Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einstellen

[d2z]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

Der zweite Angriff? Hab ich den ersten verpasst?
8.2.1 ist solange sicher, wie Du nicht online updatest. Wenn Du ein Onlineupdate machst, wird Dir die Festplatte und der Flash gelöscht.
Betrifft aber auch momentan ausschliesslich Lonrisun Boxen.
Warum sollte man deswegen auf einer Originalen kein VTi mehr nutzen?
openIrgendwas kommt mir nicht auf die Boxen, da übe ich Verzicht.

 

[Hellraiser1]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

wie war das noch mit den boxen und dem löten? :emoticon-0132-envy: (auch da war meiner meinung nach der verein involviert)
ne ich bin durch mit denen!
natürlich finde ich es schade um das image aber unterstützen werde ich solche aktionen nicht!
man kann sich an alles gewöhnen ;-) auch an atv wenn es sein muss!
boah was bin ich sauer.....
Hellraiser1

 

[Schimmelreiter]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

Man könnte da was machen, aber dann hätte man auch keinen Zugriff mehr auf den Feed.

Das ist mit ein Grund, wieso ich mich nicht auf dieses Katz- und Mausspiel eingelassen habe:

Rein technisch betrachtet ist das Nachinstallieren vom Feed auch nichts anderes als ein Online-Update:
Ob das heruntergeladene Paket hinzukommt (= "Vom Feed nachinstallieren") oder eine ältere Version seiner selbst ersetzt (= "Online-Update") macht keinen Unterschied, es durchläuft dieselben Schritte (preinst- und postinst-Scripte).

VTi kann den Trojaner in jedes Paket auf dem Feed einbauen, über eine Bitbake-Klasse sogar vollautomatisch.
Er kann sogar schon auf der Box in einem prerm/postrm-Script eines häufig entfernten Paketes lauern.

Sprich:
Man kann Dein VTi 8.2.2 so nutzen wie es ist (Und hoffen, daß der Trojaner nicht auch im Python-Code steckt), aber jede Paket-Nachinstallation ist ein Risiko, egal ob zwecks Ergänzung oder Update.



Kurz habe ich mal darüber nachgedacht, was man machen könnte (Festplatte und USB aushängen, Kommando rm ebenfalls wrappen, ...), es dann aber verworfen:
Es gibt einfach zu viele Möglichkeiten, den gewünschten Schaden auf x verschiedene Wegen anzurichten.
Einigermaßen abzusichern wäre das nur, indem man Updates und Installationen in einer "entclonten" jailroot-Umgebung durchführt, dafür müßte der wrapper aber erst das gesamte Image z.B. auf den Stick duplizieren, dann dort jailen und am Ende die aktualisierte Umgebung zurückkopieren.

Viel Aufwand mit wenig dauerhaftem Nutzen:
Denselben Effekt kann VTi auch an beliebiger Stelle im Python-Code erzielen, wo er jederzeit aufgerufen werden kann.

Wie schon immer gesagt:
Wenn ein Image-Team verhindern will, daß sein Image auf einem Clone läuft, dann ist das problemlos möglich.
Und es war abzusehen, daß das am ehesten bei VTi und/oder BH passieren wird.

Bei den OpenXXX-Images ist eigentlich nur ViX realistisch "gefährdet". Die sind absolut clone-feindlich und waren total "begeistert" als ich gesagt habe, daß ich auch noch die enigma2.ipk einer Duo brauche, um denen auf meinem Solo² clone beim Debuggen zu helfen. Für die war es schon ein Diskussionsgrund, daß im oe-a-git inzwischen auch Zgemma-Boxen unterstützt werden, weil Zgemma früher Clones gebaut hat (Ich meine aber, daß selbst ViX inzwischen auch für Zgemma baut).

Alle anderen Teams beschränken sich darauf, Clones nicht offen zu unterstützen, z.B. durch das Nichtanbieten von pre-patched Images oder Ermahnungen, wenn man im Forum mehr über seine Box erzählt als die Supporter wissen wollen (Also daß es ein Clone ist).
Realistisch ist aber, daß je nach Team und Box bis zu 100% der Entwicklung auf Clones geschieht. Selbst schuld, wenn die Hersteller nicht genug Testboxen zur Verfügung stellen ...
Und nein, dabei rede ich nicht von ATV

 

[d2z]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

wie war das noch mit den boxen und dem löten? :emoticon-0132-envy: (auch da war meiner meinung nach der verein involviert)

Das war in den Treibern eingebaut und hat jedes Image betroffen.
Was VTi jetzt gemacht hat, ist schon ein bisschen armselig. Haben nichts weiter drauf, als Flash und Festplatte zu löschen.
Scheint eine Verzweiflungstat zu sein.
Warum sie sich aber gegen die Boxen wendet, die eh nicht mehr zu kaufen sind, das ist mir schleierhaft.
Man sollte auf jeden Fall jetzt verdammt vorsichtig sein mit VTi, auch bei den Sunrays.

 

[Schimmelreiter]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

wie war das noch mit den boxen und dem löten? :emoticon-0132-envy: (auch da war meiner meinung nach der verein involviert)

Nein, die Zerstörung des Flash-Chips kam direkt durch den Treiber von Vu+, egal unter welchem Image.

Ob schon die ersten "Update bei VTi 8.2.1 auf Lonrisun V4 geht nicht"-Meldungen durch einen VTi-Trojaner bedingt wurden, weiß ich nicht.
Im Nachhinein betrachtet wäre es möglich, da der Effekt derselbe war.

Wie gesagt, VTi kann den Trojaner in jedes ipk packen, auch MediaPortal oder ClownHD-Skinparts.
Da ist gar kein Online-Update nötig, der gesamte Feed ist mit Argwohn zu betrachten.

Ob sich "Virus Team international" damit einen Gefallen tut weiß ich nicht:
Durch die Clones entsteht doch niemandem wirklich ein Schaden, ich hätte mir statt des Solo² clones mit Sicherheit keine echte Solo² gekauft sondern eine Edision Optimuss OS2+ (Und ich hatte es damals auch abgewogen und mich dann falsch entschieden), halt etwas anderes im Preisrahmen.
Damals lief die Optimuss OS2+ noch nicht wirklich sauber, die aktuellen Rückmeldungen im ATV-Forum sind aber positiv.

Ob VTi-User nun wie bescheuert echte Solo² kaufen, um ja aus Dankbarkeit das Image weiter nutzen zu können das ihnen alle Aufnahmen gelöscht hat, ich weiß es nicht ...
Ich denke der Image-Schaden ist nicht bei den Clones und nicht bei Vu+ sondern bei VTi.

 

[Schimmelreiter]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

Man sollte auf jeden Fall jetzt verdammt vorsichtig sein mit VTi, auch bei den Sunrays.

Bei den Sunrays sogar noch mehr!

"chattr +i" schützt die Treiber nur davor, im "Normalbetrieb" aktualisiert zu werden.
Dabei führen die Image-Teams ja nichts Böses im Schilde, sie liefern einfach nur den neuen Treiber aus, was ja auf Original-Boxen auch gewünscht ist.

Absichtlich kann ein Image aber immer Schaden anrichten!

Und bei den Sunrays kann ein böser Entwickler eben noch viel mehr Schaden anrichten, indem er Euch einfach wieder die ungepatchten Originaltreiber unterjubelt!
Dann dürft Ihr in Bälde löten.

chattr -i reicht und das kann jedes Update-Script jederzeit nutzen.
Bei der Umstellung von Samba 3.0.37 auf 3.6.25 im oe-a habe ich von chattr reichlich Gebrauch gemacht, weil es anders nicht möglich war, die Dateien anders auf die Teilpakete zu verteilen.


Vergleichbar ist das mit einer Warnweste:
Im Dunkeln schützt eine Warnweste deshalb davor überfahren zu werden, weil Ihr besser gesehen werdet und die wenigsten Autofahrer Fußgänger absichtlich überfahren.
"Draufhalten" kann ein irrer Autofahrer aber trotzdem noch.

Daher ja auch Warnwesten im Straßenverkehr und Tarnwesten im Krieg und nicht umgekehrt ...

 

[d2z]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

Ob schon die ersten "Update bei VTi 8.2.1 auf Lonrisun V4 geht nicht"-Meldungen durch einen VTi-Trojaner bedingt wurden, weiß ich nicht.
Im Nachhinein betrachtet wäre es möglich, da der Effekt derselbe war.

Sehr gut möglich. Das Vtipanel lässt sich immer noch nicht auf Lonrisun Boxen installieren. Danach startet die Box nicht mehr.
Habe die Versionsnummer auf die aktuelle Version gesetzt, damit es keine Updatemeldung mehr gibt davon.
Aber ich muss auch ehrlich sagen, dass es eigentlich überhaupt keinen Grund gibt, eine höhere Version als VTi 8.0.0 auf den Lonrisuns einzusetzen.
Alle Neuerungen in späteren Images sind eh nicht nutzbar und (wie man gesehen hat) gefährden sie nur die Sicherheit der Boxen.
Man muss akzeptieren, dass die Lonrisun Boxen sich bei die Dragonworth eingereiht haben. Bei beiden sind nur noch alte Imageversionen nutzbar.
Bei Lonrisun ist VTi 8.0.0 sicher, aber alle neueren Versionen sind wieder eine Zeitbombe, denn man weiss nicht, was sie sich noch einfallen lassen.
Obwohl ich für das "sicher" auch keine Hand ins Feuer lege, vielleicht haben sie in die Updates auch etwas eingebaut. Teste ich mal irgendwann.

P.S.: Habe die VTi 8.2.2 auch wieder gelöscht. Ich will es einfach nicht verantworten, wissentlich eine Zeitbombe zu vertreiben.
Lieber eine ältere Version, aber dafür kein Verlust der Aufnahmen usw.

 

[Schimmelreiter]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

Sehr gut möglich. Das Vtipanel lässt sich immer noch nicht auf Lonrisun Boxen installieren. Danach startet die Box nicht mehr.
Habe die Versionsnummer auf die aktuelle Version gesetzt, damit es keine Updatemeldung mehr gibt davon.

Wenn man davon ausgeht, daß sich nicht ausgerechnet im vtipanel zwei Bomben verstecken, kann man es auch manuell installieren:

cd ~
wget http://vuplus-support.org/openembedded/2.0/vti/20150309_vti-8.2_asdfqwe/all/vtipanel_3.06-r0_all.ipk
ar x vtipanel_3.06-r0_all.ipk
rm vtipanel_3.06-r0_all.ipk
rm control.tar.gz
rm debian-binary
tar -C / -xzf data.tar.gz
rm data.tar.gz

Damit entpackt man einfach nur die Dateien des vtipanel (Aus data.tar.gz), aber überspringt das Ausführen des Trojaners (Der liegt im preinst oder postinst innerhalb von control.tar.gz).
Da es keine sinnvollen preinst/postinst-Aktionen in diesem Paket gibt, ist das auch kein Problem.

Aber wie gesagt, empfehlen würde ich den Einsatz von VTi ab sofort ganz besonders wenig, derselbe Trojaner kann auch im ipk eines Skin-Part o.ä. lauern.

Wirklich sicher ist eigentlich nur der Stand den ich damals hochgeladen habe (Bis dahin konnte VTi e2fix ja noch gar nicht kennen), ohne Online-Updates und ohne Nachinstallationen irgendwelcher Pakete, also nur das nackte Image.
Die Pakete vom Feed können längst verseucht sein, auch nachträglich!

- - - - - - - - - -

Aber ich muss auch ehrlich sagen, dass es eigentlich überhaupt keinen Grund gibt, eine höhere Version als VTi 8.0.0 auf den Lonrisuns einzusetzen.

Doch und zwar mindestens zwei:
- Python mit IPv6
- rpcbind statt des veralteten portmap zur Unterstützung des NFS-Servers

Ob jetzt 8.2.1 oder 8.0.0 spielt auch keine Rolle, VTi kann alle Feeds auch nachträglich verpesten.

 

[d2z]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

Ich habe alles versucht mit dem Vtipanel. Auch das Runterladen und Entpacken anstelle der Onlineinstallation.
Die Box startet danach nicht mehr.
Das Entpacken und manuelle Ersetzen vom vti-addon hatte aber gefahrlos funktioniert.

- - - - - - - - - -

Ob jetzt 8.2.1 oder 8.0.0 spielt auch keine Rolle, VTi kann alle Feeds auch nachträglich verpesten.

Nur wenn sie irgendwie eine andere Cloneerkennung einbauen. Bis jetzt stützt es sich ja nur auf das Vorhandensein von e2fix.

 

[Schimmelreiter]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

Nur wenn sie irgendwie eine andere Cloneerkennung einbauen. Bis jetzt stützt es sich ja nur auf das Vorhandensein von e2fix.

Das weißt Du nicht.
Wie gesagt, bei den Sunrays gibt es eine viel diabolischere Methode, nämlich die Original-Treiber kurzerhand durch ein anderes Paket wieder einzuspielen.
Das merkt der Benutzer nicht sofort und der Erfolg ist noch viel durchschlagender.
Da nutzt es auch nichts meine Code-Schnippsel hier zu löschen, blöd sind plnick & Co. ja nun auch nicht.

Wenn Du fest daran glaubst, das bisher wirklich nur nach e2fix gesucht wird, dann kannst Du auch

chattr -i $(which e2fix); rm $(which e2fix)

ausführen.

Danach ist e2fix weg.
Wie gesagt ist es überhaupt nur Faulheit bzw. Abwärtskompatibilität mit dem alten e2fix, daß es diesen Link überhaupt gibt.

e2fix wird nicht zwingend gebraucht.

Zur Sicherheit kannst Du auch noch

chattr -i $(which e2up); rm $(which e2up)

machen, da e2up ja einfach nur eine Abkürzung für

opkg update && opkg upgrade

ist.

Trotzdem bleibt meine Überzeugung:
Strenggenommen kann es gar keine clone-safe-Images geben, etwas allgemeiner sind die Images so lange clone-safe, wie das Image-Team sich nicht selber zum Handlanger von Vu+ macht, also gezielt die Clone-Schutzmaßnahmen aushebelt.
Nachdem Virus Team international gezeigt hat, daß sie auch über Leichen gehen, kann kein VTi-Image noch als Clone-safe bezeichnet werden, egal auf welchem Clone.

Mein kleines md5sum-Beispiel zu löschen hält doch niemanden der das kann

Sie müssen registriert sein, um Links zu sehen.

von irgendwas ab.

Und am Ende ist es wumpe, ob er mit md5sum, lsattr, oder oder oder arbeitet, was wir beide zusammen zum Schutz aushecken kann plnick (oder jeder andere im VTi) problemlos alleine umgehen.
e2fix ist es vermutlich nur als erstes geworden, weil derjenige der's sich ausgedacht hat vom hier Mitlesen schon wissen konnte, daß es e2fix gibt, und das nur ein Link ist.
Offenbar wußte derjenige noch nicht einmal, wo's liegt, weil er direkt in /bin, /sbin, /usr/bin und /usr/sbin danach suchen läßt (Oder er wollte vermeiden, daß ich den Link einfach verlege).

 

[d2z]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

Ich flashe nochmal die Mini und probiere...

Ohne e2fix wird nichts gelöscht auf der Festplatte. Brauche aber kein chattr -i, um e2fix zu löschen
Box startet aber nach den Updates nicht. Komme aber per FTP/Telnet noch auf die Box.

 

[Schimmelreiter]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

Man muss akzeptieren, dass die Lonrisun Boxen sich bei die Dragonworth eingereiht haben. Bei beiden sind nur noch alte Imageversionen nutzbar.

Nö.

Für die Dragonworth wäre tatsächlich erheblicher Mehraufwand nötig, das ist richtig.
Da ist auch damit zu rechnen, daß das Ergebnis doch stärker davon abweicht, was man mit "demselben" Image auf einer originalen Box hätte, den Treibern fehlen einfach einige Fixes.

Bis jetzt ist aber mit den Lonrisun noch jedes aktuelle Image nutzbar (Ja, im Prinzip auch VTi, Du hast ja selber noch mein VTi-Image 8.2.1 auf 8.2.2 gebracht).
Klar, CI+, xbmc und gles fehlen, damit kann aber zumindest ich gut leben, denn das sind Features, mit denen ich beim Kauf der Box auch noch gar nicht gerechnet habe (Und die z.B. in OpenPLi auch gar nicht drin sind).
Selbst die Probleme mit gstreamer 1.0 (Für den die Fixes ja in den Lonrisun-Treibern noch nicht enthalten sind) halten sich in Grenzen, ich nutze inzwischen auch auf der Lonrisun schon länger OpenATV 5.0 (gstreamer 1.0) und nicht mehr 4.2 (gstreamer 0.10).
Daß VTi riskant geworden ist, ist keine Dragonworth/Lonrisun/Sunray-Frage, das gilt für alle Clones.

Wovor mir graut ist der Umstieg auf Kernel 4.x, wie ihn derzeit immer mehr Hersteller vollziehen.
Dann haben wir mit der Lonrisun tatsächlich dieselbe Scheiße am Schuh wie die Dragonworth-Besitzer jetzt schon: Keine Treiber mehr, die zumindest zur Kernel-Version passen.

In dem Fall wird das Erstellen von neuen Images tatsächlich so aufwendig, daß ich dann nur noch OpenATV und davon womöglich auch nur noch eine Version pflegen werde.
Und selbst das wird womöglich nur eine begrenzte Zeit gut gehen, denn anscheinend versprechen sich die Hersteller etwas von Kernel 4.x, sonst würden sie nicht unisono in solchen Massen so rasch wechseln, obwohl sie vorher über Monate und Jahre auf unterschiedlichen Kernel 3.x-Revisionen festgehangen haben.
An sich bringt Kernel 4.x nichts wirklich Neues, aber wenn doch ausgerechnet eine der wenigen Kleinigkeiten für die Boxen/embedded devices relevant sein sollte, dann ist mit "Image geht nach Kernel ersetzen" auch Schluß, sobald diese Features genutzt werden.

Hoffen wir also erst einmal, daß Vu+ weiterhin so rückständig bleibt wie bisher (gstreamer 1.0 hatte man mit als Letzter) und möglichst lange noch Kernel 3.13.5 nutzt und wenn sie wechseln, daß die Begeisterung der Hersteller für Kernel 4.x reine Versionsnummerngeilheit ist, damit man noch möglichst lange mit rückgängig gemachtem Kernel-Upgrade auskommt.

 

[Schimmelreiter]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

Ohne e2fix wird nichts gelöscht auf der Festplatte. Brauche aber kein chattr -i, um e2fix zu löschen
Box startet aber nach den Updates nicht. Komme aber per FTP/Telnet noch auf die Box.

Seltsam.

Vielleicht hat VTi CI+ oder anderen Code in andere Komponenten ausgelagert, wo er dann abhängig von der verwendeten Box genutzt wird .... dann nutzt das Ersetzen des Enigma2 durch seine Duo-Version z.B. auch nichts mehr.
Oder man reitet inzwischen auf dem Treiber-Symlink rum, VTi und Black Hole machen ja einen nutzlosen Symlink
/lib/modules/3.13.5/extra/dvb-bcm.ko -> /lib/modules/3.13.5/extra/dvb-bcm7356.ko
Den Symlink habe ich "vergessen", weil es ihn sonst nirgendwo gibt.

Ist mir aber auch egal:
Ich habe VTi nur den Nutzern zuliebe für Lonrisun gepatcht, selber brauche ich den Kram nicht.
Und genauso werde ich jetzt den Nutzern zuliebe gar kein VTi mehr für Clones patchen, denn erstens will VTi Euch nicht und zweitens könnte ich genau gar keine Garantie abgeben.

Ist schade um die ganze Arbeit, die ich investieren mußte bis mein Clone-Patcher auch mit diesem OE1.6-Image lief, aber ich will nicht schuld sein wenn Eure Daten nochmal weg sind, weil VTi was anderes gefunden hat.
Davor, daß VTi die ersten sein werden die aktiv beim Clone-Jagen mitmachen werden habe ich immer gewarnt, die Platten die jetzt leer sind, sind es weil die Nutzer nicht hören wollten.
Würde ich weitermachen, wäre es meine Schuld.

 

[Painbastard]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

Habe ein kleines Problem und wollte Downgraden. Habe Lonrise v4 und wollte openatv 4.2 für v3 aufspielen ist das möglich???

 

[d2z]

AW: Imagesammlung für Solo2 Clones - Downloads,Wünsche und Anfragen bitte hier einste

Ja ist möglich. Aber warum für V3? Du kannst doch openATV 4.2 auch für V4 nehmen, das ist doch aktueller.
Sieh mal hier in Schimmelreiters Thread.