Rogue Start-Up der Roboterkehrmaschine

8

Ich habe eine Xiaomi Mi-Roboterkehrmaschine und jeden Tag um 19:00:40 Uhr wird sie von einer betrügerischen Internetnachricht gestartet. Ich habe die aktive IP-Tabelle unmittelbar vor und nach mehreren Starts von der DD-WRT-Router-Firmware gespeichert und die folgenden eindeutigen IP-Remote-Adressen (Fremdadressen) gefunden, bei denen die (lokale) Quell-IP die des Sweeper war:

52.80.189.157 52.80.66.219

Ist es möglich, die Firewall in der DD-WRT-Firmware des Routers so zu ändern, dass alle 52.80.xx.xx-Adressen über die Eingabe "Befehlszeile" unter "Administration" enthalten sind?

Aurora0001
quelle
1
Ja, es scheint jetzt zu reichen, als ich den Roboter ausschaltete und zu diesem bestimmten Zeitpunkt nichts einging. Ich blockiere jetzt den ausgehenden spezifischen Bereich, der die angegebenen IPs enthält, nämlich 52.84.0.0/21.

Antworten:

5

Laut der Amazon-Seite steht für den Staubsauger ein Cloud-Service zur Verfügung. Vermutlich kommuniziert die App damit. Sie können Alexa auch mit dem Staubsauger verwenden , sodass an vielen Stellen Pakete von Ihrem Staubsauger kommen können.

Eine der von Ihnen aufgelisteten IPs scheint ein Unternehmen oder ein Teil einer Universität in China zu sein. Ich kann nicht sagen, welche meine whois-Seite ist.

Als ich nach dieser Firma suchte, fand ich diese Seite , die zeigte, dass die Firma möglicherweise ein Rechenzentrum ist.

Sie suchen also entweder nach einer Funktion, für die Sie oder eine andere Person sich angemeldet und die Sie vergessen haben, oder nach bekannten schlechten IP-Adressen, die Ihr Netzwerk besitzen. Es ist an dieser Stelle eine Art Crapshoot mit den bereitgestellten Informationen. Heutzutage wären Hacker jedoch eher daran interessiert, den Roboter als Teil eines Botnetzes oder eines Bitcoin-Miners zu verwenden, als Ihnen jeden Tag zur gleichen Zeit einen Streich zu spielen.

YetAnotherRandomUser
quelle
Es gibt Cloud-Dienste, mit denen das Xiaomia Mi zusammenarbeitet, aber diese IPs identifizieren sich als in Ordnung. Die beiden IPs, die ich in der ursprünglichen Frage identifiziert habe, geben den Hostnamen "ec2-52-80-189-157.cn-north-1.compute.amazonaws.com.cn" und "ec2-52-80-66-219" an. cn-north-1.compute.amazonaws.com.cn "auf der Webanalysis-Website. Heute Abend werde ich den Vac daran hindern, auf 52.84.0.0/21 zuzugreifen, der beide Sites (und mehr) enthält, um zu sehen, ob es irgendwelche Auswirkungen hat.
Da der "Rogue" -Start des Roboters nur bei Verbindung mit dem Internet erfolgt, besteht die Brute-Force-Lösung darin, den Internetzugang einfach von 19:00 bis 19:01 Uhr mithilfe einer DD-WRT-Zugriffsbeschränkung zu verweigern. Werde es heute Abend versuchen (17.10.18).
Die Verweigerung des Zugangs zum Internet des Roboters Vac für eine Minute um 19:00 Uhr funktionierte. Versuchen Sie nun, nur bestimmte IP-Adressbereiche zu blockieren, die sich auf die in den IP-Tabellen angegebenen beziehen, ohne zu leugnen, dass Sie detailliertere Informationen über die Quelle des "Vac Start" erhalten, dh 42.62.64.0 / 18 usw.
Trennen Sie den Roboter vom WLAN oder setzen Sie ihn auf die Werkseinstellungen zurück, um die Verbindung zu Ihrem Cloud-Konto zu trennen.
YetAnotherRandomUser
Wie ich in meinem letzten Kommentar erwähnt habe, hat die Verweigerung des Internetzugangs über DD-WRT von 19:00 bis 19:01 genau das getan, als das Problem auftrat. In allen anderen Fällen benötige ich das WLAN, um es mit meinem Tablet aus der Ferne bedienen zu können. Es ist jetzt klar geworden, dass die mit Amazon verbundenen Werbe-IPs die Schuldigen sind (52.xx.xx.xx & 54.xx.xx.xx). Danke für das Interesse.
5

Laut Scotts Kommentar und unter Ignorierung der ursprünglichen Frage ist die Geschichte, dass anscheinend ein Firmware-Update für meinen Kehrmaschinenroboter die Option eines "automatischen" Modus beinhaltete, der standardmäßig um 1900 DST (und 1800 nach Beendigung der DST) aktiviert wurde. Ich sage "anscheinend", weil mir ein solcher "automatischer Modus" erst ungefähr eine Woche vor dem Ende der vierzig Tage, die in Scotts Posting erwähnt wurden, bekannt war.

Auf meinem Tablet, auf dem ich der Roboterkehrmaschine folge und sie neu starte, wenn sie sich über blockierte Bürsten beschwert, stolperte ich schließlich über den "neuen" "automatischen" Teil des Programms und sah "1800". Beeindruckend! Ein Teil der Anweisungen und Informationen im Automatikmodus ist auf Chinesisch, daher habe ich sie Zeichen für Zeichen ins Englische übersetzt und festgelegt, wie die Option "Automatisch" deaktiviert werden soll. Selbst auf Englisch sind diese Programme nicht wirklich benutzerfreundlich.

In "Automatisch" verwendet der Roboter ein Programm in einer der vielen Amazon-Clouds, um seinen automatischen Start zu implementieren. Ich habe 24 Bereiche von IP-Adressen im Router blockiert, auf die der Kehrer zugreifen kann, und ohne Erfolg habe ich den Kehrer schließlich für die 1 Minute, in der er auftrat, für den Internetzugang gesperrt. Das hat funktioniert. Ich war gerade dabei, eingehende Anweisungen an die Kehrmaschine zu blockieren, um die IP-Adresse des Täters zu identifizieren, als ich die ursprüngliche Frage stellte.

Ich habe ursprünglich versucht, den Verkäufer / die Fabrik des Subjekts zu kontaktieren, aber sie haben keine Verpflichtung zum "Exportieren" von Kunden geltend gemacht.

Ja, der Hintergrund der Frage ist interessanter als die Frage.


quelle