FHEM gehacked?

[Krissoff]

Seit letzter Woche hat sich einiges bei unserer FHEM Installation  bzw. an dem Aussehen und Funktionen verändert, und das ohne mein Zutun. Am auffälligsten war, daß die linke Menüspalte verschwunden war, und nur noch eine Dropbox die Menüfunktionen enthielt. Die darin enthaltene Funktion restart z. B. war jedoch funktionslos. Wir haben in diesem Dropbox-Menü jetzt einen neuen Raum "HACKED_Interneterreichbar" der definitiv nicht in der fhem.cfg aufgeführt ist. Zu diesem Begriff gibt weder Google noch das Forum hier irgendeine Antwort.
Weitere Auffälligkeiten:
Der Raum "HACKED_Interneterreichbar" enthält nur einen Dummy zum Status aller Rolläden,
Die Rolladen gehen zu nicht programmierten Zeiten auf, aber zu programmierten Zeiten zu.
Die  HMS-Temperatursensoren wurden innerhalb von 4 Tagen Stück für Stück umbenannt, sie erhielten Namen der Hexadezimalcodes.
Verschiedene Geräte werden ständig unkoordiniert ein- und ausgeschaltet,
Durch Tastendruck auf den Wandsender geht statt der Gartenbeleuchtung das Fernsehen an, statt der Wintergartenbeleuchtung geht der Dachbodenrolladen auf.
Im Menü sind nach und nach immer mehr Geräte nicht mehr sichtbar.
Die Datei FHEM.cfg sieht immer noch unverändert aus, dort ist alles noch vorhanden.
Ich muß gestehen, FHEM hat keinen Passwortschutz und das private Netzwerk hatte nur den Windows Defender. Wir haben jetzt die ESET Internet-Security installiert. Im Augenblick kann ich keine neuerlichen Veränderungen mehr festellen.
Änderungen an der FHEM.cfg werden nicht wirksam, die Restart-Funktion ist deaktiviert und ein Kaltstart des Raspberry Pi bringt auch keine Änderung.
Was ist zu tun, damit wir unser System wieder kontrollieren können?

[CoolTux]

Als erstes ziehst Du bitte sofort den Stecker vom Netzwerkkabel.
Das Linux und das FHEM müssen neu aufgesetzt werden. Und sofort per Update auf den aktuellen Stand gebracht werden.
Und dann holst Du Dir einen Fachmann der Dir hilft Dein Netzwerk vor Ausseneingriffen zu schützen

Ich muß gestehen, FHEM hat keinen Passwortschutz und das private Netzwerk hatte nur den Windows Defender. Wir haben jetzt die ESET Internet-Security installiert.

Diese Aussage sagt mir das Du von Netzwerken keine Ahnung hast und das ist aktuell bei Dir sehr gefährlich da fremde bereits Dein Haus gekapert haben.

[Frank_Huber]

Das bedeutet dass deine fhem Installation ungeschützten Verkehr hat.
Sie ist aus dem Internet ohne Passwort erreichbar.
Das hat jetzt irgend ein Spassvogel ausgenutzt und deine Installation sabotiert.
Ich würde vermuten und hoffen dass deine alte cfg gesichert wurde.

Kannst auch mal schauen wie dein fhem gestartet wird. Womöglich ist der Start Aufruf auf eine andere cfg umgeleitet.
Und auf jeden Fall updaten und sichern!
Die Internet Erreichbarkeit würde ich bis auf weiteres erstmal löschen. (Port forwarding im Router)

Gesendet von meinem S3_32 mit Tapatalk

[Frank_Huber]

https://forum.fhem.de/index.php/topic,72629

Gesendet von meinem S3_32 mit Tapatalk

[gloob]

Beende doch einfach erstmal die Port-Weiterleitung auf deinem Router, so dass FHEM nicht mehr direkt aus dem Internet erreichbar ist. Danach kannst du dich in aller Ruhe um das Aufräumen und absichern machen.

[CoolTux]

Mal ne Frage. Wer garantiert Dir das die Einbrecher nicht ein Programm auf dem Pi eingerichtet haben der eine Verbindung von innen auf macht und die Einbrecher somit wieder auf das System kommen?

Mach die Kiste platt. Du gefährdest nicht nur Dich sondern auch andere Internetuser!!!

[pc1246]

Kannst auch mal schauen wie dein fhem gestartet wird. Womöglich ist der Start Aufruf auf eine andere cfg umgeleitet.

Moin
Oder configDB eingerichtet. Auf jeden Fall das Internet ab, am Besten komplett, und jemanden mit Ahnung schauen lassen, wie cooltux schon schrieb! Die eigentliche cfg sichern und noch mal durchschauen, dass da nichts hinterlassen wurde. Und dann neu aufsetzen, und alle anderen Rechner auch checken. Das war bestimmt nicht alles!
Gruss und viel Erfolg
Christoph

[gloob]

Das ihr immer alle von einem großen Hack ausgeht und "kriminellen" Absichten.

Da hat jemand erfahren, dass man über Shodan.io nach offenen "Netzen" suchen kann und sich dann nur einen sehr üblen Scherz mit "FHEM" erlaubt.

[CoolTux]

Das ihr immer alle von einem großen Hack ausgeht und "kriminellen" Absichten.

Da hat jemand erfahren, dass man über Shodan.io nach offenen "Netzen" suchen kann und sich dann nur einen sehr üblen Scherz mit "FHEM" erlaubt.

Und das weißt Du ganz genau weil?
Du Dir das System angeschaut hast
Du derjenige warst der das verbockt hat
Heute zwei Säcke Reis in China umgefallen sind

Bitte richtiges ankreuzen.

So lange es keinen gibt der mit seiner Verantwortung dafür Garantiert das das System komplett sauber ist und bei weiteren Schäden die Kosten trägt, sollte man immer davon ausgehen das derjenige der drauf war auch mehr kann als FHEM zu verbiegen. Hier geht es nicht darum das beste an zu nehmen sondern vom schlimmsten aus zu gehen. Es geht hier nicht nur um denjenigen der gehackt wurde sondern um alle die mit ihm im Internet hängen. Er selber ist mir egal.

Oder möchtest Du gerne die Kosten übernehmen wenn eine Firma kommt und nachweisen kann das sie von diesem Rechner angegriffen wurde? Im einfachsten Fall mit DoS

[Frank_Huber]

Ja, Shodan ist die Tage wieder in aller Munde.

Ein Neuaufsetzen ist immer besser in so einem Fall.
ob es tatsächlich notwendig ist? das kann keiner beantworten.

vielleicht hat der betroffene ja auch ein SD Karten Backup, dann wäre das schnell erledigt.

wenn kein Backup da ist würde ich auf jeden Fall erstmal versuchen die cfg zu sichern.

[viegener]

Wenn jemand ein FHEM-System ohne Passwort im Internet verfügbar macht, gehacked wird und dann vielleicht auch kein Backup gemacht hat, würde ich zu einem anderen System raten. Vielleicht am besten eines mit mechanischen Schaltern und ohne Computer 

Mir kann ja egal sein wer sich selbst in Gefahr bringt, aber es gefährdet eben auch andere!

[herrmannj]

... Ich muß gestehen, FHEM hat keinen Passwortschutz ...

Dann ist es falsch (und schädlich) hier von "gehackt" zu sprechen. Wenn Du Deine Geldbörse Abends an eine Hauptstraße, unter eine Laterne, legst -  dann ist die am vmtl. Morgen weg. Da spricht auch keiner von gestohlen - da spricht man von fahrlässig !

[Wernieman]

Das zeigt mal wieder, wie grob fahrlässig viele im Umgang mit Rechnern sind.

Mann sollte sich Grundsätzlich, auch bei fertigen Systemen, überlegen wie es mit der Sicherheit aussieht.

Nur mal zur Verdeutlichung:
Hatte vor 2 Wochen ein Server bei hetzner neu bekommen. Nach !10! Minuten kamen die ersten Angriffsversuche über ssh ... während der Installation des Webprojektes wurden wir parallel immer wieder abgescannt ... und das passiert mittlerweile auch bei Internetanschlüssen (bzw: Wir hatten gewettet, ich habe verloren, da ich 5 Mi uten angegeben hatte)

Für den Threadersteller:
Ich würde auch eine Neuinstallation anraten + Zusätzlicher Securityabsicherung. Da FHEM relativ einfach umgezogen werden kann, macht man es sich dadurch einfacher. Sonst denkt man bei zukünftigen Probleme immer, ob es nicht am Hack lag ... (Abgesehen davon, das jemand auf dem System und damit im Privaten Netz sein könnte)

Edit
Rechtschreibfehler beseitigt ...

[CoolTux]

Ich möchte noch einmal betonen das niemand hier vor hat auf Dich rum zu hacken, auch wenn einige (auch meine) Texte den Eindruck erwecken. Mit diesen Texten wollen wir nur Nachdruck verleihen das Du einen riesen Fehler gemacht hast.
Kommt vor, passiert und ist abgeschlossen.

Jetzt bist Du hier und hast um Hilfe gebeten. Und genau diese Hilfe geben wir Dir mit unseren Texten.
Bitte sei so fair und höre auf uns. Niemand kann garantieren das mit Deinem System nicht mehr passiert ist. Glaube mir, die Arbeit das System frisch auf zu setzen ist bei weitem geringer zu bewerten wie ein eventuell auf Dich zukommender Schaden/Schadensanspruch wenn Du trotz allem "nur" Dein FHEM jetzt abdichtest.

Gerne sind die meisten hier bereit Dir zu helfen. Allerdings solltest Du wirklich als aller erstes einmal den Stecker vom Pi ziehen. Bitte



Grüße

[rudolfkoenig]

Für den Threadersteller:
Ich würde auch eine Neuinstallation anraten + Zusätzlicher Securityabsicherung.

Und bitte ein FHEM-update durchfuehren (d.h. update im FHEM-Fenster eintippen). Nach einem update verweigert FHEM den passwortlosen Zugriff, wenn die Anfrage von einer IP-Adresse aus dem grossen Internet kommt. Anfragen ohne Passwort sind aus dem lokalen Netz weiterhin moeglich. Diese Pruefung ist nach der Neuinstallation noch nicht enthalten (da relativ neu), erst nach dem FHEM-update.

[antonwinden]

wenn ich es richtig verstanden habe war dann der "hacker" (er hat nicht geschrieben das er den port nach außen geöffnet hat) eh nett:

fhem schreibt keine änderungen mehr in die cfg und auf sich aufmerksam hat er auch gemacht. da hat sich anscheinend im wesentlichen nur wer gespielt und sogar sicher gestellt das kein dauernder schaden entsteht 
quasi eine warnung das man seinen rechner absichern soll...
gruß anton

[Wernieman]

bezüglich Update fhem ... fällt das nicht auch unter "Zusätzlicher Securityabsicherung"?

Dazu gehört:
- Aktuelles System (apt-get update/dist-upgrade)
- Nur Notwendiges Installieren (z.B. keine Grafische Oberfläche, wenn nicht gebraucht)
- Update aller zusätzlicher Software (eben auch FHEM)
- Keine direkte Erreichbarkeit aus dem Netz (und wenn nötig, dann entsprechend einrichten)
- Passwörter! (z.B. Passwort für User Pi .... bitte telnet-Zugang FHEM nicht vergessen!)
- ..........

Liste kann beliebig erweitert werden, sollte aber schon mal als Grundlage dienen können.

[FranzB94]

Als erstes ziehst Du bitte sofort den Stecker vom Netzwerkkabel.

@CoolTux:
Stell Dir doch bitte selbst mal bildlich vor, was Du schreibst. Was soll denn der geschriebene Blödsinn bewirken? Vielleicht meinst Du eher, er soll den Stecker des Netzwerkkabels aus der Netzwerksteckdose bzw. dem LAN-Anschluss der Routers entfernen.

Gruß Franz

[mbrak]

Was ist denn so falsch an der Aussage von CoolTux??

Netzwerkstecker am raspi ziehen und erstmal Ruhe. Dann Lokal am raspi weitermachen.

Aber soll jeder machen wir er es besser weiß [emoji23][emoji23]


Gesendet von iPhone mit Tapatalk Pro

[kumue]

je nachdem, wie man sich das Abziehen des Stecker selbst bildlich vorstellt...

Aber wir alle wissen doch, was eigentlich gemeint ist.

[Morgennebel]

Mach die Kiste platt. Du gefährdest nicht nur Dich sondern auch andere Internetuser!!!

Nein.

Mach alle Computer bei Dir zu Hause platt. Alle ohne Ausnahme neu installieren. Betrachte Dein Netzwerk jetzt als verseucht, infiziert und infiltriert und nehme alle Rechner vom Netz um sie dann nach und nach wieder anzubauen.

Und kauf Dir Hilfe und eine vernünftigen Router/Firewall...

Ciao, -MN

[gloob]

Nein.

Mach alle Computer bei Dir zu Hause platt. Alle ohne Ausnahme neu installieren. Betrachte Dein Netzwerk jetzt als verseucht, infiziert und infiltriert und nehme alle Rechner vom Netz um sie dann nach und nach wieder anzubauen.

Und kauf Dir Hilfe und eine vernünftigen Router/Firewall...

Ciao, -MN

Ich hoffe ich lese da ganz viel Ironie 

Wenn nicht, fehlt noch Wohnung und Job kündigen und ins Ausland absetzen. Am besten nach Paraguay die haben kein Auslieferungsabkommen mit Deutschland 

[betateilchen]

Oh, ein Popcorn-Thread...

Stell Dir doch bitte selbst mal bildlich vor, was Du schreibst. Was soll denn der geschriebene Blödsinn bewirken?

ist doch ganz einfach: Wenn man den Stecker vom Netzwerkkabel zieht (oder meinetwegen auch abschneidet, das geht einfacher als abziehen), ist der Zweck erfüllt, keine Verbindung mehr ins Internet zu haben.

und ins Ausland absetzen. Am besten nach Paraguay die haben kein Auslieferungsabkommen mit Deutschland 

und ein paar (sehr) alte deutschsprachige Skatpartner wird man dort vielleicht auch noch finden...

[pc1246]

Stefan (gloob)
Ich glaube Du unterschaetzt den Ernst der Lage etwas! Der TE kann sich nicht sicher sein, dass nicht seine anderen Geraetschaften auch gehackt wurden. Und am Ende ist derjenige der haftbar gemacht werden kann.
Ich hatte auch mal das Problem, dass mein ebay-Kleinanzeigenkonto uebernommen wurde. Das hatte ich erst auch auf dieleichte Schulter genommen. Bis mir dann auf einmal klar wurde, dass ich quasi die €800,- teuren Geraete verkaufe, diese aber nicht habe, und das Geld auch nicht!
Das ist dann gerade noch mal gut gegangen. Eine Dame habe ich quasi direkt beim jetzt ueberweisen noch abgehalten!

Von daher keine Ironie, oder sonst was, sondern bitterer Ernst!

Gruss Christoph

[betateilchen]

Ich glaube Du unterschaetzt den Ernst der Lage etwas!

Ja, die Situation ist erstmal ernst. Aber es macht doch im Moment wenig Sinn, sich um einzelne Geräte innerhalb des lokalen Netzwerkes zu kümmern, solange man nicht die Internetverbindung selbst abgesichert hat.

[pc1246]

Udo
Das stimmt, deshalb hatte ich das anfaenglich auch schon geschrieben! Ganzes Inet ab und Hilfe holen!

BTW Popcorn: siehe Anhang

Gruss Christoph

[Morgennebel]

Ja, die Situation ist erstmal ernst. Aber es macht doch im Moment wenig Sinn, sich um einzelne Geräte innerhalb des lokalen Netzwerkes zu kümmern, solange man nicht die Internetverbindung selbst abgesichert hat.

Ja und Nein.

Du brauchst ja mindesten einen unverseuchten, vertrauenswürdigen Clienten, um Dein FHEM neu zu installieren. Der braucht natürlich das abgesicherte Netzwerk.

Am einfachsten wäre es, die FHEM SD-Karte bei einem Bekannten/Freund mit wesentlich mehr Computerwissen zu installieren und dann FHEM ohne Internet/Netzwerk zu betreiben. Dann das Netzwerk absichern, dann die neu installierten Clienten anknüppern...

Und nein, kein Funken Ironie. Ein geknackter Rechner im Netzwerk reicht aus, um intern alle weiteren Clienten anzugreifen. Und laut TE ist die Situation nun schon mehrere Tage so...

An den TE: egal welche Strategie Du wählst, Dein Computerwissen reicht nicht aus. Kauf Dir Hilfe.

Ciao, -MN

[betateilchen]

Du brauchst ja mindesten einen unverseuchten, vertrauenswürdigen Clienten, um Dein FHEM neu zu installieren. Der braucht natürlich das abgesicherte Netzwerk.

Man betreibt doch kein Netzwerk wegen FHEM. FHEM wäre das allerletzte, worum ich mich in so einer Situation kümmern würde.

[Morgennebel]

Man betreibt doch kein Netzwerk wegen FHEM. FHEM wäre das allerletzte, worum ich mich in so einer Situation kümmern würde.

Der TE spricht von wild an- und ausgeschalteten Lampen und Heizungsveränderungen. Das wirkt wahrscheinlich ziemlich beängstigend für eine nicht-computeraffine Familie.

Daher würd ich zuerst diese Situation unter Kontrolle bringen, dann das Netzwerk. Ein paar Tage nicht surfen können ist nicht so schlimm, wie ein paar Tage Blinklicht ertragen zu müssen - speziell wenn man schlafen möchte...

Ciao, -MN

[CoolTux]

Ich muß gestehen, FHEM hat keinen Passwortschutz und das private Netzwerk hatte nur den Windows Defender. Wir haben jetzt die ESET Internet-Security installiert. Im Augenblick kann ich keine neuerlichen Veränderungen mehr festellen.

Ich möchte da gerne noch einmal zitieren. Welchen Wissensstand würdet Ihr demjenigen in Bezug auf Netzwerk, Sicherheit und OS Systeme zugestehen?

[Beta-User]

Lustig hier, da sage noch einer, es gäbe Pessimisten unter den FHEMinisten .

Aber laßt doch jetzt einfach den TE mal sein Netzwerk reparieren, es ist doch eigentlich alles gesagt, und manche "Glaubensfragen" werden erst dann gelöst, wenn die Optimisten ihre eigenen Erfahrungen gemacht haben.

Man betreibt doch kein Netzwerk wegen FHEM. FHEM wäre das allerletzte, worum ich mich in so einer Situation kümmern würde.

Es gibt aber schon einige, die darauf angewiesen sind, dass das Netzwerk und FHEM wieder laufen, weil sonst die Hälfte des Hauses tot ist, ESPEasy sei Dank . Aber auf den Gedanken, die Türöffnung ausschließlich einem ESP8266 zu überlassen, kommen zum Glück auch nur Port-Forwarder und andere Eisduscher .

Nix für ungut,

Beta-User

[betateilchen]

Welchen Wissensstand würdet Ihr demjenigen in Bezug auf Netzwerk, Sicherheit und OS Systeme zugestehen?

Er weiß zumindest, wie man ein Netzwerk so weit nach außen aufmacht, damit eine solche Situation überhaupt erst auftreten kann. Von "Haus aus" läßt sowas nämlich kein Router zu. Deshalb hab ich keinen Funken Mitleid.

Es gibt aber schon einige, die darauf angewiesen sind, dass das Netzwerk und FHEM wieder laufen, weil sonst die Hälfte des Hauses tot ist

Auch für einen solchen konzeptionellen Fehler habe ich weder Verständnis noch Mitleid 

[Morgennebel]

Auch für einen solchen konzeptionellen Fehler habe ich weder Verständnis noch Mitleid 

Zwischen Schwarz und Weiß gibt es viele Graustufen.

Manchmal (wie z.B. bei mir) ist leider die totale Abhängigkeit von FHEM ein temporärer Kompromiss zwischen vorhandenem Geld, Zeit und Nerven.
Mit der neuen Heizung in 2018 mache ich es sicherlich anders/unabhängiger/besser - aber im Moment hängt meine Wärme von einem SBC und
FHEM ab...

Und auch beim TE kann es Kompromisse geben - die vielleicht aufgrund der mangenden Computerkenntnisse schlecht sind, aber von ihm getroffen
wurden und mit denen er sich jetzt arrangieren muß...

Ciao, -MN

[Beta-User]

Manchmal (wie z.B. bei mir) ist leider die totale Abhängigkeit von FHEM ein temporärer Kompromiss zwischen vorhandenem Geld, Zeit und Nerven.

In der Regel ist die Abhängigkeit von FHEM an sich noch gar nicht das Problem, zumal ich mir sehr sicher bin, dass du die sich daraus ergebenden Überlegungen hinsichtlich Backup, Absicherung zum INet usw. vorbildlich gelöst hast. Sowohl Ubuntu/Debian/Armbian sind sehr verlässliche Systeme und auch FHEM selbst ist mindestens in den Kernbereichen sehr "hart". Neulich meinte mal jemand, dass FHEM selbst im Vergleich zu seiner Heizung eine gute Verfügbarkeit hat.

Die Schwierigkeiten entstehen in der Regel erst, wenn mehrere Faktoren zusammenkommen, über die man vorher - aus welchen Gründen auch immer - nicht hinreichend nachgedacht hat...

Weitaus problematischer erscheint mir daher, dass der TE vermutlich nur einer von vielen ist, der unbeabsichtigt (grobe) konzeptionelle Fehler macht, weil er die Dinge einfach nicht überblicken kann/konnte, und da hätte ich mir etwas mitleidsvollere Worte gewünscht wie den (sachlich sicher sogar zutreffenden) Hinweis auf "war eine eigene Entscheidung, muß er sehen, wie er klarkommt"...

Vermutlich kommt es irgendwann noch so weit, dass ich mich dazu hinreisen lasse, einen technisch völlig inkompetenten Leitfaden der "don't"s zu FHEM (wobei das nicht alleine für FHEM passt) zu schreiben .

[Dummbatz]

Also im großen ganzen stehen hier ja schon die richtigen Tips.

Aber ich möchte mal darauf hinweisen das OP nun nicht auf die Idee kommt mit seinen Rechnern irgendwas zu machen.

Sollte da nämlich was böses drauf sein hilft das überhaupt nicht weiter.

Mal abgesehen von FHEM gilt es nun erst mal den Router dicht zu machen und dann zu überlegen wie man weiter vor geht.

Ich persönlich würde hier nicht lange fackeln und alles neu machen.

Den selbst alle Rechner zu untersuchen und evtl. zu bereinigen ist keine 100% Sicherheit.

In meinen Augen wäre der erste Schritt Router zu und bitte mit einem Rechner vom Kumpel oder so.

Dann alles besorgen was man für eine Neuinstallation so braucht und dann halt jeden Rechner komplett neu installieren und Router so lassen wie er ist 

[betateilchen]

Vermutlich kommt es irgendwann noch so weit ... einen technisch völlig inkompetenten Leitfaden der "don't"s zu FHEM ... zu schreiben

... der vermutlich genausowenig gelesen wird, wie das "FHEM Einsteigerdokument" 

[Beta-User]

... der vermutlich genausowenig gelesen wird, wie das "FHEM Einsteigerdokument" 

Ja! Sicher!
Aber:
Dann kann ich wenigstens behaupten, man hätte es wissen/irgendwo nachlesen können (wo man es hätte finden müssen, wenn man gesucht hätte )
Vermutlich steht "sowas" aber auch in der Einleitung entsprechender Fachliteratur, von der ich leider zugeben muß, sie nicht gelesen zu haben. War auch ok, viele essentiellen Fehler habe ich auch nicht gemacht, weil ich den Murphy'schen Grundsatz berücksichtigt habe und mich nicht in allen Bereichen für schlau genug gehalten habe, mir für alle mir noch unbekannten Wendungen der Elektronenlaufbahnen vorab schon Lösungen zu überlegen.

Trotzdem wäre die Frage, ob so eine Don't's-Liste nicht sogar unterhaltsam zu lesen wäre, und mancher, der "sowas" an sich gerne liest, findet vielleicht doch noch den einen oder anderen Gedanken, auf den man selbst nicht gekommen wäre...
Meistens braucht man ja nur eine Frage zu stellen, dann ergibt sich die Antwort von alleine, oder man hat wenigstens das richtige Stichwort für "further reading" .

[Frank_Huber]

Und am Ende stellt sich heraus:
Da hat uns nur einer getrollt, einen Fake Thread erstellt und lacht sich beim lesen krumm.

[Morgennebel]

Aber wir haben doch großen Spaß hier, Popcorn wird zubereitet, die FHEM-Jünger in Gut und Böse eingeteilt, Ideen vorgeschlagen und verworfen...

Beinahe so spannend wie Game of Thrones - nur zum Glück weniger nackte Mitspieler....

Ciao, -MN

[gloob]

Du weißt doch garnicht wie ich hier sitze. 

[mbrak]

Ich denke grade an hundewelpen..... [emoji849][emoji849][emoji849][emoji849]

[Dummbatz]

Du weißt doch garnicht wie ich hier sitze. 

Scheiße...

Wer löscht nun die Bilder in meinem Kopf   

[franky08]

Es ist unglaublich was man immer noch zu sehen bekommt wenn man shodan mal auf fhem loslässt...

[MadMax-FHEM]

Es ist unglaublich was man immer noch zu sehen bekommt wenn man shodan mal auf fhem loslässt...

Lass die Finger von meinem!!

Evtl. hat der TE ja den Rat befolgt und das Internet gekappt...
...oder ist beleidigt...
...weil aus der Ecke kommt/kam nix mehr...

Ich geh dann mal mein Gehirn waschen...

Gruß, Joachim

[Krissoff]

Vielen Dank erstmal für euer Interesse und für die vielen Reaktionen auf unser Problem.
Wie hieß nochmal die eure Abkürzung für eine Frauenfreundliche Hausautomatisierung? Ich hab Sie leider vergessen.
Das ist der Grund, warum unser fhem nicht Passwort-geschützt ist.
Mein Vertrauen in Windows basierte Sicherheitssysteme und Firewalls basiert auf 30 Jahre PC, und nix ist passiert.
By the Way: Unser Haus schließen wir auch nie ab, ist auch noch nie was passiert.

Ich hab jetzt Zeit gehabt, die mittlerweile sehr umfangreiche fhem-cfg genauer anzuschauen (waren mal 2536 Zeilen).
Und es fehlen doch die entsprechenden Zeilen und Abschnitte.
Eine Umleitung auf eine andere Seite möchte ich ausschließen, im Browser wird zumindest nach wie vor http://raspberrypi:8083/fhem?room=Status angezeigt.

Wie User antonwinden schreibt, ist der Hacker offensichtlich nicht nur "eh nett" sondern hat profunde Kenntnisse in fhem und Pearl.
Er zerstört nicht, sondern ändert nur so, daß es immer noch läuft, und hat(te) Spaß daran, täglich daran rumzuschrauben.
Wie gesagt, zurzeit finden keine merklichen Änderungen mehr statt.

In einer nächtlichen Aktion, ich weiß nicht mehr was ich alles gemacht habe, aktualisiert, restart usw. keine Ahnung mehr, ist jetzt wenigstens die Dropbox verschwunden, und die linke Menüspalte ist wieder da. Die ist zwar zu breit und überlappt den Menüteil auf der linken Seite, und restart geht immer noch nicht. Das läßt darauf schließen, daß wir immer noch ein grundsätzliches Problem haben.

Zumal immer noch der Raum "HACKED_Interneterreichbar" in der linken Menüspalte auftaucht, der definitiv nicht in der .cfg-Datei enthalten ist.

Ich habe für unsere Firma einen kompetente IT-Fachbetrieb. Ich denke, der kann die von mir aufgestoßenen Tore auf unseren Privatrechnern, zunächst mal wieder schließen.
Dann geht es darum, den Code wiederherzustellen (sollte kein Problem sein) und solche Pannen für die Zukunft zu verhindern.

Ansonsten habe ich viel von diesem Forum profitiert. Auch wenn ich mich bisher noch nicht hier geäußert habe. Das können andere auch besser.
Nebenbei beobachte ich auch den Markt konkurrierender Hausautomationssysteme. Dennoch: Andere Systeme mögen zwar einfacher sein, aber kein System gibt mir ein derartigen Gestaltungsfreiraum.

Nochmals: Vielen Dank für euren Input.
Sobald es neue Erkenntnisse gibt, werde ich Sie euch berichten.

[MadMax-FHEM]

Nur weil im Browser http://rasperypi:8083/fhem steht heißt das noch lange nicht, dass du auf dem pi landest auf dem du landen willst oder zu landen glaubst...

DNS-Einträge verändert, hosts-Datei verändert, ...


Außerdem war ja auch von einer Umlenkung der fhem.cfg die Rede...
...also fhem startet mit einer anderen fhem.cfg als die die du glaubst -> fhem-Startparameter verändert...

Ich muß schon sagen dafür, dass du so gehackt wurdest bist du ganz schön ruhig...
Gut, vielleicht hast/hattest du tatsächlich "Glück" und es war "nur" ein "netter" Hacker, der dich auf deine Lücke aufmerksam machen wollte...

Die Lücken sind ja hoffentlich mittlerweile alle zu...
...also KEINE Portforwardings mehr!

Aber ich würde trotzdem mal zumindest in Erwägung ziehen, dass der Hacker nicht nur "nett" war...

Dann lass mal deine IT drüber, die hoffentlich entsprechend Ahnung hat!

Gruß, Joachim

[Tedious]

*räusper* bevor man anfängt alle Kabel abzuschneiden, den Router mit dem Hammer zu bearbeiten, alle Festplatten im Haus mit einem Elektromagneten zu traktieren und den Aluhut aufzusetzen wie teilweise vorgeschlagen könnte man ja auch mal rkhunter von der Leine lassen und Spuren sichern die sicherlich hinterlassen wurden....


Gesendet von iPhone mit Tapatalk

[micky0867]

*räusper* bevor man anfängt alle Kabel abzuschneiden, den Router mit dem Hammer zu bearbeiten, alle Festplatten im Haus mit einem Elektromagneten zu traktieren und den Aluhut aufzusetzen wie teilweise vorgeschlagen könnte man ja auch mal rkhunter von der Leine lassen und Spuren sichern die sicherlich hinterlassen wurden....


Gesendet von iPhone mit Tapatalk

Der TE scheint ja eh ziemlich beratungsresistent...

So, wie ich das lese, sind schon alle Spuren zerstört worden.
Das rumprobieren hört sich auch nicht so an, als wüsste man genau, was man da macht.
Und der Begriff Backdoor ist m.W. auch noch nicht gefallen.
Wer es denn Hackern so einfach macht, ist eh selbst schuld.

Und zum WAF:
Passwörter kann man im Browser speichern (nicht die beste Lösung, aber besser als gar kein Passwort).
Außerdem will Weibchen meist sowieso nur lokal, sprich zu hause, was einstellen. Dann könnte man wenigstens mit reverse proxy arbeiten und diesen per Passwort absichern.


Gesendet von meinem ONEPLUS A3003 mit Tapatalk