Hackerangriff auf fhem?

Begonnen von justcallmeal, 25 Juli 2018, 10:28:16

Vorheriges Thema - Nächstes Thema

helmut

Hallo Marlen,

Otto hat doch schon den Link zum Heise Netzwerkcheck geliefert. Da werden die Standard-Ports fuer IPv4
geprueft, nicht nur ein einzelner.
https://www.heise.de/security/dienste/Netzwerkcheck-2114.html

Hast Du denn Ports in Deinem Router freigegeben?

Gruss Helmut
Intelligenz ist die Fähigkeit, Arbeit zu vermeiden, aber dafür zu sorgen, daß die Arbeit gemacht wird.
(Linus Torvalds)

r00t2

Auch ein guter Scanner ist GRC's "Shields up": https://www.grc.com/x/ne.dll?bh0bkyd2

Der hat viele Möglichkeiten und noch viel mehr Infos zum Thema allgemein.
FHEM 6.0 (Raspberry Pi 2 B | Raspberry Pi OS Lite | Perl 5.28.1 | UZB Z-WAVE.Me | Hue Bridge V1 | SIGNALDuino 433 MHz | FritzBox | Kodi | Pioneer AVR | MQTT | Node-RED | Diverse Google Dienste)

nils_

Zitat von: helmut am 26 Juli 2018, 17:49:02
Dein Code wurde hier doch ernsthaft diskutiert und Nils wollte Dich ganz sicher weder "klatschen" noch abmahnen. 
leider ist der user nun weg.  :o
"klatschen" oder sogar "abmahnen" ist überhaupt nicht mein anliegen gewesen.

ich wollte nur auf missstände/Unschönheiten hinweisen.
sorry das ich da nicht noch 4 seiten Erklärung geschrieben habe.

ich hab auch nirgendwo geschrieben "hömma bisse doof, was hasten da verfasst....."


Zitat von: helmut am 26 Juli 2018, 17:49:02
Im Uebrigen hat mir Rudis Bemerkung gefallen, der sinngemaess mal geschrieben hat, er sei da manchmal etwas
flapsig und das solle der Empfaenger dieser Bemerkung mal nicht so ernst nehmen.
vielleicht sollte ich das in meine Signatur schreiben, denn ich neige auch eher dazu kürzer und flapsig zu formulieren.


bis dahin...
viele Wege in FHEM es gibt!

helmut

Zitat von: r00t2 am 27 Juli 2018, 08:54:30
Auch ein guter Scanner ist GRC's "Shields up": https://www.grc.com/x/ne.dll?bh0bkyd2
Der hat viele Möglichkeiten und noch viel mehr Infos zum Thema allgemein.
Stimmt, aber auch der ist nur fuer IPv4 gut, hat nicht einmal eine IPv6 Adresse.

Gruss Helmut
Intelligenz ist die Fähigkeit, Arbeit zu vermeiden, aber dafür zu sorgen, daß die Arbeit gemacht wird.
(Linus Torvalds)

Wernieman

Zitat von: nils_ am 27 Juli 2018, 09:01:32
leider ist der user nun weg.  :o

Und hat alle Seine Beiträge gelöscht???
Geht das wirklich so einfach??

Also ... das ist wirklich ein "Unfeiner" Abgang und wirklich eher negativ zu Bewerten ...
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

LuckyDay

Naja , er ist eben angefressen,
und ja seine Beiträge kann man  so einfach löschen, doku nicht gelesen? ;D ;D ;D ;D

Wernieman

[Ironie]
Wozu Doku lesen .. gibt doch User, die einem das Erklären
[\Ironie]
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

Dr. Boris Neubert

Hi,

[OT]man kann eigene Beiträge löschen, außer den ersten Beitrag eines Themas, wenn es darauf bereits Antworten gibt.[/OT]

Die Hackerangriffe sind von irgendwelchen Skriptkiddies. Meine Firewalllogs waren voll vom dem Scheiß, als ich noch eine IPv4-Adresse hatte. Es werden einfach alle IP-Adressen in den DialIn-Adressbereichen der Provider abgefahren und es wird auf den einschlägigen Ports versucht, mit Brute-Force auf Windows-Shares oder Dienste zuzugreifen, die mit üblichen Benutzernamen (admin, root) und schwachen Passwörten gesichert sind.

Viele Grüße
Boris
Globaler Moderator, Developer, aktives Mitglied des FHEM e.V. (Marketing, Verwaltung)
Bitte keine unaufgeforderten privaten Nachrichten!

Christoph Morrison


AxelSchweiss

Zitat von: r00t2 am 26 Juli 2018, 11:31:20
Könnte hier nicht MQTT eine Lösung sein?

Sprich: Die lokale FHEM Instanz subscribed/published auf einem im Internet verfügbaren MQTT Server und kann dann darüber Aktionen ausführen oder Readings zur Verfügung stellen.

Bliebe nur noch die Frage, welcher Anbieter einen sicheren MQTT Server im Netz zur Verfügung stellen kann. Ich finde, da schaut Sensetecnic (https://fred.sensetecnic.com/pricing) ganz interessant aus - vor allem, weil sie auch Node Red anbieten, was durch die Dashboards auch eine einfach zu handhabende GUI bietet.
Ich nehme CloudMQTT https://customer.cloudmqtt.com/
Wenn man keine großen Datenmengen schiebt ist der Account sogar kostenfrei.
Mittels Bridge spiegelt mein internen MQTT-Broker (Mosquitto) die Topics.
So muss ich noch nicht einmal einen Port in der FW öffnen.
Funktioniert schon seit ca. einem Jahr mit  owntracks wunderbar.
Mein Haus weiss immer wo ich bin.
nein ... es heisst nicht Christine  ;D

Marlen

#55
Hallo,

das Thema MQTTcloud ist sehr interessant. Ich hab ein Port offen, um damit meinen Floorplan anschaune zu können und 2 dummys zu bedienen.

Das notify für fehlerhafte Anmeldung hatte ich schon im Einsatz, funktioniert, hatte auch bisher nie eine Fehlerhafte Anmeldung außer meine Tests.

Hat jetzt schon mal jemand das notify für Portscanns hinbekommen?

LG
  Marlen

locutus

Ganz schön hartnäckig ...
2019.10.06 06:09:07 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55107
2019.10.06 06:09:08 3: Login denied for user >super< via WEBtablet_172.247.109.117_55218
2019.10.06 06:09:09 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55224
2019.10.06 06:09:13 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55268
2019.10.06 06:09:13 3: Login denied for user >root< via WEBtablet_172.247.109.117_55373
2019.10.06 06:09:15 3: Login denied for user >root< via WEBtablet_172.247.109.117_55382
2019.10.06 06:09:15 3: Login denied for user >ktroot< via WEBtablet_172.247.109.117_55421
2019.10.06 06:09:15 3: Login denied for user >ktuser< via WEBtablet_172.247.109.117_55438
2019.10.06 06:09:21 3: Login denied for user >ktuser< via WEBtablet_172.247.109.117_55458
2019.10.06 06:09:21 3: Login denied for user >ubnt< via WEBtablet_172.247.109.117_55646
2019.10.06 06:09:22 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55662
2019.10.06 06:09:23 3: Login denied via WEBtablet_172.247.109.117_55700
2019.10.06 06:09:23 3: Login denied for user >root< via WEBtablet_172.247.109.117_55720
2019.10.06 06:09:24 3: Login denied for user >root< via WEBtablet_172.247.109.117_55732
2019.10.06 06:09:27 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55745
2019.10.06 06:09:28 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55808
2019.10.06 06:09:28 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55824
2019.10.06 06:09:29 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55837
2019.10.06 06:09:29 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55857
2019.10.06 06:09:33 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55873
2019.10.06 06:09:33 3: Login denied for user >user< via WEBtablet_172.247.109.117_55965
2019.10.06 06:09:33 3: Login denied for user >root< via WEBtablet_172.247.109.117_55976
2019.10.06 06:09:37 3: Login denied for user >admin< via WEBtablet_172.247.109.117_55981
2019.10.06 06:09:39 3: Login denied for user >ktuser< via WEBtablet_172.247.109.117_56059
2019.10.06 06:09:39 3: Login denied for user >admin< via WEBtablet_172.247.109.117_56106
2019.10.06 06:09:40 3: Login denied for user >user< via WEBtablet_172.247.109.117_56115
2019.10.06 06:09:41 3: Login denied for user >user< via WEBtablet_172.247.109.117_56137
2019.10.06 06:09:43 3: Login denied for user >username< via WEBtablet_172.247.109.117_56154
2019.10.06 06:09:43 3: Login denied for user >user< via WEBtablet_172.247.109.117_56185
2019.10.06 06:09:44 3: Login denied for user >support< via WEBtablet_172.247.109.117_56193
2019.10.06 06:09:44 3: Login denied for user >admin< via WEBtablet_172.247.109.117_56208
2019.10.06 06:09:45 3: Login denied for user >admin< via WEBtablet_172.247.109.117_56214
2019.10.06 06:09:45 3: Login denied for user >user< via WEBtablet_172.247.109.117_56227


2019.10.06 10:50:47 3: Login denied for user >admin< via WEBtablet_23.225.121.196_57660
2019.10.06 10:50:51 3: Login denied for user >super< via WEBtablet_23.225.121.196_57683
2019.10.06 10:50:51 3: Login denied for user >admin< via WEBtablet_23.225.121.196_57757
2019.10.06 10:50:51 3: Login denied for user >admin< via WEBtablet_23.225.121.196_57770
2019.10.06 10:50:52 3: Login denied for user >root< via WEBtablet_23.225.121.196_57783
2019.10.06 10:50:52 3: Login denied for user >root< via WEBtablet_23.225.121.196_57791
2019.10.06 10:50:53 3: Login denied for user >ktroot< via WEBtablet_23.225.121.196_57804
2019.10.06 10:50:54 3: Login denied for user >ktuser< via WEBtablet_23.225.121.196_57837
2019.10.06 10:50:54 3: Login denied for user >ktuser< via WEBtablet_23.225.121.196_57849
2019.10.06 10:50:55 3: Login denied for user >ubnt< via WEBtablet_23.225.121.196_57865
2019.10.06 10:50:57 3: Login denied for user >admin< via WEBtablet_23.225.121.196_57891
2019.10.06 10:51:08 3: Login denied for user >root< via WEBtablet_23.225.121.196_58122
2019.10.06 10:51:08 3: Login denied for user >root< via WEBtablet_23.225.121.196_58433
2019.10.06 10:51:08 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58455
2019.10.06 10:51:09 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58501
2019.10.06 10:51:10 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58519
2019.10.06 10:51:11 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58540
2019.10.06 10:51:11 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58586
2019.10.06 10:51:15 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58592
2019.10.06 10:51:21 3: Login denied for user >root< via WEBtablet_23.225.121.196_58892
2019.10.06 10:51:21 3: Login denied for user >admin< via WEBtablet_23.225.121.196_58909
2019.10.06 10:51:24 3: Login denied for user >ktuser< via WEBtablet_23.225.121.196_58917
2019.10.06 10:51:25 3: Login denied for user >admin< via WEBtablet_23.225.121.196_59038
2019.10.06 10:51:25 3: Login denied for user >user< via WEBtablet_23.225.121.196_59058
2019.10.06 10:51:26 3: Login denied for user >user< via WEBtablet_23.225.121.196_59081
2019.10.06 10:51:26 3: Login denied for user >username< via WEBtablet_23.225.121.196_59093
2019.10.06 10:51:27 3: Login denied for user >user< via WEBtablet_23.225.121.196_59110
2019.10.06 10:51:27 3: Login denied for user >support< via WEBtablet_23.225.121.196_59136
2019.10.06 10:51:31 3: Login denied for user >admin< via WEBtablet_23.225.121.196_59162
2019.10.06 10:51:32 3: Login denied for user >admin< via WEBtablet_23.225.121.196_59257
2019.10.06 10:51:33 3: Login denied for user >user< via WEBtablet_23.225.121.196_59268


... und in den vergangenen Monaten immer häufiger!

Tedious

Der ist nicht hartnäckig, der nutzt einfach ein Script ;)

Fail2Ban wurde ja schon angesprochen, schieb die IP unbefristet ins Jail. Ansonsten, als Hotfix - blockier die Adresse in der Firewall. S. z.B. hier: https://www.cyberciti.biz/faq/how-do-i-block-an-ip-on-my-linux-server/
FHEM auf Proxmox-VM (Intel NUC) mit 4xMapleCUN (433,3x868) und Jeelink, HUE, MiLight, Max!, SonOff, Zigbee, Alexa, uvm...

Tedious

Der ist nicht hartnäckig, der nutzt einfach ein Script ;)

Fail2Ban wurde ja schon angesprochen, schieb die IP unbefristet ins Jail. Ansonsten, als Hotfix - blockier die Adresse(n) in der Firewall. S. z.B. hier: https://www.cyberciti.biz/faq/how-do-i-block-an-ip-on-my-linux-server/
FHEM auf Proxmox-VM (Intel NUC) mit 4xMapleCUN (433,3x868) und Jeelink, HUE, MiLight, Max!, SonOff, Zigbee, Alexa, uvm...