Hackerangriff auf fhem?

helmut · 26 Juli 2018, 22:23:35

Hallo Marlen,

Otto hat doch schon den Link zum Heise Netzwerkcheck geliefert. Da werden die Standard-Ports fuer IPv4
geprueft, nicht nur ein einzelner.
https://www.heise.de/security/dienste/Netzwerkcheck-2114.html

Hast Du denn Ports in Deinem Router freigegeben?

Gruss Helmut

r00t2 · 27 Juli 2018, 08:54:30

Auch ein guter Scanner ist GRC's "Shields up": https://www.grc.com/x/ne.dll?bh0bkyd2

Der hat viele Möglichkeiten und noch viel mehr Infos zum Thema allgemein.

nils_ · 27 Juli 2018, 09:01:32

Zitat von: helmut am 26 Juli 2018, 17:49:02
Dein Code wurde hier doch ernsthaft diskutiert und Nils wollte Dich ganz sicher weder "klatschen" noch abmahnen.

leider ist der user nun weg.

"klatschen" oder sogar "abmahnen" ist überhaupt nicht mein anliegen gewesen.

ich wollte nur auf missstände/Unschönheiten hinweisen.
sorry das ich da nicht noch 4 seiten Erklärung geschrieben habe.

ich hab auch nirgendwo geschrieben "hömma bisse doof, was hasten da verfasst....."

Zitat von: helmut am 26 Juli 2018, 17:49:02
Im Uebrigen hat mir Rudis Bemerkung gefallen, der sinngemaess mal geschrieben hat, er sei da manchmal etwas
flapsig und das solle der Empfaenger dieser Bemerkung mal nicht so ernst nehmen.

vielleicht sollte ich das in meine Signatur schreiben, denn ich neige auch eher dazu kürzer und flapsig zu formulieren.

bis dahin...

helmut · 27 Juli 2018, 10:40:55

Zitat von: r00t2 am 27 Juli 2018, 08:54:30
Auch ein guter Scanner ist GRC's "Shields up": https://www.grc.com/x/ne.dll?bh0bkyd2
Der hat viele Möglichkeiten und noch viel mehr Infos zum Thema allgemein.

Stimmt, aber auch der ist nur fuer IPv4 gut, hat nicht einmal eine IPv6 Adresse.

Gruss Helmut

Wernieman · 27 Juli 2018, 10:46:26

Zitat von: nils_ am 27 Juli 2018, 09:01:32
leider ist der user nun weg.

Und hat alle Seine Beiträge gelöscht???
Geht das wirklich so einfach??

Also ... das ist wirklich ein "Unfeiner" Abgang und wirklich eher negativ zu Bewerten ...

LuckyDay · 27 Juli 2018, 10:49:47

Naja , er ist eben angefressen,
und ja seine Beiträge kann man so einfach löschen, doku nicht gelesen?

Wernieman · 27 Juli 2018, 10:56:59

[Ironie]
Wozu Doku lesen .. gibt doch User, die einem das Erklären
[\Ironie]

Dr. Boris Neubert · 27 Juli 2018, 14:36:57

Hi,

[OT]man kann eigene Beiträge löschen, außer den ersten Beitrag eines Themas, wenn es darauf bereits Antworten gibt.[/OT]

Die Hackerangriffe sind von irgendwelchen Skriptkiddies. Meine Firewalllogs waren voll vom dem Scheiß, als ich noch eine IPv4-Adresse hatte. Es werden einfach alle IP-Adressen in den DialIn-Adressbereichen der Provider abgefahren und es wird auf den einschlägigen Ports versucht, mit Brute-Force auf Windows-Shares oder Dienste zuzugreifen, die mit üblichen Benutzernamen (admin, root) und schwachen Passwörten gesichert sind.

Viele Grüße
Boris

Christoph Morrison · 27 Juli 2018, 14:37:17

rage quit

AxelSchweiss · 27 Juli 2018, 20:07:24

Zitat von: r00t2 am 26 Juli 2018, 11:31:20
Könnte hier nicht MQTT eine Lösung sein?

Sprich: Die lokale FHEM Instanz subscribed/published auf einem im Internet verfügbaren MQTT Server und kann dann darüber Aktionen ausführen oder Readings zur Verfügung stellen.

Bliebe nur noch die Frage, welcher Anbieter einen sicheren MQTT Server im Netz zur Verfügung stellen kann. Ich finde, da schaut Sensetecnic (https://fred.sensetecnic.com/pricing) ganz interessant aus - vor allem, weil sie auch Node Red anbieten, was durch die Dashboards auch eine einfach zu handhabende GUI bietet.

Ich nehme CloudMQTT https://customer.cloudmqtt.com/
Wenn man keine großen Datenmengen schiebt ist der Account sogar kostenfrei.
Mittels Bridge spiegelt mein internen MQTT-Broker (Mosquitto) die Topics.
So muss ich noch nicht einmal einen Port in der FW öffnen.
Funktioniert schon seit ca. einem Jahr mit owntracks wunderbar.
Mein Haus weiss immer wo ich bin.
nein ... es heisst nicht Christine

Marlen · 28 Juli 2018, 22:50:50

Hallo,

das Thema MQTTcloud ist sehr interessant. Ich hab ein Port offen, um damit meinen Floorplan anschaune zu können und 2 dummys zu bedienen.

Das notify für fehlerhafte Anmeldung hatte ich schon im Einsatz, funktioniert, hatte auch bisher nie eine Fehlerhafte Anmeldung außer meine Tests.

Hat jetzt schon mal jemand das notify für Portscanns hinbekommen?

LG
Marlen

locutus · 06 Oktober 2019, 17:56:58

Ganz schön hartnäckig ...

Code Auswählen

2019.10.06 06:09:07 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55107
2019.10.06 06:09:08 3: Login denied for user >super< via WEBtablet_172.247.109.117_55218
2019.10.06 06:09:09 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55224
2019.10.06 06:09:13 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55268
2019.10.06 06:09:13 3: Login denied for user >root< via WEBtablet_172.247.109.117_55373
2019.10.06 06:09:15 3: Login denied for user >root< via WEBtablet_172.247.109.117_55382
2019.10.06 06:09:15 3: Login denied for user >ktroot< via WEBtablet_172.247.109.117_55421
2019.10.06 06:09:15 3: Login denied for user >ktuser< via WEBtablet_172.247.109.117_55438
2019.10.06 06:09:21 3: Login denied for user >ktuser< via WEBtablet_172.247.109.117_55458
2019.10.06 06:09:21 3: Login denied for user >ubnt< via WEBtablet_172.247.109.117_55646
2019.10.06 06:09:22 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55662
2019.10.06 06:09:23 3: Login denied via WEBtablet_172.247.109.117_55700
2019.10.06 06:09:23 3: Login denied for user >root< via WEBtablet_172.247.109.117_55720
2019.10.06 06:09:24 3: Login denied for user >root< via WEBtablet_172.247.109.117_55732
2019.10.06 06:09:27 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55745
2019.10.06 06:09:28 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55808
2019.10.06 06:09:28 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55824
2019.10.06 06:09:29 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55837
2019.10.06 06:09:29 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55857
2019.10.06 06:09:33 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55873
2019.10.06 06:09:33 3: Login denied for user >user< via WEBtablet_172.247.109.117_55965
2019.10.06 06:09:33 3: Login denied for user >root< via WEBtablet_172.247.109.117_55976
2019.10.06 06:09:37 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55981
2019.10.06 06:09:39 3: Login denied for user >ktuser< via WEBtablet_172.247.109.117_56059
2019.10.06 06:09:39 3: Login denied for user >admin< via WEBtablet_172.247.109.117_56106
2019.10.06 06:09:40 3: Login denied for user >user< via WEBtablet_172.247.109.117_56115
2019.10.06 06:09:41 3: Login denied for user >user< via WEBtablet_172.247.109.117_56137
2019.10.06 06:09:43 3: Login denied for user >username< via WEBtablet_172.247.109.117_56154
2019.10.06 06:09:43 3: Login denied for user >user< via WEBtablet_172.247.109.117_56185
2019.10.06 06:09:44 3: Login denied for user >support< via WEBtablet_172.247.109.117_56193
2019.10.06 06:09:44 3: Login denied for user >admin< via WEBtablet_172.247.109.117_56208
2019.10.06 06:09:45 3: Login denied for user >admin< via WEBtablet_172.247.109.117_56214
2019.10.06 06:09:45 3: Login denied for user >user< via WEBtablet_172.247.109.117_56227

Code Auswählen

2019.10.06 10:50:47 3: Login denied for user >admin< via WEBtablet_23.225.121.196_57660
2019.10.06 10:50:51 3: Login denied for user >super< via WEBtablet_23.225.121.196_57683
2019.10.06 10:50:51 3: Login denied for user >admin< via WEBtablet_23.225.121.196_57757
2019.10.06 10:50:51 3: Login denied for user >admin< via WEBtablet_23.225.121.196_57770
2019.10.06 10:50:52 3: Login denied for user >root< via WEBtablet_23.225.121.196_57783
2019.10.06 10:50:52 3: Login denied for user >root< via WEBtablet_23.225.121.196_57791
2019.10.06 10:50:53 3: Login denied for user >ktroot< via WEBtablet_23.225.121.196_57804
2019.10.06 10:50:54 3: Login denied for user >ktuser< via WEBtablet_23.225.121.196_57837
2019.10.06 10:50:54 3: Login denied for user >ktuser< via WEBtablet_23.225.121.196_57849
2019.10.06 10:50:55 3: Login denied for user >ubnt< via WEBtablet_23.225.121.196_57865
2019.10.06 10:50:57 3: Login denied for user >admin< via WEBtablet_23.225.121.196_57891
2019.10.06 10:51:08 3: Login denied for user >root< via WEBtablet_23.225.121.196_58122
2019.10.06 10:51:08 3: Login denied for user >root< via WEBtablet_23.225.121.196_58433
2019.10.06 10:51:08 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58455
2019.10.06 10:51:09 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58501
2019.10.06 10:51:10 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58519
2019.10.06 10:51:11 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58540
2019.10.06 10:51:11 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58586
2019.10.06 10:51:15 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58592
2019.10.06 10:51:21 3: Login denied for user >root< via WEBtablet_23.225.121.196_58892
2019.10.06 10:51:21 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58909
2019.10.06 10:51:24 3: Login denied for user >ktuser< via WEBtablet_23.225.121.196_58917
2019.10.06 10:51:25 3: Login denied for user >admin< via WEBtablet_23.225.121.196_59038
2019.10.06 10:51:25 3: Login denied for user >user< via WEBtablet_23.225.121.196_59058
2019.10.06 10:51:26 3: Login denied for user >user< via WEBtablet_23.225.121.196_59081
2019.10.06 10:51:26 3: Login denied for user >username< via WEBtablet_23.225.121.196_59093
2019.10.06 10:51:27 3: Login denied for user >user< via WEBtablet_23.225.121.196_59110
2019.10.06 10:51:27 3: Login denied for user >support< via WEBtablet_23.225.121.196_59136
2019.10.06 10:51:31 3: Login denied for user >admin< via WEBtablet_23.225.121.196_59162
2019.10.06 10:51:32 3: Login denied for user >admin< via WEBtablet_23.225.121.196_59257
2019.10.06 10:51:33 3: Login denied for user >user< via WEBtablet_23.225.121.196_59268

... und in den vergangenen Monaten immer häufiger!

Tedious · 07 Oktober 2019, 09:59:09

Der ist nicht hartnäckig, der nutzt einfach ein Script

Fail2Ban wurde ja schon angesprochen, schieb die IP unbefristet ins Jail. Ansonsten, als Hotfix - blockier die Adresse in der Firewall. S. z.B. hier: https://www.cyberciti.biz/faq/how-do-i-block-an-ip-on-my-linux-server/

Tedious · 07 Oktober 2019, 10:00:00

Der ist nicht hartnäckig, der nutzt einfach ein Script

Fail2Ban wurde ja schon angesprochen, schieb die IP unbefristet ins Jail. Ansonsten, als Hotfix - blockier die Adresse(n) in der Firewall. S. z.B. hier: https://www.cyberciti.biz/faq/how-do-i-block-an-ip-on-my-linux-server/