# NAS - Beacon (Lenovo) seltsames service, permanente verbindung!



## razzor1984 (15. April 2015)

Hallo,

Ist schon ein paar wochn her, dass ich mir einen neuen Netzwerkspeicher zugelegt habe. Anfänglich lief alles perfect. Das Raid1 er volium wurde sauber angelegt.
Bin leider bis heute nicht druafgekommen wien man das Wlan abschaltet, aber jetzt mal zum Interessanten Part.

Wie jede Woche schaue ich mir die Logs des IDS an und siehen da, es gibt HITS 
Anscheind verbindet sich irgend ein service vom Beacon auf diese IP:116.90.87.44 : 9000 (Lenovo = CHINA IP) In ~ 12 stunden sind das gute 8000 packete die meine Firewall blockiert.
Bin mir nicht sicher aber es kann vielleicht ein lenovo servic sein welches überprüft ob updates vorhanden sind, nur was mich eben aufschreckt, warum es permanent eine verbindung auf die Besagte ip hat.
Warum mein IDs es gelogged hat, liegt wahrscheindlich daran dass es einem verhalten wie von einem C&C server ähndelt.

Was auch noch sein könnte,  ein service für den Lenovo ID. Nur ich habe kein lenovo-ID Konto.Das NAS wurde auch nicht über so ein Konto eingerichtet.
Wenn man es abschalten kann muss es verdamt gut versteckt sein, habe es nach dreiwöchiger suche nicht gefunden.

Hat jemand ähnliche Problem ?
Tipps Anregungen?

Grüße Razzor


----------



## Hatuja (15. April 2015)

Ich weiß nicht, was für ein Linux auf dem Beacon läuft, aber hast du mal per SSH auf die Kiste geschaut? Dann sollte sich ja herausfinden lassen, welcher Prozess nach China will.
Diesen würde ich killen und dann schauen, ob die Kiste noch Rund läuft. Wenn ja, den Dienst dauerhaft deaktivieren.


----------



## razzor1984 (15. April 2015)

Hatuja schrieb:


> Ich weiß nicht, was für ein Linux auf dem Beacon läuft, aber hast du mal per SSH auf die Kiste geschaut? Dann sollte sich ja herausfinden lassen, welcher Prozess nach China will.
> Diesen würde ich killen und dann schauen, ob die Kiste noch Rund läuft. Wenn ja, den Dienst dauerhaft deaktivieren.



Glaub es ist eine  "Optimiertes" Fedora.Leider haben die voll Pfosten, es recht arg beschnitten. Von den 1GB Ram sind 50% exclusiv für Media streaming processe reserviert.Das resultiert in einer permanenten Ramknappheit 

netstat -l spuckt leider keine verbindung auf port 9000 aus.
Vielleicht muss ich die blockate der IP & port aufheben Server seitig 


```
[******@BEACON ~]# netstat -l
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State
tcp        0      0 *:49152                     *:*                         LISTEN
tcp        0      0 *:irdmi                     *:*                         LISTEN
tcp        0      0 localhost:websm             *:*                         LISTEN
tcp        0      0 *:xmltec-xmlmail            *:*                         LISTEN
tcp        0      0 BEACON.lenov:tungsten-https *:*                         LISTEN
tcp        0      0 localhost:tungsten-https    *:*                         LISTEN
tcp        0      0 *:9475                      *:*                         LISTEN
tcp        0      0 *:rds                       *:*                         LISTEN
tcp        0      0 BEACON.leno:wso2esb-console *:*                         LISTEN
tcp        0      0 localhost:wso2esb-console   *:*                         LISTEN
tcp        0      0 BEACON.lenovo.co:cslistener *:*                         LISTEN
tcp        0      0 localhost:cslistener        *:*                         LISTEN
tcp        0      0 localhost:netbios-ssn       *:*                         LISTEN
tcp        0      0 BEACON.lenovo.c:netbios-ssn *:*                         LISTEN
tcp        0      0 *:42956                     *:*                         LISTEN
tcp        0      0 *:sunrpc                    *:*                         LISTEN
tcp        0      0 *:gap                       *:*                         LISTEN
tcp        0      0 *:4433                      *:*                         LISTEN
tcp        0      0 *:scp-config                *:*                         LISTEN
tcp        0      0 *:51413                     *:*                         LISTEN
tcp        0      0 *:ssh                       *:*                         LISTEN
tcp        0      0 *:ipp                       *:*                         LISTEN
tcp        0      0 *:socks                     *:*                         LISTEN
tcp        0      0 *:unisql                    *:*                         LISTEN
tcp        0      0 localhost:microsoft-ds      *:*                         LISTEN
tcp        0      0 BEACON.lenovo.:microsoft-ds *:*                         LISTEN
tcp        0      0 BEACON.lenovo.com:9055      *:*                         LISTEN
tcp        0      0 localhost:9055              *:*                         LISTEN
tcp        0      0 *:35172                     *:*                         LISTEN
tcp        0      0 ip6-localhost:netbios-ssn   *:*                         LISTEN
tcp        0      0 BEACON:netbios-ssn          *:*                         LISTEN
tcp        0      0 *:sunrpc                    *:*                         LISTEN
tcp        0      0 *:http                      *:*                         LISTEN
tcp        0      0 *:51413                     *:*                         LISTEN
tcp        0      0 *:ssh                       *:*                         LISTEN
tcp        0      0 *:ipp                       *:*                         LISTEN
tcp        0      0 *:ddi-tcp-1                 *:*                         LISTEN
tcp        0      0 ip6-localhost:microsoft-ds  *:*                         LISTEN
tcp        0      0 BEACON:microsoft-ds         *:*                         LISTEN
udp        0      0 *:syslog                    *:*
udp        0      0 BEACON.lenovo.com:iad1      *:*
udp        0      0 *:43539                     *:*
udp        0      0 *:9777                      *:*
udp        0      0 localhost:818               *:*
udp        0      0 *:ssdp                      *:*
udp        0      0 239.255.255.250:ssdp        *:*
udp        0      0 BEACON.lenovo.com:ssdp      *:*
udp        0      0 *:ssdp                      *:*
udp        0      0 239.255.255.250:ssdp        *:*
udp        0      0 BEACON.lenovo.com:ssdp      *:*
udp   112552      0 239.255.255.250:ssdp        *:*
udp        0      0 *:sunrpc                    *:*
udp        0      0 *:ipp                       *:*
udp        0      0 BEACON.lenovo.com:ntp       *:*
udp        0      0 localhost:ntp               *:*
udp        0      0 *:ntp                       *:*
udp        0      0 192.168.1.255:netbios-ns    *:*
udp        0      0 BEACON.lenov:netbios-ns     *:*
udp        0      0 *:netbios-ns                *:*
udp        0      0 192.168.1.255:netbios-dgm   *:*
udp        0      0 BEACON.leno:netbios-dgm     *:*
udp        0      0 *:netbios-dgm               *:*
udp        0      0 localhost:55191             *:*
udp        0      0 *:accessnetwork             *:*
udp        0      0 *:pearldoc-xact             *:*
udp        0      0 *:51413                     *:*
udp        0      0 *:irisa                     *:*
udp        0      0 *:11002                     *:*
udp        0      0 *:38395                     *:*
udp        0      0 *:43585                     *:*
udp        0      0 *:sunrpc                    *:*
udp        0      0 ip6-localhost:ntp           *:*
udp        0      0 BEACON:ntp                  *:*
udp        0      0 *:ntp                       *:*
udp        0      0 *:accessnetwork             *:*
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ACC ]     STREAM     LISTENING     5960   /var/run/cups/cups.sock
unix  2      [ ACC ]     STREAM     LISTENING     5963   /var/run/rpcbind.sock
unix  2      [ ACC ]     STREAM     LISTENING     5965   /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     3687   /run/systemd/stdout-syslog-bridge
unix  2      [ ACC ]     SEQPACKET  LISTENING     9802   @/org/kernel/udev/udevd
unix  2      [ ACC ]     STREAM     LISTENING     5512   /run/systemd/private
unix  2      [ ACC ]     STREAM     LISTENING     6075   /var/run/rpcbind.sock
unix  2      [ ACC ]     STREAM     LISTENING     20180  /tmp/syslog-ng/syslog-ng.ctl
unix  2      [ ACC ]     STREAM     LISTENING     24507  /var/nmbd/unexpected
```


----------



## Hatuja (15. April 2015)

Mach mal ein _netstat -natp . _Eigentlich sollte er auch die versuchten Verbindungen auflisten (meine ich). Aber ja, in Zweifelsfall nochmal mit einer aktiven Verbindung versuchen.


----------



## razzor1984 (16. April 2015)

Das "Dirty" service is Zigbee bin mal am suchen was das überhaupt ist:

Trace:

```
netstat -natp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:49152               0.0.0.0:*                   LISTEN      11015/./upnpd
tcp        0      0 0.0.0.0:8000                0.0.0.0:*                   LISTEN      9971/qtraidd
tcp        0      0 127.0.0.1:9090              0.0.0.0:*                   LISTEN      11702/xbmc.bin
tcp        0      0 0.0.0.0:9091                0.0.0.0:*                   LISTEN      11185/transmission-
tcp        0      0 192.168.1.23:9443           0.0.0.0:*                   LISTEN      5303/twonkyproxy
tcp        0      0 127.0.0.1:9443              0.0.0.0:*                   LISTEN      5303/twonkyproxy
tcp        0      0 0.0.0.0:9475                0.0.0.0:*                   LISTEN      5243/messaged
tcp        0      0 0.0.0.0:1540                0.0.0.0:*                   LISTEN      11702/xbmc.bin
tcp        0      0 192.168.1.23:9444           0.0.0.0:*                   LISTEN      10828/twonkyserver
tcp        0      0 127.0.0.1:9444              0.0.0.0:*                   LISTEN      10828/twonkyserver
tcp        0      0 192.168.1.23:9000           0.0.0.0:*                   LISTEN      10828/twonkyserver
tcp        0      0 127.0.0.1:9000              0.0.0.0:*                   LISTEN      10828/twonkyserver
tcp        0      0 127.0.0.1:139               0.0.0.0:*                   LISTEN      11419/smbd
tcp        0      0 192.168.1.23:139            0.0.0.0:*                   LISTEN      11419/smbd
tcp        0      0 0.0.0.0:33869               0.0.0.0:*                   LISTEN      2767/rpc.statd
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      2650/rpcbind
tcp        0      0 0.0.0.0:10800               0.0.0.0:*                   LISTEN      11702/xbmc.bin
tcp        0      0 0.0.0.0:4433                0.0.0.0:*                   LISTEN      11767/python
tcp        0      0 0.0.0.0:10001               0.0.0.0:*                   LISTEN      9829/./zigbee
tcp        0      0 0.0.0.0:51413               0.0.0.0:*                   LISTEN      11185/transmission-
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      10647/stond
tcp        0      0 0.0.0.0:631                 0.0.0.0:*                   LISTEN      10231/cupsd
tcp        0      0 0.0.0.0:1080                0.0.0.0:*                   LISTEN      11767/python
tcp        0      0 0.0.0.0:1978                0.0.0.0:*                   LISTEN      5241/mouseserver
tcp        0      0 127.0.0.1:445               0.0.0.0:*                   LISTEN      11419/smbd
tcp        0      0 192.168.1.23:445            0.0.0.0:*                   LISTEN      11419/smbd
tcp        0      0 192.168.1.23:9055           0.0.0.0:*                   LISTEN      5303/twonkyproxy
tcp        0      0 127.0.0.1:9055              0.0.0.0:*                   LISTEN      5303/twonkyproxy
tcp        0      1 192.168.1.23:40080          116.90.87.44:9000           SYN_SENT    9829/./zigbee
tcp        0      0 127.0.0.1:1540              127.0.0.1:52587             TIME_WAIT   -
tcp        0    720 192.168.1.23:22             192.168.1.13:57963          ESTABLISHED 28990/stond
tcp        0      0 127.0.0.1:1540              127.0.0.1:52589             TIME_WAIT   -
tcp        0      0 127.0.0.1:1540              127.0.0.1:52588             TIME_WAIT   -
tcp        0      0 :::42401                    :::*                        LISTEN      2767/rpc.statd
tcp        0      0 ::1:139                     :::*                        LISTEN      11419/smbd
tcp        0      0 *************************** :::*                        LISTEN      11419/smbd
tcp        0      0 :::111                      :::*                        LISTEN      2650/rpcbind
tcp        0      0 :::80                       :::*                        LISTEN      9717/httpd
tcp        0      0 :::51413                    :::*                        LISTEN      11185/transmission-
tcp        0      0 :::22                       :::*                        LISTEN      10647/stond
tcp        0      0 :::631                      :::*                        LISTEN      1/init
tcp        0      0 :::8888                     :::*                        LISTEN      9717/httpd
tcp        0      0 ::1:445                     :::*                        LISTEN      11419/smbd
tcp        0      0 ************************** :::*                        LISTEN      11419/smbd
tcp        0      0 ::ffff:192.168.1.23:80      ::ffff:192.168.1.13:58087   FIN_WAIT2   -
```



Edit: HAHHAAHAHH das is der Wlan chip der so "kommunikationsfreudig" ist echt strange. .....

Edit2:
Ok Strange behavior of ZED sending orphan notification periodically? - ZigBee®, 6LoWPAN & 802.15.4 MAC Forum - Wireless Connectivity - TI E2E Community der chip kommt von texas instrument, in Datasheet gibts ein service welches eine "art" fernwartung implementiert.
Anscheinend hat die Wlan karte einen servic process installiert der dies ermöglicht. Warum dieser auf die Besagte ip geht wird wahrscheindlich direkt in der FW stehen.


OK Process lässt sich nicht killen:

```
kill -SIGTERM 9829
```


----------



## Hatuja (16. April 2015)

Okay, das ist wirklich ein wenig kurios. Ich kannte "ZigBee" bisher nicht, aber es drängt sich mir die Frage auf, wieso ein Dienst für 





			
				http://de.wikipedia.org/wiki/ZigBee schrieb:
			
		

> [...] Gebäude-Automation, im medizinischen Bereich, für Steuerungsanlagen und für alle Arten von Sensormessungen [...]


 ständig nach China Telefonieren will... 



razzor1984 schrieb:


> OK Process lässt sich nicht killen:
> 
> ```
> kill -SIGTERM 9829
> ```



_kill -9 9829_ ?


----------



## razzor1984 (16. April 2015)

Wie gesagt killn lässt a sich net. Zum glück brauch ichs Wlan net. Hmm ich schreib lenovo mal ne mail und bitte um stellungname  vielleicht kommt was zurück !
Imo blockt ihn mein server also keine Gefahr in Verzug !'

Edit: Anscheind falsche syntax
Mit deinen imput passts THX



Hatuja schrieb:


> _kill -9 9829_ ?


----------



## Hatuja (17. April 2015)

razzor1984 schrieb:


> Wie gesagt killn lässt a sich net. Zum glück brauch ichs Wlan net. Hmm ich schreib lenovo mal ne mail und bitte um stellungname  vielleicht kommt was zurück !
> Imo blockt ihn mein server also keine Gefahr in Verzug !'
> 
> Edit: Anscheind falsche syntax
> Mit deinen imput passts THX



*kill *sendet ein "SIGTERM" zum Prozess = Ach lieber Prozess, wenn du grad nichts anderes zu tun hast, würdest du dich bitte beenden?
*kill -9 *sendet ein "SIGKILL" zum Prozess = TÖTEN, TÖTEN, TÖTEN, GNAAAHHHH !!!!


----------



## Jimini (17. April 2015)

Ich habe seit rund 10 Jahren nicht mehr mit Fedora gearbeitet, aber vielleicht gibt es dort ja eine halbwegs praktikable Möglichkeit einzusehen, welche Programme beim Systemstart alle gestartet werden. ZurNot sonst mal nach "zigbee" greppen und schauen, wodurch das Programm überhaupt aufgerufen wird.
Zwar ist es eigentlich schon okay, dass immerhin der Traffic geblockt wird, generell sollte aber natürlich nur die Software laufen (und Verbindungen aufbauen), bei der man das auch wirklich möchte.

MfG Jimini


----------



## Strung (18. April 2015)

Hallo,  

Ich habe seit einem Monat auch das Beacon.
- Und habe auch ein paar Probleme.  u.a. mit dem XBMC-System an sich und der Anwendung.

Ich hatte das Beacon nach langen hin und her mit dem Rechner verbinden können und mit ach und krach Netzlaufwerke hergestellt.
Auf den Ordner sataHdd habe ich dann Daten gespeichert und am nächsten Tag nach dem anschalten waren diese gelöscht.  Jedoch auf dem Ordner Musik (glaub ich ) waren die noch da. Kennt jemand diesen Phänomän??

- Und dann noch die Wlan Technik-  hat jemand eine AC-Wlan Verbindung hergestellt? also mit ca.867 Mbit?    Ich habe versucht mit meiner im Laptop eingebauten Intel(R) Dual Band Wireless-AC 7260 Karte eine Direktverbindung mit dem Beacon zu bekommen. - Aber nur mir 300Mbit    


Gibt es eine Möglichkeit, wie man bspw. die W-Lan Passwörter in Klarschrift anzeigen lassen kann? 
Gibt es hier (wie bei manchen anderen Geräten auch) ein Paar geheimbefehle um in das Hauptsystem /Einstellungen
zu gelangen oder so? 


Hat jemand hier vielleicht ein paar Tips und Tricks für mich?

Dieses Xbee-Bauteil ist doch ein Funkmodul-   aber scheinbar unabhängig vom Wlan Modul. was bedeutet das?



Grüße Strung


Link zum Thema:    http://extreme.pcgameshardware.de/sonstige-hardware/385842-lenovo-beacon-nas.html#post7331971

[Frage] Lenovo Beacon ( NAS ), hat da jemand Erfahrungen dazu?


----------



## Jimini (18. April 2015)

Strung, zunächst einmal herzlich willkommen in der PCGHX-Community! Um die Übersichtlichkeit zu wahren, wäre es gut, wenn du einen eigenen Thread zum Thema aufmachst. Danke! 

MfG Jimini


----------

