded C64 MK2.


    Egal in welchem Zustand das Modul ist. Ob im Menu oder ob das Ready blinken sehe ... Warum auch immer, startet das Modul plötzlich ein CRT Image und bricht damit alles ab, was ich gerade mit dem C64 mache. Mitten in den Einstellungen, oder beim Programmieren des C64.


    Er lädt das CRT Image automatisiert und startet es. Immer das gleiche. Bin schon alle Einstellungen durch - nirgends finde ich das Image irgendwo eingetragen... Teilweise auch sehr kurz hintereinander. Wenn ich Menü drücke und im Menu stehe, dann schwups - startet er das schon wieder ... Teilweise startet er das CRT File auch erneut, während es abgespielt wird ...


    Habe das entsprechende CRT File auch umbenannt. Bringt keine Veränderung.

    Nur wenn der eine USB Stick aus dem 1541II+ draussen ist - wo das CRT drauf ist - dann erlebe ich nicht diesen Effekt ...


    Hat jemand schonmal dieses Phänomen gehabt?


    Beste Grüße, Gunnår

    Das ist ja komisch, welches CRT startet der denn?


    Hast du die Konfiguration des Flashs mal zurück gesetzt (geht beim Firmaware flashen)?

    Er will immer das Planet X 2.1 starten - also ein Spiel und kein ROM


    Ich hab den USB Stick in Slot 1 auch ausgetauscht und komplett auf einen anderen USB Stick kopiert. Gleiches Verhalten.

    Der andere USB Stick in Slot 2 - komplett unauffällig.


    Ne bisher noch nicht - ich hab gehofft, es gibt irgendwo einen "versteckten" Ordner oder eine Funktion die auf das CRT Verweist. Aber wie gesagt, ich hatte nur viele CRT kopiert - das aber auch nicht gestartet ...


    Es klingt auch so, dass er Disketten Images einlegt ... merkwürdig....

    ... so, über den Menüpunkt "f5" dann "configuration" die configuration auf default zurück gesetzt


    hatte vorher die config nochmal gesichert, falls da mal jemand dreinschauen will ... Natürlich auch die ganzen ROM, BIN und CRT Files die bereits drauf waren (das war aber nicht nötig, war alles nach dem "set to default" noch da).


    Alle Einstellungen wieder so eingestellt, wie ich vorher abfotografiert hatte ;-) und die config wiederum gesichert...


    ... na nun lass ich den mal neben mir laufen, mal schauen ob er immer noch das Spiel selbst startet und spielen will (natürlich sind die gleichen beiden USB Sticks eingelegt).

    so, das ganze ist reproduzierbar…

    IMG_8150.jpeg

    wenn ich „enter on startup“ deaktiviert lasse, wird kein CRT mehr plötzlich und unverhofft gestartet.


    Doof eigentlich, denn so war ich immer auf dem richtigen USB Stick und im richtigen Verzeichnis.


    Egal, der Bug ist nun erklärbar und der Workaround ist auch bekannt.

    Ne, das ganze hat ne andere Dimension erreicht ... Hatte gedacht, das evtl. die Batterie alle ist und tauschte die aus und wurde dann wegen der Aktivitätsanzeige misstrauisch...


    Mein Provider meldete mir dann auffälligen Traffic - ich also auf meinen Router drauf, Firewall gecheckt, Dienste geprüft und bin die entsprechenden Portweiterleitungen durch, denn ich hatte mit dem U1541II+ rumgespielt um es auch "von außen" erreichen zu können.


    BBS, Datenslave - was auch immer, abseits des Synology NAS ... Also schnell eingegrenzt: Port 23 war z.b. inbound offen und zeigte auf die IP des Ultimate1541 (per LAN angeschlossen)


    Nachdem ich die Dev-Logfiles des Ultimate durch bin, und sich das U1541II immer mal wieder aufhing oder wahllos D64 Images "wie von Geisterhand" mountete, Spiele startete oder wahllos CRT Files startete, schaute ich mal genauer rein, denn die obere rechte grüne LED (die Aktivität LED) ging garnicht mehr aus und ich musste den C64 teilweise mehrfach aus und einschalten, damit überhaupt was ging ... Reset taste/Menü Taste reagierte nicht ...

    IMG_8484.jpeg

    Das Ultimat1541 reagiert, wenn überhaupt nur Zeitversetzt - es war total beschäftigt: MIT dem löschen von Dateien.

    Naja ich hab von dem USB Stick ne Sicherung, kein Thema - das alles wieder hergestellt - also LAN Kabel gezogen. Das Ultimate löschte fleißig weiter - ist in den Dev-Logfiles recht gut dokumentiert ich hab es machen lassen - kostet ja nix :roll2:


    Also: Beweissicherung :) Honeypot virtuelle Maschine aufgesetzt, Port umgeleitet etc... und siehe da - nach einer Weile mit Wireshark fleißig mitgeschnitten und die quell IP identifiziert, Aktivitäten protokolliert - soweit es mir möglich war. Auch die Eingaben von jemandem der "Telekom Admin", "root" oder ähnlich eingegeben hat ist da auch mitgeschnitten.


    Wo kam das, nach meinen Erkenntnissen her? Das muss natürlich nicht stimmen, dem gehen nun andere nach :banned
    IP-Adresse: 217.81.61.130
    Zeitpunkt: Xx.Xx.XxXx um Xx:Xx:Xx MEZ
    Dienst: telnet (23)

    Land: Deutschland

    Staat/Region: Niedersachsen

    Stadt: Elze

    ISP: Deutsche Telekom AG


    Meinem Provider habe ich dann meine Erkenntnisse mitgeteilt und per "online Wache" an das neue Cybercrimezentrum des BKA gemeldet und meine umfangreichen Wireshark sowie die Dev- Logfiles übergeben.

    Das geht nun seinen Gang. :achtung


    Übrigens habe ich diese Einstellungen jetzt deaktiviert

    IMG_8491.jpeg

    Listening Port: entfernt

    Do RING sequence (invcoming): Disabled


    Jepp mein Ultimate 1541 II seit 2 Tagen unauffällig und führt keine Hintergrundaktivitäten aus, die einem nicht merkwürdig vor kommt.

    Erstaunlich ist ja, obwohl ich im Laufe meines Versuch die Ultimate1541II+ zu "reparieren" auch den FPGA 2x komplett neu geflashed habe, einen Down sowie Upgrade der FW durchgeführt habe - gingen die Symptome nicht weg ...


    Kurz um: Also lag es nicht am Ultimate - lag an einem BOT oder einem DEPPEN - das wird mir nach Abschluss der Untersuchung mitgeteilt :kill:


    Warum jemand u.a. die Ordner:

    EasyF3 CRT - F a v o r i t e

    Images D64 - Anwender SW

    löschen wollte, ist mir ehrlich gesagt, das Nachdenken nicht wert ...


    controlport2 : Thema kann gern zu, ist für mich erledigt.


    ... wer Lust hat, kann sich mal die Dev-Logfiles des Ultimate anschauen :juhu:


    p.s.: Wenn hier jemand aus dem Forum sich einen Spaß erlaubt hat - sollte er sich lieber schnell bei mir per PN melden - noch kann ich den Zug aufhalten. ROTFL

    Quote from GuNKeN

    Kurz um: Also lag es nicht am Ultimate - lag an einem BOT oder einem DEPPEN

    Und an dir...

    Quote from GuNKeN

    Port 23 war z.b. inbound offen und zeigte auf die IP des Ultimate1541 (per LAN angeschlossen)

    ...denn du hast das Ultimate1541 direkt ans Internet gehängt. Und nachdem das Ultimate keinerlei Benutzer-Authentisierung hat, kann halt auch jeder per Telnet rein. Ist ein bissichen so wie wenn man das Dachfenster offen lässt und sich dann wundert, dass es reinregnet... ;)

    Panther - Nope, da trennt sich offenbar unsere Auffassungen ... Wenn ich meine Gartentür auflasse, heisst es nicht, das jeder rein darf und Dinge in meinem Haus löschen/zerstören darf.

    Um in dem Bild zu bleiben ein bewusstes eindringen in eine IT System ist keine "Naturgewalt" wie der Regen ... :tischkante:


    Ich lege Dir zu gute und vermute, das Du Dein Beispiel einfach nur schlecht gewählt hast. Ich vermute, dass ich weiss was du damit sagen wolltest (selbst schuld?), aber kann es sein, dass Dir meine Absicht dabei entgangen ist? :thumbsup:


    Egal, die Frage war nur rhetorisch ... Ich gehe auf das Thema nicht weiter ein. :nene:

    Sehr spannend, hat mir wirklich gefallen. Aber ...


    Was das Thema betrifft, ob jemand in Dein offenes Gartentor namens Telnet eindringen darf, GuNKeN : Das ist was IT-Sicherheit betrifft das falsche Mindset. Wahrscheinlich siehst Du das aber auch so. Ob das Gartentor offen ist oder nicht, ist unerheblich. Es wird jemand versuchen, reinzukommen. Wenn es ein offenes Tor namens Telnet ist, wird jemand reinkommen. Das hast Du doch gesehen. Und dann gibt es Schaden. Deshalb muss man das Gartentor zumachen und abschließen.


    Es ist jetzt in dem Fall nicht so tragisch, weil es sich ja nur um eine Ultimate Cartridge handelt, aber man darf so nicht an das Thema heran gehen, wenn man z.B. einen Server nach außen zugänglich macht. Man kann ja auch mal von einem Gerät zum nächsten hüpfen. Telnet ist aus gutem Grund deprecated. Das Ding ist unsicher, wie noch was. Für die Ultimate Cartridge ist es in Ordnung, weil Gideon sicher nicht davon ausging, dass man die Cartridge übers Internet zugänglich macht. Obwohl ich schon sagen muss, dass es jetzt keine Raketenwissenschaft ist, eine Benutzerkennung zzgl. Passwort vorzusehen, die man über das Frontend konfigurieren kann. Und dann statt Telnet vielleicht doch SSH verwenden.


    Wir müssen das Thema nicht weiter diskutieren, aber Panther hat in dem Fall (fast) recht. Das mit dem Regen ist allerdings tatsächlich das falsche Beispiel, weil der Typ, der Deine Cartridge ferngesteuert hat, das ja bewusst getan hat.


    Was jetzt an dem Thema interessant wäre: Da muss ja dann ein Portscan gelaufen sein. Ist doch merkwürdig, dass da so schnell jemand drauf war... Mir würde das jedenfalls arg zu denken geben.

    Quote from 64k_or_64bit

    Das mit dem Regen ist allerdings tatsächlich das falsche Beispiel, weil der Typ, der Deine Cartridge ferngesteuert hat, das ja bewusst getan hat.

    Egal, ob jemand per Portscan und dann mit Telnet manuell irgendwo reingeht oder automatisiert per Skript einen Trojaner über eine lange bekannte und ungepatchte Lücke in einem Windows-Dienst installiert - beides gehört heutzutage zum normalen Geschehen im Internet und wird früher oder später eintreten, wenn man keine Sicherungsmaßnahmen ergreift. Insofern passt das Bild mit dem offenen Fenster und dem Regen schon.


    Die Haltung "da hat jemand etwas verbotenes getan!" lenkt nämlich von der eigenen Verantwortung ab, die ich als Betreiber eines Systems habe. Besser wäre es, zu fragen, was ich tun kann, um solche Ereignisse zu verhindern. Hätten wir eine anständige Sicherheitskultur, würden BKA und "Cybercrime-Zentrum" (*loooool*) einem spätestens bei "offenes Telnet im Internet" ins Gesicht lachen, nach dem zuständigen Erziehungsberechtigten fragen und eine Anzeige wegen grober Fahrlässigkeit hinterherschicken.

    Quote from Panther

    Die Haltung "da hat jemand etwas verbotenes getan!" lenkt nämlich von der eigenen Verantwortung ab, die ich als Betreiber eines Systems habe.

    Nichts anderes habe ich gesagt. Bzw. wo liest Du heraus, dass ich diese Haltung habe? Ich habe diese Haltung nicht. Man hat selbst Verantwortung für das Zeug, das man ins Internet hängt. Das ist klar und das habe ich auch gesagt. Natürlich soll man sich nicht dahinter verstecken, dass der Angriff a priori verboten ist. Das ist ja nicht das, was die eigenen Systeme schützt. Wir sind da schon einer Meinung.


    Regen ist dennoch keine gute Analogie, weil Regen passiert (und auch nichts grundsätzlich Schlechtes ist) aber nicht bewusst gesteuert. Es hat ja nicht reingeregnet. Sondern jemand ist durchs offene Fenster eingestiegen und hat die Wohnung verwüstet. Das ist ein Unterschied. Der Regen klaut Dir auch nichts, aber derjenige, der einsteigt ggf. schon. Das ändert nichts daran, dass man das Fenster nicht hätte offen lassen dürfen. Das ist schon klar. Aber wenn man will, dass die Leute umdenken, muss man auch die richtige Begründung liefern. Es ist nicht das Problem, dass die Unterlagen nass werden. Das Problem ist, dass sich jemand die Unterlagen anschaut und kopiert oder vernichtet.


    Die Ultimate ist eben nicht dafür geeignet, ins Internet gehängt zu werden. Mir erschließt sich auch nicht, weshalb man das überhaupt versuchen wollte.

    Wenn man einen WindowsXP Rechner direkt ans Internet hängt dauert es keine 10 Minuten, bis dieser voll mit Malware ist.

    Offene Telnetports werden natürlich auch auf alle möglichen Dinge abgeklopft...also wundern muss man sich nicht.


    Wenn man auf einer Fritzbox ein VOIP "Telefon" nach aussen aufmacht, dauert es auch nicht lange bis jemand kostenpflichtige Auslandsrufnummern anruft...


    Das ist das Internet. Leider.

    Quote from 64k_or_64bit

    Was jetzt an dem Thema interessant wäre: Da muss ja dann ein Portscan gelaufen sein. Ist doch merkwürdig, dass da so schnell jemand drauf war... Mir würde das jedenfalls arg zu denken geben.

    Ich glaube das Portscans einen nicht unerheblichen Anteil am Traffic in dieser Welt haben.

    Jeder Dienst der ohne Zugangsbeschränkung aus dem Internet erreichbar ist DARF VON JEDEM genutzt werden.

    Stell dir vor was die alternative wäre:

    Du kannst keine emails versenden ohne dem Betreiber des Empfänger-Servers zu fragen ob du da emails zustellen darfst.

    Du kannst keine Webseite Ansurfen ohne den Betreiber des Webservers zu fragen ob du da Surfen darfst.

    [list goes on]


    Das internet würde faktisch einfach nicht funktionieren

    Quote from GuNKeN

    enn ich meine Gartentür auflasse, heisst es nicht, das jeder rein darf und Dinge in meinem Haus löschen/zerstören darf.

    Nur weil jemand etwas nicht machen darf heisst das nicht, dass man nicht selbst in der Pflicht ist die Möglichkeit dieser Handlung zu unterbinden. Um mal einen klassischen Autovergleich heranzuziehen: Unbefugte Nutzung eines Fahrzeugs ist nach StGB

    248b strafbar, trotzdem verpflichtet §14 StVO den Fahrzeugführer dazu, es beim Verlassen gegen unbefugte Nutzung zu sichern.

    Quote from Panther
    Quote from TD1334

    Ich glaube das Portscans einen nicht unerheblichen Anteil am Traffic in dieser Welt haben.

    Vom Datenvolumen her gehen Portscans im Rauschen unter, aber ich denke auch, dass ein neuer offener Port innerhalb weniger Stunden, wenn nicht gar Minuten, entdeckt wird.

    Ja mag sein ... aber wenn ich sehe was sich so in den Logfiles abspielt, dann müssen Serverfarmen nur gezielt auf offene Portsuche sein. ;-)

    Quote from TD1334

    Ja mag sein ... aber wenn ich sehe was sich so in den Logfiles abspielt, dann müssen Serverfarmen nur gezielt auf offene Portsuche sein. ;-)

    nene, das was du in deinen logfiles siehst ist um größenordnungen größer als das was auf dem netzwerkkabel abläuft.


    Da gibt's nen dienst der mit einem server das ganze ipv4 netz auf allen ports durchscant, auf einer kiste mit direktem 10gbit/s netz, je nach tagesform läuft der 3-4 mal am tag durch.