FHEM Forum

Hallo,
hab eben in meinem fhem.log die Eintragungen gefunden.
Die Webseitenen sind nach Google, Tor-exit Seiten
.
Was haltet ihr davon ,
wie weit sind die Hacker in meine System eingedrungen und
was sollte ich jetzt tun.
Habe leichte Panik.

Mein Fhem Server ist ein NUC hinter einer Fritzbox Kabel

2023.02.08 04:54:05.588 3: Login denied for user >guest< via WEB_185.220.101.41_44023 2023.02.08 04:54:03.998 3: Login denied for user >user< via WEB_185.220.101.41_44015 2023.02.08 04:54:02.233 3: Login denied for user >root< via WEB_185.220.101.41_43999 2023.02.08 04:54:00.661 3: Login denied for user >admin< via WEB_185.220.101.41_43989 2023.02.08 04:53:56.744 3: Login denied for user >admin< via WEB_205.185.116.34_41474 2023.02.08 04:53:54.509 3: Login denied for user >admin< via WEB_23.128.248.36_57346 2023.02.08 04:53:51.987 3: Login denied for user >root< via WEB_23.128.248.36_44578 2023.02.08 04:53:49.394 3: Login denied for user >admin< via WEB_23.128.248.36_44574 2023.02.08 04:53:47.311 3: Login denied for user >admin< via WEB_23.128.248.36_44560 2023.02.08 04:53:45.288 3: Login denied for user >admin< via WEB_185.107.70.56_39052 2023.02.08 04:53:43.671 3: Login denied for user >admin< via WEB_185.220.100.248_26886 2023.02.08 04:53:41.949 3: Login denied for user >admin< via WEB_185.220.100.248_1086 2023.02.08 04:53:40.317 3: Login denied for user >admin< via WEB_185.220.100.248_12012 2023.02.08 04:53:38.729 3: Login denied for user >admin< via WEB_185.220.100.248_19108 2023.02.08 04:53:37.011 3: Login denied for user >admin< via WEB_185.220.100.248_24480 2023.02.08 04:53:35.285 3: Login denied for user >root< via WEB_185.220.100.248_3298 2023.02.08 04:53:32.992 3: Login denied for user >root< via WEB_185.220.100.251_11244 2023.02.08 04:53:31.160 3: Login denied for user >admin< via WEB_185.220.100.251_1448 2023.02.08 04:53:28.954 3: Login denied for user >admin< via WEB_185.220.100.251_4562 2023.02.08 04:53:26.764 3: Login denied for user >admin< via WEB_185.220.100.251_29618 2023.02.08 04:53:24.556 3: Login denied for user >admin< via WEB_185.220.100.251_29292

Dein Fhem ist extern erreichbar -> Warum?

Weil ich im Urlaub manchmal was checken oder ändern muss. Bewässerung etc.
Hmm, sollte ich nochmal drüber nachdenken, kann ja auch Teamviewer nehmen.

VPN oder mindestens ein Reverse Proxy. Ports alle schließen.  Portfreigaben sind nur dann zu machen, wenn man genau, weiß, was man tut.

Ist es nicht dazu da, wenn ich von unterwegs Heizung anmachen will?
Hab fail2ban drauf mit Sperre nach 3 Versuchen und einer Sperrzeit von 24h
und natürlich Kennwörtern.

Zitat von: Robert1963 am 08 Februar 2023, 08:56:04
Weil ich im Urlaub manchmal was checken oder ändern muss. Bewässerung etc.
Hmm, sollte ich nochmal drüber nachdenken, kann ja auch Teamviewer nehmen.

Ich habe die Warnungen wie von Werniman, Marvin78 etc. immer schon ernst genommen, insbesondere da mein Wissen vermutlich auch zu oberflächlich ist.

Wenn Du ne FritzBox hast, dann ist das mit einer VPN Verbindung doch echt einfach zu konfigurieren.
Damit stehst du dann immer im eigenen LAN.

Nebenbei telefoniere ich damit auch im Urlaub mit meiner Festnetz Nummer.

Gruß Ralf

@marvin , da hast du recht. Hab alle Portfreigaben für Fhem abgeschaltet.
War auch eine komische (68058), für den Anzeigemonitor Rasp, die ich def. nicht selber gesetzt habe dabei.

War das jetzt nur ein Hackerschuss ins blaue (Brute-Force-Angriff) oder bin ich im Visir?

@ taskkill , fail2ban check ich mal aus , Danke.

PS. hab grad die Logfiles der lletzten 14 Tage gecheckt. keine Externen Logins :)

ZitatWar das jetzt nur ein Hackerschuss ins blaue (Brute-Force-Angriff) oder bin ich im Visir?

Soweit aus dem Log ersichtlich, war das ein "Schuss ins Blaue", und der Angreifer hat vmtl. nichtmal gewusst, was FHEM ist.
Merkwuerdig ist allerdings, dass der Angirff zeitgleich von mehreren Adressen erfolgt ist.

VPN wäre das mindeste! Ansonsten keine anderen Portfreigaben einrichten.
Seit dem russischen Krieg  beobachte ich immer wieder an meiner Fritzbox folgendes:
Meine Frau sieht schon mal abends auf ausländischen Medienportalen Filme an.  Auf die geöffneten Ports wird dann regelmässig eine DOS Attacke gefahren, bis die Fritzbox in die Knie geht und ev. von selbst rebootet oder von mir stromlos geschaltet werden muss, weil sie überhaupt nicht mehr reagiert.

Elektrolurch

Zitat von: taskkill am 08 Februar 2023, 08:59:30
Ist es nicht dazu da, wenn ich von unterwegs Heizung anmachen will?
Hab fail2ban drauf mit Sperre nach 3 Versuchen und einer Sperrzeit von 24h
und natürlich Kennwörtern.

FHEM ist nicht auf Sicherheit konzipiert (Ist kein Angriff auf die Programmierer, sondern "es ist einfach so"). Deshalb würde ich NIE ein FHEM ungeschützt ins Netz lassen. Mindestens ein ReverseProxy, der die Auth übernimmt (Wenn man so etwas weiß einzurichten). Der Auth von apache, nginx und co vertraue ich mehr als FHEM.

Besser, wie schon erwähnt, ist VPN. Wenn man es twas minnimalistesches haben will, geht es auch über ssh und PortForwarding, wie ein VPN "Light"

Ich kann den Vorrednern bzgl. Sicherheit und externem Zugriff nur zustimmen.

Zusätzlich vielleicht noch der Hinweis, immer mal in das Ereignislog des Routers(hier Fritte) zu gucken.
Aktuell finde ich dort die IP 2.57.121.75, die sich als eva-admin, fernwartung, dacor, fwz anmelden wollte. Natürlich gescheitert.  ;D ;D ;D Aber es zeigt, dass permanent Angriffe gestartet werden.
Und interessant auch immer wieder, wie irgendwas mit festen IPs nach Hause telefonieren will. Aktivierter Blacklist-Filter im Profil lässt keine festen IPs zu und der Zugriff scheitert.

Grüße Markus

@ rudolfkoenig Danke, die Aussage einspannt mich erst mal ein bisschen.

@ Elektrolurch Hab auf der Fritte jetzt nur noch die Portfreigaben für die Diskstation. Die ist gegen solche Angriffe schon gut gesichert (Hoffe ich)
                       Da ich demnächst erst mal wieder unterwegs bin, wird das wohl erst mal so bleiben müssen. Aber VPN check ich gleich noch.

Gibt es noch Tipps wie ich meinen akt. Netzwerkzustand tasten kann?
Mein Gemütszustand ist schon getestet:  :o :o

ZitatPortfreigaben für die Diskstation

Muß Du Deine NAS wirklich extern erreichbar machen? Auch da gilt: VPN besser

ZitatDie ist gegen solche Angriffe schon gut gesichert (Hoffe ich)

Liegt bei mir wahrscheinlich ab Beruf, aber "hoffen" würde mich nicht beruhigen. Dazu wurde schon zu häufig auch bei NAS-Software Sicherheitslücken (auch Daily 0) gefunden. Der Unterschied der Hersteller war nur, wie und wie schnell auf so etwas reagiert wird.

Grundsätzlich sollte man sich ale simmer die Frage Stellen:
- Ist externe Erreichbarkeit wirklich notwendig
-> Wenn ja, ist VPN etc. möglich?
-> Wenn nein, ist Security vorhanden (wenn nein, dann hier nein)
-> Wenn ja, kann man zusätzlich absichern (es wurde z.B. von Fail2Ban, Proxy etc. gesprochen)
-> erst dann freigeben

Ja es ist nervig, aber einer Verschlüsselte Festplatte, verlorene Bilder *) ist nerviger

*) Kenne schon 6 Leute, die nicht unerhebliche Anzahl Bilder durch Festplattenverlust (Defekte, nicht Verschlüsselung) verloren haben. Einmal besonders blöde gelaufen, da es das erste Jahr des ersten Kind betraf .... selbst eine "Neuproduktion" war dann ja das zweite Kind .... und jeder der sagt, so wichtig sind Bilder nicht, hat so etwas noch nicht erlebt ....

Zitat von: Wernieman am 08 Februar 2023, 13:18:06


*) Kenne schon 6 Leute, die nicht unerhebliche Anzahl Bilder durch Festplattenverlust (Defekte, nicht Verschlüsselung) verloren haben. Einmal besonders blöde gelaufen, da es das erste Jahr des ersten Kind betraf .... selbst eine "Neuproduktion" war dann ja das zweite Kind .... und jeder der sagt, so wichtig sind Bilder nicht, hat so etwas noch nicht erlebt ....

Abgesehen davon, dass ich 3 redundante Backups der Fotos an unterschiedlichen Orten mache, wäre das für mich der schlimmste Datenverlust, der passieren könnte. Alles andere ist ersetzbar. Die Fotos nicht.

Die Synologie Diskstation ist meine pers. Cloud, auch für die Bilder bzw. gerade dafür. Läuft natürlich über die Syn. Apps, dementsprechend muss ich die Ports offen halten.
Im Hintergrund läuft grad ein ext. Backup des Photoservers, ihr habt mich ein bisschen nervös gemacht.

VPN zum allg. Fhemzugriff gehe ich noch an, ansonsten denk ich das ich leitlich safe  bin.

Vielen Dank für das mitdenken, einer der riesigen Vorteile von Fhem, diese Top Community.
Muss mich jetzt aber erst mal um meine Erkältung kümmern  :-[  :o

Du musst keine Ports offen halten. Mit Reverse Proxy würde einer genügen.

Aber auch das ist alles per VPN erreichbar. Dann komplett ohne zusätzlich offene Ports.

Zitat von: rudolfkoenig am 08 Februar 2023, 09:57:32
Soweit aus dem Log ersichtlich, war das ein "Schuss ins Blaue", und der Angreifer hat vmtl. nichtmal gewusst, was FHEM ist.
Merkwuerdig ist allerdings, dass der Angirff zeitgleich von mehreren Adressen erfolgt ist.

Die Botnetze sind echt lästig und gefährden alle offenen Ports/Dienste.
Der Gedanke des Fail2ban-Beitrags ist ein gewisser Grundschutz der FHEM-Installation. Auf jeden Fall muss ein komplexes Kennwort und möglichst kein Benutzername "admin" o.ä. vergeben sein.
Die Nutzung eines Revers-Proxys inklusive Fail2ban ist ein guter Schutz.
Um die Sache auf sichere Beine zu stellen, kommt man um ein zertifikatsbasiertes VPN nicht herum. Man muss dann aber auch gut auf sein Smartphone aufpassen, da man eine offene Tür zum lokalen Netzwerk mit sich herumträgt.

Gruß Jens