Nur Text | Text mit Bildern

FHEM Forum

FHEM => Anfängerfragen => Thema gestartet von: fini am 08 März 2018, 10:09:32

Titel: hacker angriff?
Beitrag von: fini am 08 März 2018, 10:09:32
ist das ein hacker angriff?
ip ist aus china

Code Auswählen

2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4509
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4527
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4545
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4558
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4575
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4596
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4603
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4620
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4644
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4652
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4670
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4689
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4725
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4743
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4762
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4782
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_4816
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_4826
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_4902
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_4926
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_4937
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_4984
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_1052
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_1072
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1110
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1134
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1173
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1188
2018.03.08 09:29:01 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1214
2018.03.08 09:29:01 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1263
2018.03.08 09:29:01 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1238
2018.03.08 09:29:01 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1292


fini
Titel: Antw:hacker angriff?
Beitrag von: CoolTux am 08 März 2018, 10:14:18
Sieht so aus.

Ist denn Deine FHEM Installation über das Internet erreichbar? Wenn ja sofort abschalten die Erreichbarkeit über das Internet.
Titel: Antw:hacker angriff?
Beitrag von: mahowi am 08 März 2018, 10:19:35
Der Angriff kommt auf jeden Fall aus China. (siehe Screenshots)

Titel: Antw:hacker angriff?
Beitrag von: fini am 08 März 2018, 10:29:53
ja, habe ja auch die ip geprüft und festgestellt das dies aus china ist.
ja, mein fhem ist über internet erreichbar.
aber es ist ja beim versuch geblieben, fhem zu hacken.
muss ich mein server jetzt unbedingt vom internet trennen?
Titel: Antw:hacker angriff?
Beitrag von: mahowi am 08 März 2018, 10:41:30
Zumindest würde ich den Telnet-Port zumachen.
Titel: Antw:hacker angriff?
Beitrag von: JudgeDredd am 08 März 2018, 10:42:00
Zitatmuss ich mein server jetzt unbedingt vom internet trennen?
Was genau meinst Du denn damit ?

So wie das für mich aussieht und sich hinter dem Device "allowed_telnetPort" tatsächlich TCP23 verbirgt, dann ist das der ganz normale Wahnsinn.
Bei SSH (TCP22) und Telnet (TCP23) werden auf den Standardports ständig irgendwelche IP's gescannt.
Kein verantwortungsvoller Admin stellt ja auch die beiden Dienste in die DMZ und schon gar nicht auf den Standardports.

Falls Du den Zugriff auf Telnet unbedingt brauchst, dann wohl über VPN.

Den HTTPS Dienst kannst Du lassen wenn Du gerne mal nachschaust was zu Hause so los ist.
Titel: Antw:hacker angriff?
Beitrag von: NewRasPi am 08 März 2018, 10:43:24
Hallo FHEM Interessierte
glaube ich mich in einer falschen Sicherheit, wenn auf der Fritzbox unter Portfreigaben "Keine Portfreigabe vorhanden" steht?
Meine Sorge geht dahin, das AVM in die Fritzbox ja eine "Hintertür" (zusätzliche IP-Adresse) zum erreichen, wenn mal was schief läuft, einbaut/ eingebaut hat. (habe ich im Internet mal gefunden)
Wie "zuverlässig" ist also diese Angabe, wenn man ansonsten nur per VPN Zugriff eingerichtet hat.
Schöne Grüße
Titel: Antw:hacker angriff?
Beitrag von: CoolTux am 08 März 2018, 10:46:21
Das Device heist nur allowed_telnet. Es wurde aber die FHEMWEB Instanz WEB versucht auf zu rufen.



Und JAJAJAJAJAJA trenne sofort Dein FHEM vom Internet und versuche eine bessere Lösung zu finden. VPN oder wenigstens Reverse Proxy. Was denkst Du denn wie lange FHEM solchen versuchen Stand hält. Wenn Du Glück hast sind es nur Script Kiddies. Aber wehe da hat jemand Ahnung.
Titel: Antw:hacker angriff?
Beitrag von: CoolTux am 08 März 2018, 10:49:56
Zitat von: NewRasPi am 08 März 2018, 10:43:24
Hallo FHEM Interessierte
glaube ich mich in einer falschen Sicherheit, wenn auf der Fritzbox unter Portfreigaben "Keine Portfreigabe vorhanden" steht?
Meine Sorge geht dahin, das AVM in die Fritzbox ja eine "Hintertür" (zusätzliche IP-Adresse) zum erreichen, wenn mal was schief läuft, einbaut/ eingebaut hat. (habe ich im Internet mal gefunden)
Wie "zuverlässig" ist also diese Angabe, wenn man ansonsten nur per VPN Zugriff eingerichtet hat.
Schöne Grüße

Wenn unter Portfreigaben keine Einträge sind sollte man davon ausgehen können das auch keine Weiterleitung eines Ports geschieht. Hier kann man also mit hoher Wahrscheinlichkeit sagen Du bist sicher. VPN ist eine sehr vernünftige Entscheidung.
Titel: Antw:hacker angriff?
Beitrag von: fini am 08 März 2018, 12:28:42
ich habe erst mal fail2ban eingerichtet.
Titel: Antw:hacker angriff?
Beitrag von: helmut am 08 März 2018, 18:26:09
Das ist als Sofortmassnahme auch eine gute Idee. Eine aehnliche Diskussion hatten wir hier schon einmal:

https://forum.fhem.de/index.php/topic,81144.msg736400.html#msg736400

Gruss Helmut
Titel: Antw:hacker angriff?
Beitrag von: betateilchen am 08 März 2018, 18:34:58
Zitatglaube ich mich in einer falschen Sicherheit, wenn auf der Fritzbox

Fritzkotz und Sicherheit schließen sich ohnehin grundsätzlich gegenseitig aus.
Nur Text | Text mit Bildern