Moin,
ich habe seit lange fhem auf einem Raspi laufen und für GeoFency einen Port zwecks Webhook auf den pi weitergeleitet. Dazu allowed mit BasicAuth... und dachte, dass sei sicher. Ansonsten gehe ich nur per VPN auf den Pi. Nun hatte ich vor kurzem erstmals eine Menge komischer Einträge im Log (Auszug daraus)...
2020.06.01 04:50:06 1: FHEMWEB SSL/HTTPS error: SSL accept attempt failed error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number (peer: 34.89.208.72)
2020.06.01 04:50:06 1: FHEMWEB SSL/HTTPS error: Das Argument ist ungültig SSL wants a read first (peer: 34.89.208.72)
2020.06.01 04:50:52 1: FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems (peer: 34.89.208.72)
2020.06.01 04:51:47 1: FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems (peer: 34.89.208.72)
...
2020.06.01 05:06:27 1: FHEMWEB SSL/HTTPS error: SSL accept attempt failed error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number (peer: 34.89.208.72)
2020.06.01 05:06:27 1: FHEMWEB SSL/HTTPS error: SSL accept attempt failed error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number (peer: 34.89.208.72)
2020.06.01 05:06:33 1: FHEMWEB SSL/HTTPS error: SSL accept attempt failed error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number (peer: 34.89.208.72)
...
2020.06.01 05:06:34 1: FHEMWEB SSL/HTTPS error: Das Argument ist ungültig SSL wants a read first (peer: 34.89.208.72)
2020.06.01 05:06:40 3: WEBhook_34.89.208.72_55794: unsupported HTTP method , rejecting it.
2020.06.01 05:10:13 3: WEBhook_34.89.208.72_45461: unsupported HTTP method TRACE, rejecting it.
2020.06.01 05:10:14 3: WEBhook_34.89.208.72_45461: unsupported HTTP method TRACK, rejecting it.
2020.06.01 05:12:20 3: WEBhook_34.89.208.72_54689: unsupported HTTP method Host:, rejecting it.
2020.06.01 05:12:21 1: FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems (peer: 34.89.208.72)
2020.06.01 05:14:19 3: WEBhook_34.89.208.72_39009: unsupported HTTP method Secure, rejecting it.
2020.06.01 05:14:23 3: WEBhook_34.89.208.72_49583: unsupported HTTP method HEAD, rejecting it.
2020.06.01 05:14:24 3: WEBhook_34.89.208.72_47873: unsupported HTTP method PUT, rejecting it.
2020.06.01 05:14:25 3: WEBhook_34.89.208.72_50725: unsupported HTTP method OPENVAS-VT, rejecting it.
2020.06.01 05:14:26 3: WEBhook_34.89.208.72_60375: unsupported HTTP method HEAD, rejecting it.
2020.06.01 05:14:26 3: WEBhook_34.89.208.72_45127: unsupported HTTP method PUT, rejecting it.
2020.06.01 05:14:29 3: WEBhook_34.89.208.72_43235: unsupported HTTP method OPENVAS-VT, rejecting it.
...
2020.06.01 05:21:54 3: WEBhook_34.89.208.72_60031: unsupported HTTP method ------WebKitFormBoundarybzq9yiXANBqlqUBo, rejecting it.
2020.06.01 05:21:54 3: WEBhook_34.89.208.72_60031: unsupported HTTP method pload-Vulnerability-Test, rejecting it.
2020.06.01 05:21:54 3: WEBhook_34.89.208.72_60031: unsupported HTTP method Upload, rejecting it.
2020.06.01 05:22:26 1: FHEMWEB SSL/HTTPS error: SSL accept attempt failed error:14094085:SSL routines:SSL3_READ_BYTES:ccs received early (peer: 34.89.208.72)
2020.06.01 05:23:46 3: Login denied for user >root< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:46 3: Login denied for user >root< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:46 3: Login denied for user >root< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:46 3: Login denied for user >MGR< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:46 3: Login denied for user >MAIL< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:46 3: Login denied for user >storwatch< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:46 3: Login denied for user >admin< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:47 3: Login denied for user >user< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:47 3: Login denied for user >MGR< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:47 3: Login denied for user >at4400< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:47 3: Login denied for user >FIELD< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:47 3: Login denied for user >root< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:47 3: Login denied for user >HELLO< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:47 3: Login denied for user >mtch< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:47 3: Login denied for user >User< via WEBhook_34.89.208.72_45565
2020.06.01 05:23:47 3: Login denied for user >device< via WEBhook_34.89.208.72_45565
...
2020.06.01 05:25:51 3: WEBhook_34.89.208.72_53481: unsupported HTTP method PUT, rejecting it.
2020.06.01 05:26:11 3: Login denied for user >support< via WEBhook_34.89.208.72_43611
2020.06.01 05:26:16 1: FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems (peer: 34.89.208.72)
...
Das sieht mir irgendwie nach einem Angriffsversuch aus?!? Brute Force und sonstwas?
Ist die Zahl hinter der IP und dem Unterstrich der Ziel-Port? Das wäre komisch, die sollten nämlich alle nicht beim Pi landen, da nur 8088 offen ist. Muss ich mir Gedanken machen und wenn ja, welche? Eigentlich sollte PFSense alles bis auf den 8088 vom Pi fern halten, und den muss ich doch zwangsläufig wegen GeoFency offen halten... Hat wer Tipps für mich?
Danke
Michael
Ich sage jetzt mal nichts zu "basic auth und sicher" :o - aber ja sieht aus wie ein klassischer script-angriff - offener port und dann alles durchprobieren. Eher kein professioneller Angriff.
Es gibt Anleitungen wie ma zumindest einen reverseproy (nginx oder apache) aufsetzt, das finde ich persönlich zwar auch nur maximal einen Kompromiss aber schonmal besser,
Und Nein der Port ist natürlich der Ursprungsport...
Ich hatte es Mal so eingestellt, das wenn ich von extern auf die GUI möchte, das ich zuvor etwas per Telegramm an den Pi schicken musste. Der hat den Port dann quasi aufgemacht.
Gesendet von meinem MI 8 mit Tapatalk
also seitdem ein Kollege einen Einbruch in sein Heimnetz hatte (vermutlich über QNAP NAS oder Raspberry) habe ich alles abgeriegelt, kein Portforwarding!! Und ich kann es nur Empfehlen, keine Ports zu öffnen.
Nur mit VPN und das kann ja mitlerweile jedes Handy.
Und wenn man mal beobachtet was alles so versucht "und täglich grüßt das Murmeltier" ins Heimnetz zu kommen das ist schier unglaublich.
Aber die Gefahr sitzt meist innen, da von innen ja alles geöffnet werden kann. Eine Firewall zusätzlich wird bald auch in Heimnetzen üblich sein, denn es gibt gefühlt mehr Hacker als seriöse Geldverdiener.
Ich beschäftige mich momentan mit OPNSense und PFsense. Gibt hier und da aber dinge die mir noch nicht gefallen.
Grundsätzlich sollte man sich wirklich Gedanken machen über jeden einzelnen notwendigen Port und dessen Zugriffsmöglichkeiten. Die Heimnetze wachsen ohne ende, ich hab schon extra Excel Tabelle für das ganze zeugs, aber mir reicht noch das subnet ;)
Moin,
@all: danke für die Antworten. Grundsätzlich hab ich alle Ports zu, brauche aber den einen wegen GeoFency, da sonst der Webhook nicht funktioniert. Mal sehen, ob das nochmal vorkommt, war nur insbesondere wegen der Portnummern etwas verunsichert.
Gruß
Michael
Du kanbst geofency auch über VPN einbinden, dein Handy muss dann nur den VPN Tunnel "on-demand" aufmachen, sobald geofency seinen request senden will. Unter iOS geht das Betriebsystemseitig, unter Android weiss ich nicht ob/wie es geht.
Also FHEM würde ich NIEMALS direkt ins Netz lassen. Mindestens einen Proxy davor oder (besser) VPN (als Minnimum per ssh ;o) ). Ich möchte hier keinen FHEM-Programmierer schlecht machen, aber FHEM ist auf solches, nötiges Sicherheitslevel nicht entwickelt worden.
Probiert wurde mit einer Google-VM (Laut IP). Zuerst verschiedene Protokolle, dann verschiedene User. Auch dagegen kann (und sollte) man sich schützen (Stichwort fail2ban oder ähnliche Tools).
Nur mal als Randanmerkung:
Mußte letzte Woche berufsmäßig einen neuen Server (im Netz) aufsetzen. Normalerweise braucht es 8 Minuten, bis das erste "Passwortaufprobier" Script gegen ssh ankommt .. diesmal wurde es noch deutlich getoppt.
Und was mir noch auffällt:
Gegen Port 80 habe ich noch niemals solche Angriffe gesehen (weder privat noch beruflich). Der Angreifer hat also gezielt dedizierte Nicht-Standard-Tools gesucht ....
Zitat von: MichaelO am 08 Juni 2020, 07:02:25
Moin,
@all: danke für die Antworten. Grundsätzlich hab ich alle Ports zu, brauche aber den einen wegen GeoFency, da sonst der Webhook nicht funktioniert. Mal sehen, ob das nochmal vorkommt, war nur insbesondere wegen der Portnummern etwas verunsichert.
Gruß
Michael
Es gibt einen guten Grund verunsichert zu sein, auch wenn das vermutlich nur ein geskripteter Angriff mit dem Ausprobieren von HTTP-Methods und Kennungen war. Diese Art ANgriffe auf offene Ports sind inzwischen ziemlicher Standard, da sich generell Tools zur Überprüfung der Sicherheit (z.B. OPENVAS) nicht nur zum Absichern sondern auch zum Einbrechen verwenden lassen.
"Grundsätzlich hab ich alle Ports zu, brauche aber den einen wegen GeoFency" - Der Unterschied liegt nicht zwischen 1 und mehr Ports offen sondern zwischen zu und auf - bei Dir ist AUF!
Ich kann nicht abschätzen inwieweit der FHEMWeb-Server sicher gegen Angriffe ist (OS command injection?) - man kann hoffen, dass Apache/nginx sicherer ist aber generell ist der bereits gegebene Tipp VPN zu bevorzugen. Ich halte pfsense übrigens nicht für eine Absicherung...
Aus dem logfile ist NICHT ersichtlich, dass der Angriffsversuch abgewehrt wurde. Wenn er erfolgreich war, würde das vermutlich gerade nicht im Logfile stehen - Also würde ich mir Sorgen machen, um die Angriffsversuche die nicht auftauchen
Wobei man ja ehrlicherweise sagen muss: auch vpn bedingt mind. einen offenen Port ;)
Gruß (und weg), Joachim
Alllerdings dürfte die Gängige VPN-Software besser sicherheits-getestet sein als FHEM ... aber ich stimme Dir zu, auch mit VPN kann man viel Mist bauen ...
Zitat von: Wernieman am 08 Juni 2020, 12:27:00
Alllerdings dürfte die Gängige VPN-Software besser sicherheits-getestet sein als FHEM ... aber ich stimme Dir zu, auch mit VPN kann man viel Mist bauen ...
Jep, stimme ich dir zu... :)
Mist bauen: z.B. nicht kontinuierlich (Sicherheits-) Updates "fahren"...
Ich wollte nur auf die "Diskrepanz" zwischen: KEINEN Port offen aber ich nutze vpn "hinweisen" ;)
Gruß, Joachim
P.S.: ich selbst nutze auch vpn mit fail2ban... Und nat. regelmäßigen Updates... ;)
Naja .. wenn Du meinen Zugang Testen würdest, würdest Du ssh und http/https finden .... letzteres aber gegen einen proxy mit Passwortschutz. Fail2Ban (o.Ä.) sollte eigentlich Selbstverständlich sein ....
OT:
Zitat von: Wernieman am 08 Juni 2020, 12:43:25
Naja .. wenn Du meinen Zugang Testen würdest, würdest Du ssh und http/https finden .... letzteres aber gegen einen proxy mit Passwortschutz. Fail2Ban (o.Ä.) sollte eigentlich Selbstverständlich sein ....
Ah: schweizer Käse ;)
(mit Minenfeld dahinter ;) )
Ende OT
Gruß, Joachim
Der Unterschied: Ich mache so etwas beruflich ....
Zitat von: Wernieman am 08 Juni 2020, 13:11:36
Der Unterschied: Ich mache so etwas beruflich ....
Dachte ich mir schon, drum ja: ;)
Gruß, Joachim
Und nur mal als Zusatz:
Die beste Firewall bringt nichts, wenn das Netz dahinter nicht abgesichert ist
Nur mal als Analogon:
Baue eine Burg mit einer Supersichere Eingangspforte (Firewall) ... und dann vor der Schatzkammer kein Schloß, weil "ich habe doch eine Firewall" ... und man wundern, das die Schatzkammer sich immer leert ...
Zitat von: MadMax-FHEM am 08 Juni 2020, 11:15:09
Wobei man ja ehrlicherweise sagen muss: auch vpn bedingt mind. einen offenen Port ;)
Gruß (und weg), Joachim
Absolut - VPN ist auch offen - am besten ist zu und wenn man nicht abschätzen kann was es bedeutet ist zu aus meiner Sicht die einzige Wahl.
OT - Nur weil Telegram oben erwähnt wurde -> Generell ist auch TelegramBot, insbesondere mit Möglichkeit zur Ausführung - eine Variante von offen
Netzwerktechnisch und Risikobasiert kann ein Ausgang auch einen Eingang darstellen...
Gibt es eigentlich eine Möglichkeit auf fail2ban in FHEM zu reagieren?
ich hätte gern sobald eine IP blockiert wird, dass mir FHEM per Telegram eine Meldung schickt.
Zitat von: swsmily am 08 Juni 2020, 23:55:53
Gibt es eigentlich eine Möglichkeit auf fail2ban in FHEM zu reagieren?
ich hätte gern sobald eine IP blockiert wird, dass mir FHEM per Telegram eine Meldung schickt.
Ja ;)
Du kannst ja den fail2ban Status abfragen:
sudo fail2ban-client status openvpn
als Beispiel für openvpn...
Und dann das Ergebnis parsen, z.B.:
| grep 'Currently banned'
Und damit dann entweder direkt schon was triggern, z.B. eine Telegram Nachricht...
...oder eben z.B. einen Dummy "füttern", dann kannst du auch mit Loggen...
...und nat. reagieren.
Du kannst neben geblockten IPs auch die Versuche o.ä. rauskriegen...
Einfach mal ein wenig mit fail2ban-client "spielen"...
Gruß, Joachim
Oder in fail2ban ein action definieren und in der Daten zu FHEM pushen .. mache ich bei mir, allerdings pushe ich die Daten in eine DB ...
(Kann zwar fail2ban mittlerweile selber, aber ich hatte es eingerichtet, als fail2ban so etwas selber noch nicht konnte ...)
Edit:
Ich selber lasse mich nicht mehr direkt Informieren (sondern eben über DB), da ansonsten zu viel Info reinkommen. Viel Wichtiger sind automatische Regeln wie: Sperre die IP (iptables). Wenn man dann auch nicht die default Zeit (10 Minuten) sondern länger nimmt (z.B. 1h), erreicht man schon eine deutliche Verbesserung
Eine Info am Rand: Bitte keine ganze Zeiten nehmen. z.B. nicht 1h sondern 1h und 2m. Viele Scripte gucken nach festen Zeiten, ob der Port wieder offen ist. Wenn man also 1-2 Minuten "drauflegt", hat man solche automatischen Scripte sehr geärgert, ohne nennenswerten Komfortverlust. Wenn man jetzt 3 mal töffelig das Passwort falsch eingegeben hat, sind 1-2 Minuten bei 1h irrelevant mehr zu warten....
Danke für eure Rückmeldungen.
Laut Logfiles hatte ich wohl noch keinen Zugriff, der nicht hätte sein dürfen. Mal selbst beim Passwort vertippt, aber fremde Zugriffe bisher noch nicht. Wahrscheinlich da ich nicht Standardports freigegeben habe.
Dennoch will ich natürlich besser absichern.
fail2ban funktioniert auch wie es soll. Der Tipp aber mit der "krummen" Sperrzeit ist gut.
Aber wie das mit der Action um Daten zu FHEM zu pushen funktioniert hab ich noch nicht so ganz rausgefunden.
Hast Du Telnet offen? Ansonsten gibt es mehrere Scipts für HTTP-Push (z.B. von Otto)
Für Push HTTPs kann ich Dir nicht helfen, aber gerne bei der Definition einer Action ....
Ja Telnet von FHEM ist aktiv.
Eine kleine Hilfe, wie man die Action definiert wäre glaube ich wirklich hilfreich.
Habe eine /etc/fail2ban/action.d/mysql_eintrag.conf
[Definition]
actionstart =
actionstop =
actioncheck =
actionban = /etc/fail2ban/logeintragen.pl <time> <ip> <name>
actionunban = /etc/fail2ban/logupdate.pl <time> <ip> <name>
[Init]
name = default
port = default
protocol = default
Habe so meine Action definiert. Warscheinlich brauchst Du kein actionunban und für actionban:
Zitatecho -en "set <Device> <ip>\nquit\n" | nc -w 5 <fhem-server> 7072
Bitte <Device> und <fhem-server> anpassen.
In der jail.conf dann
# ban & mysql-Logging
action_mysql = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
mysql_eintrag[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s"]
.....
action = %(action_mysql)s
Kann man bestimmt besser machen, habe noch keine Zeit für ein Refaktoring gefunden ....
Reichen Dir diese Fingerzeige?
So ganz verstehe ich es noch nicht.
Ich habe eine Datei unter /etc/fail2ban/action.d/fhem.conf angelegt
Inhalt:
[Definition]
actionstart =
actionstop =
actioncheck =
actionban = echo -en "set test ban\nquit\n" | nc -w 5 <FHEM-IP> 7072
actionunban = echo -en "set test unban\nquit\n" | nc -w 5 <FHEM-IP> 7072
[Init]
name = default
port = default
protocol = default
in /etc/fail2ban/jail.local
# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
# ban & fhem
action_fhem = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
fhem[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s"]
Nach weiteren Beispielen, die in der jail.local stehen, die Zeile action = %(action_)s durch folgendes ersetzt:
# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_fhem)s
Der echo-Befehl direkt auf der Konsole funktioniert und setzt entsprechend auch den Dummy.
Lass ich mich jedoch blocken, wird die IP geblockt, aber in FHEM wird der Dummy nicht geändert.
Wo liegt mein Fehler?
EDIT:
actionban = /etc/fail2ban/fhemban.py <time> <ip> <name> in fhem.conf
und in /etc/fail2ban/fhemban.py:
echo -en "set test ban <ip>\nquit\n" | nc -w 5 <FHEM-IP> 7072
geht es nicht.
chmod 777 hab ich gemacht.
Aufruf mit ./fhemban.py sendet den Befehl an FHEM.
Sorry aber Dein Edit verstehe ich jetzt nicht. Hast DU den "echo | nc" jetzt in ein externes Programm verschoben?
Ja, das war ein Versuch, bei actionban ein Skript anzugeben, in dem dann das echo steht. Hat aber leider auch nicht zum Erfolg geführt.
Wie sieht denn Dein /etc/fail2ban/fhemban.py jetzt komplett aus?
Da steht nur diese eine Zeile
echo -en "set test ban <ip>\nquit\n" | nc -w 5 <FHEM-IP> 7072
- Woher soll denn das Programm wissen, wie es <ip> und <FHEM-IP> zu setzen hast?
- Woher soll der Interpreter wissen, mit welchem "Interpreter" er das Programm starten soll?
Deshalb mußt Du zuerst die berühmte #! setzen, z.B. als Shell-Programm in:
#!/bin/bash
time=$1
ip=$2
name=$3
fhemip=1.2.3.4 #< Anpassen!!
echo -en "set test ban $ip\nquit\n" | nc -w 5 $fhemip 7072
Und dann bitte mal testen außerhalb von fail2ban.
Btw:
verwende für Deine eigene Übersichtlichkeit am besten am Ende eines Dateinamens passende Endungen.
z.B.
- für Shell-Programm: .sh
- für Phyton: .py
- für perl: .pl
Es ist bei unix nicht notwendig fürs System, aber übersichtlicher für den Administrator (Du)
Zitat von: Wernieman am 10 Juni 2020, 08:20:31
- Woher soll denn das Programm wissen, wie es <ip> und <FHEM-IP> zu setzen hast?
<FHEM-IP> hatte ich statt in einer Variable direkt in die Zeile eingetragen.
Zitat von: Wernieman am 10 Juni 2020, 08:20:31
- Woher soll der Interpreter wissen, mit welchem "Interpreter" er das Programm starten soll?
das #!/bin/bash hat gefehlt. Damit funktionierte es direkt (erstmal ohne Variablen). Diese habe ich nun auch mit eingetragen und nun bekommt FHEM im Dummy test auch ban mit IP-Adresse. Super!
Vielen vielen Dank! :D
Kennst Du auch den Grund, warum es jetzt funktioniert? Was die #!-Zeile bewirkt?
Sie sagt dem System, dass es sich um ein Bash-Script handelt, somit wie es den Inhalt zu interpretieren hat.
Sie sagt, wo man den "Interpreter" findet. Du kannst dort vieles eintragen, z.B. auch /usr/bin/perl für perl etc.
Nur mal so als "Spaß", lege Dir eine Datei mit folgendem Inhalt an und führe aus:
#!/bin/cat
Testmessage