beantwoord

Printer print uit zichzelf: "stackoverflowing/sthack the hacker god has returned"

  • 3 februari 2017
  • 20 reacties
  • 7400 keer bekeken

Beste allemaal,

De afgelopen dagen heeft mijn printer uit zichzelf berichten uitgeprint. Bijvoorbeeld:
stackoverflowin/sthack the hacker god has returned - sthack@protonmail.com - h
stackoverflowin has returned to its glory, your printer is part of a flaming bo

Een beetje rondzoeken op internet leert dat er meer mensen zijn die hier de afgelopen dagen last van hebben gehad. Op YouTube staat een overzichtje (zie video onderaan dit bericht) en ook op de website van HP is er een forumdiscussie over (zie http://h30434.www3.hp.com/t5/Inkjet-Printing/Printer-prints-from-its-own/td-p/5969744).

Wat er waarschijnlijk aan de hand is: er staat een poort open (9100), waar dan een printinstructie naar wordt gestuurd. Het klinkt dus allemaal onschuldig, maar het is wel vervelend en papierverspilling natuurlijk. 😛 Er is een blog (https://nexusconsultancy.co.uk/blog/printer-part-flaming-botnet/) waarop staat dat in deze gevallen poort 9100 waarschijnlijk wordt geforward en dat je deze forward moet weghalen.

Nou heb ik er geen verstand van, maar ik zie in de routerinstellingen (ZyXEL P-2812HNU-F1) nergens zo'n forwarding staan (onder NAT bijvoorbeeld). Ook op de pagina Network Setting / Printer Server staat niks wat ik lijk te kunnen aanpassen.

Heeft iemand een idee wat ik zou kunnen doen om te voorkomen dat er vaker zomaar geprint wordt?

Alvast bedankt!

Groet,
Mark
icon

Beste antwoord door Mark Bruurmijn 4 februari 2017, 15:16

[Verwijderd]
Bekijk reactie

20 reacties

Reputatie 8
Het klinkt dus allemaal onschuldig, maar het is wel vervelend en papierverspilling natuurlijk.
Het klinkt helemaal niet onschuldig. Je bent gewoon gehackt.
Duidelijker kan je bericht met die print niet zijn. (Iets wat jezelf niet hebt geprint, maar echt een hacker van buiten).

Hacken hoeft niet aan instellingen in je router te liggen. Dat kan ook door "verkeerde" instellingen op je PC, geen of slecht gebruik van firewall - virusscanners die "hack rotzooi" op je PC niet opmerken en onschadelijk maken.
Bezoek aan "verkeerde websites", slecht gekozen wachtwoorden enz. enz.....
Hacken hoeft niet aan instellingen in je router te liggen. Dat kan ook door "verkeerde" instellingen op je PC, geen of slecht gebruik van firewall - virusscanners die "hack rotzooi" op je PC niet opmerken en onschadelijk maken.
Dat is waar. Maar aangezien precies hetzelfde probleem (met dezelfde afgedrukte tekst) door anderen ook al gemeld is, waarbij op andere blogs en fora de verklaring van "poort 9100" is geopperd, vermoed ik dat er bij mij hetzelfde aan de hand is. Maar ik kan niks uitsluiten inderdaad.

Op welke manier zou ik erachter kunnen komen wie of welk apparaat de printopdracht heeft verstuurd?
Reputatie 8
Badge +16
Je Zyxel modem/router maakt gebruik van NAT... dat betekent dat je niet zomaar vanaf internet naar een netwerkprinter kunt printen die bij jou thuis staat.

Maar als jouw HP-printer zelfstandig een verbinding opzet naar buiten dan gaan er wellicht poorten in het modem open. En er zijn vast wel printers die dat doen tegenwoordig, allemaal om het de gebruiker makkelijk te maken. Dan kun je met een app bijvoorbeeld wereldwijd naar je printer printen. Een soort printen vanuit de cloud dus... En dat kan weer misbruikt worden als de beveiliging zwak is of de default-wachtwoorden onveilig zijn.

Ik zou beginnen met de de instellingen van de printer te beperken, dus netwerkfuncties die je niet gebruikt uit te zetten... en de wachtwoorden aan te passen.
Bedankt voor jullie snelle reacties.

Ik geloof niet dat er veel in te stellen valt op de printer. Het is een (oudere) printer zonder netwerkfunctionaliteit die gewoon met USB aan de router zit. De router werkt zelf als printserver (via de optie 'Network Setting / Printer Server'). Meer lijkt er op die pagina niet aan te passen. Ik kan dus ook niet een apart wachtwoord voor de printer instellen.

Aangezien de router zélf als printserver werkt met z'n eigen firmware, is het denkbaar dat er poorten worden opengezet die niet voor de gebruiker in de admin-interface te zien zijn? Is het mogelijk dat ik zelf kan testen welke poorten op de router open staan? Ik ga er vooralsnog maar even vanuit dat de opdracht van buiten komt. Of denk jij dat dat onmogelijk is, Franzki?

Aanvulling: ik kan zelf wel een opdracht naar de printer versturen met het volgende commando in de terminal:
$ nc 192.168.1.254 9100
$ Hallo, dit is een test
$ (Terminal sluiten)

(Gebaseerd op http://danieru.com/2013/06/06/what-is-port-9100-how-to-print-to-it/)

Misschien kan ik dit komende week eens van buitenaf proberen. Hoe weet ik het ip-adres van de router van buitenaf? Of vraag ik nu iets doms?
Reputatie 8
Hoe weet ik het ip-adres van de router van buitenaf?
http://www.watismijnip.nl/

Weet niet of je "UPnP" in de router aan hebt staan. Zet die ieder geval uit.
Het is typisch een protocol wat misbruikt kan worden door adware en virussen "vanuit een PC".
Reputatie 8
Hoe weet ik het ip-adres van de router van buitenaf?
http://www.watismijnip.nl/

Weet niet of je "UPnP" in de router aan hebt staan. Zet die ieder geval uit.
Het is typisch een protocol wat misbruikt kan worden door adware en virussen "vanuit een PC".

En scan al je PC apparatuur thuis op adware en virussen (en verwijder de gevonden rotzooi).
Reputatie 1
Hoi Mark, je kunt inderdaad eerst even vaststellen of poor 9100 daadwerkelijk open staat, vanaf een ander netwerk.
Je haalt je eigen publieke ip hier op http://httpbin.org/ip
Als blijkt dat je printer inderdaad openstaat, check dan of de firewall wel aan staat? Als dat zo is, kun je een DMZ toevoegen naar een niet-gebruikt ip (bijv 192.168.1.2), op mijn Zyxel zorgt dat ervoor dat al het binnenkomend verkeer niet meer wordt afgehandeld door de Zyxel zelf.
Reputatie 8
Badge +16
Ik wist niet dat het over een USB-printer op de Zyxel router ging. Helaas is dit door Telfort niet gedocumenteerd en wordt deze functionaliteit niet ondersteund.

Je kunt zelf inderdaad testen of het van buitenaf mogelijk is om te printen... maar grote kans dat je dit niet kunt uitschakelen.
Babylonia, Franzki en gwillem, bedankt voor jullie reacties en tips!

De firewall staat (en stond) aan, en de UPnP uit. Ik heb in de firewall onder het tabblad 'Services' nog wel geprobeerd op TCP-poort 9100 te blokkeren, maar misschien is dit alleen bedoeld voor uitgaande pakketten ("LAN-to-WAN Services Blocking"). In ieder geval werkt de truc in de terminal van hierboven nog wel gewoon, dus daarmee lijkt het niet opgelost. (Hoewel ik dit nog wel van buitenaf moet proberen.)

@gwillem: ik geloof dat ik je voorstel met die DMZ niet begrijp. Waar zou ik zoiets moeten instellen?
Reputatie 1
Vanaf je eigen netwerk staat ie wss altijd open, maar dat lijkt me juist de bedoeling? Dmz instellen doe je onder "nat" tabblad.
Reputatie 1
En je kunt deze site gebruiken om je poort 9100 van buitenaf te checken:

http://ismyportopen.com/
Bedankt. Die poort staat dus inderdaad open. Ik heb nu de NAT zo ingesteld dat pakketten naar die poort naar een ongebruikt ip-adres worden gestuurd, zoals je voorstelde. Kijken of het werkt.
Reputatie 8
Je kunt het symptoom wel gaan bestrijden door die poort naar een "leeg" IP te sturen, maar daarmee los je het werkelijke probleem niet op. De achterliggende oorzaak en omstandigheden dat die hack heeft plaats kunnen vinden, die zou je moeten weghalen.
Daar ben ik het helemaal mee eens! Maar de poort is opengezet door de router zelf, zonder de gebruiker de optie te geven om dit te voorkomen. Het enige alternatief lijkt dan om de printer op een andere manier aan te sluiten (bijvoorbeeld direct op de computer) of om een andere printer te kopen die wel in het netwerk kan. Dan kies ik nu maar even voor de symptoombestrijding.
[Verwijderd]
Reputatie 1
Je kunt het symptoom wel gaan bestrijden door die poort naar een "leeg" IP te sturen, maar daarmee los je het werkelijke probleem niet op. De achterliggende oorzaak en omstandigheden dat die hack heeft plaats kunnen vinden, die zou je moeten weghalen.

De oorzaak is (lijkt) een bug in de firmware die de printpoort openzet naar de externe interface. Dat kan enkel Telfort fixen, en aangezien ze deze feature niet ondersteunen zullen ze dat niet doen. Of had je nog een andere suggestie?
Reputatie 8
Badge +16
Die poort lijkt inderdaad open te gaan zodra je de USB-poort configureert voor een printer... en dan lijkt doorsturen in de NAT naar een groot zwart gat (dat rijmt!) een hele mooie oplossing.

Een firmware oplossing gaat er echt niet meer komen.
Bedankt allemaal voor jullie snelle reacties!
Reputatie 8
Mogelijk kun je ook nog controleren of de Firewall is ingeschakeld (en er effect op heeft ??).

EDIT: Zie inmiddels dat die suggestie al eerder is gedaan.

Ja, de firewall staat aan.

Reageer