Hauptmenü

Hackerangriff!!???

Begonnen von Robert1963, 08 Februar 2023, 08:32:41

Vorheriges Thema - Nächstes Thema

Robert1963

Hallo,
hab eben in meinem fhem.log die Eintragungen gefunden.
Die Webseitenen sind nach Google, Tor-exit Seiten
.
Was haltet ihr davon ,
wie weit sind die Hacker in meine System eingedrungen und
was sollte ich jetzt tun.
Habe leichte Panik.

Mein Fhem Server ist ein NUC hinter einer Fritzbox Kabel



2023.02.08 04:54:05.588 3: Login denied for user >guest< via WEB_185.220.101.41_44023
2023.02.08 04:54:03.998 3: Login denied for user >user< via WEB_185.220.101.41_44015
2023.02.08 04:54:02.233 3: Login denied for user >root< via WEB_185.220.101.41_43999
2023.02.08 04:54:00.661 3: Login denied for user >admin< via WEB_185.220.101.41_43989
2023.02.08 04:53:56.744 3: Login denied for user >admin< via WEB_205.185.116.34_41474
2023.02.08 04:53:54.509 3: Login denied for user >admin< via WEB_23.128.248.36_57346
2023.02.08 04:53:51.987 3: Login denied for user >root< via WEB_23.128.248.36_44578
2023.02.08 04:53:49.394 3: Login denied for user >admin< via WEB_23.128.248.36_44574
2023.02.08 04:53:47.311 3: Login denied for user >admin< via WEB_23.128.248.36_44560
2023.02.08 04:53:45.288 3: Login denied for user >admin< via WEB_185.107.70.56_39052
2023.02.08 04:53:43.671 3: Login denied for user >admin< via WEB_185.220.100.248_26886
2023.02.08 04:53:41.949 3: Login denied for user >admin< via WEB_185.220.100.248_1086
2023.02.08 04:53:40.317 3: Login denied for user >admin< via WEB_185.220.100.248_12012
2023.02.08 04:53:38.729 3: Login denied for user >admin< via WEB_185.220.100.248_19108
2023.02.08 04:53:37.011 3: Login denied for user >admin< via WEB_185.220.100.248_24480
2023.02.08 04:53:35.285 3: Login denied for user >root< via WEB_185.220.100.248_3298
2023.02.08 04:53:32.992 3: Login denied for user >root< via WEB_185.220.100.251_11244
2023.02.08 04:53:31.160 3: Login denied for user >admin< via WEB_185.220.100.251_1448
2023.02.08 04:53:28.954 3: Login denied for user >admin< via WEB_185.220.100.251_4562
2023.02.08 04:53:26.764 3: Login denied for user >admin< via WEB_185.220.100.251_29618
2023.02.08 04:53:24.556 3: Login denied for user >admin< via WEB_185.220.100.251_29292
Nuc 7i7, Ubuntu 20.04.2 LTS, FS20, Homematic, EnOcean, Hue, Conbee, Fritzbox 6490kd,

Wernieman

Dein Fhem ist extern erreichbar -> Warum?
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

Robert1963

Weil ich im Urlaub manchmal was checken oder ändern muss. Bewässerung etc.
Hmm, sollte ich nochmal drüber nachdenken, kann ja auch Teamviewer nehmen.
Nuc 7i7, Ubuntu 20.04.2 LTS, FS20, Homematic, EnOcean, Hue, Conbee, Fritzbox 6490kd,

marvin78

VPN oder mindestens ein Reverse Proxy. Ports alle schließen.  Portfreigaben sind nur dann zu machen, wenn man genau, weiß, was man tut.

taskkill

Ist es nicht dazu da, wenn ich von unterwegs Heizung anmachen will?
Hab fail2ban drauf mit Sperre nach 3 Versuchen und einer Sperrzeit von 24h
und natürlich Kennwörtern.
RPI 3B+ mit Raspbian Bullseye auf SSD, aktiver USB-Hub, Fhem (is klar), TI CC2652P, nanoCUL 868 WMBUS, Echo Plus 2te Gen., ESPxxxx, usw.

RalfRog

Zitat von: Robert1963 am 08 Februar 2023, 08:56:04
Weil ich im Urlaub manchmal was checken oder ändern muss. Bewässerung etc.
Hmm, sollte ich nochmal drüber nachdenken, kann ja auch Teamviewer nehmen.

Ich habe die Warnungen wie von Werniman, Marvin78 etc. immer schon ernst genommen, insbesondere da mein Wissen vermutlich auch zu oberflächlich ist.

Wenn Du ne FritzBox hast, dann ist das mit einer VPN Verbindung doch echt einfach zu konfigurieren.
Damit stehst du dann immer im eigenen LAN.

Nebenbei telefoniere ich damit auch im Urlaub mit meiner Festnetz Nummer.

Gruß Ralf
FHEM auf Proxmox VM Bookworm (Futro S740) - nanoCUL, HM-MOD-RPI-PCB und MAX!Cube über LAN
HM- Fensterkontakte, UP-Schalter, Bewegungsmelder und ein Rauchmelder sowie Shelly 3EM, 1PM, PlugS und IT Schaltsteckdosen

Robert1963

@marvin , da hast du recht. Hab alle Portfreigaben für Fhem abgeschaltet.
War auch eine komische (68058), für den Anzeigemonitor Rasp, die ich def. nicht selber gesetzt habe dabei.

War das jetzt nur ein Hackerschuss ins blaue (Brute-Force-Angriff) oder bin ich im Visir?

@ taskkill , fail2ban check ich mal aus , Danke.

PS. hab grad die Logfiles der lletzten 14 Tage gecheckt. keine Externen Logins :)
Nuc 7i7, Ubuntu 20.04.2 LTS, FS20, Homematic, EnOcean, Hue, Conbee, Fritzbox 6490kd,

rudolfkoenig

ZitatWar das jetzt nur ein Hackerschuss ins blaue (Brute-Force-Angriff) oder bin ich im Visir?
Soweit aus dem Log ersichtlich, war das ein "Schuss ins Blaue", und der Angreifer hat vmtl. nichtmal gewusst, was FHEM ist.
Merkwuerdig ist allerdings, dass der Angirff zeitgleich von mehreren Adressen erfolgt ist.

Elektrolurch

VPN wäre das mindeste! Ansonsten keine anderen Portfreigaben einrichten.
Seit dem russischen Krieg  beobachte ich immer wieder an meiner Fritzbox folgendes:
Meine Frau sieht schon mal abends auf ausländischen Medienportalen Filme an.  Auf die geöffneten Ports wird dann regelmässig eine DOS Attacke gefahren, bis die Fritzbox in die Knie geht und ev. von selbst rebootet oder von mir stromlos geschaltet werden muss, weil sie überhaupt nicht mehr reagiert.

Elektrolurch
configDB und Windows befreite Zone!

Wernieman

Zitat von: taskkill am 08 Februar 2023, 08:59:30
Ist es nicht dazu da, wenn ich von unterwegs Heizung anmachen will?
Hab fail2ban drauf mit Sperre nach 3 Versuchen und einer Sperrzeit von 24h
und natürlich Kennwörtern.
FHEM ist nicht auf Sicherheit konzipiert (Ist kein Angriff auf die Programmierer, sondern "es ist einfach so"). Deshalb würde ich NIE ein FHEM ungeschützt ins Netz lassen. Mindestens ein ReverseProxy, der die Auth übernimmt (Wenn man so etwas weiß einzurichten). Der Auth von apache, nginx und co vertraue ich mehr als FHEM.

Besser, wie schon erwähnt, ist VPN. Wenn man es twas minnimalistesches haben will, geht es auch über ssh und PortForwarding, wie ein VPN "Light"
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

KölnSolar

Ich kann den Vorrednern bzgl. Sicherheit und externem Zugriff nur zustimmen.

Zusätzlich vielleicht noch der Hinweis, immer mal in das Ereignislog des Routers(hier Fritte) zu gucken.
Aktuell finde ich dort die IP 2.57.121.75, die sich als eva-admin, fernwartung, dacor, fwz anmelden wollte. Natürlich gescheitert.  ;D ;D ;D Aber es zeigt, dass permanent Angriffe gestartet werden.
Und interessant auch immer wieder, wie irgendwas mit festen IPs nach Hause telefonieren will. Aktivierter Blacklist-Filter im Profil lässt keine festen IPs zu und der Zugriff scheitert.

Grüße Markus
RPi3/2 buster/stretch-SamsungAV_E/N-RFXTRX-IT-RSL-NC5462-Oregon-CUL433-GT-TMBBQ-01e-CUL868-FS20-EMGZ-1W(GPIO)-DS18B20-CO2-USBRS232-USBRS422-Betty_Boop-EchoDot-OBIS(Easymeter-Q3/EMH-KW8)-PCA301(S'duino)-Deebot(mqtt2)-zigbee2mqtt

Robert1963

@ rudolfkoenig Danke, die Aussage einspannt mich erst mal ein bisschen.

@ Elektrolurch Hab auf der Fritte jetzt nur noch die Portfreigaben für die Diskstation. Die ist gegen solche Angriffe schon gut gesichert (Hoffe ich)
                       Da ich demnächst erst mal wieder unterwegs bin, wird das wohl erst mal so bleiben müssen. Aber VPN check ich gleich noch.

Gibt es noch Tipps wie ich meinen akt. Netzwerkzustand tasten kann?
Mein Gemütszustand ist schon getestet:  :o :o

Nuc 7i7, Ubuntu 20.04.2 LTS, FS20, Homematic, EnOcean, Hue, Conbee, Fritzbox 6490kd,

Wernieman

ZitatPortfreigaben für die Diskstation
Muß Du Deine NAS wirklich extern erreichbar machen? Auch da gilt: VPN besser
ZitatDie ist gegen solche Angriffe schon gut gesichert (Hoffe ich)
Liegt bei mir wahrscheinlich ab Beruf, aber "hoffen" würde mich nicht beruhigen. Dazu wurde schon zu häufig auch bei NAS-Software Sicherheitslücken (auch Daily 0) gefunden. Der Unterschied der Hersteller war nur, wie und wie schnell auf so etwas reagiert wird.

Grundsätzlich sollte man sich ale simmer die Frage Stellen:
- Ist externe Erreichbarkeit wirklich notwendig
-> Wenn ja, ist VPN etc. möglich?
-> Wenn nein, ist Security vorhanden (wenn nein, dann hier nein)
-> Wenn ja, kann man zusätzlich absichern (es wurde z.B. von Fail2Ban, Proxy etc. gesprochen)
-> erst dann freigeben

Ja es ist nervig, aber einer Verschlüsselte Festplatte, verlorene Bilder *) ist nerviger

*) Kenne schon 6 Leute, die nicht unerhebliche Anzahl Bilder durch Festplattenverlust (Defekte, nicht Verschlüsselung) verloren haben. Einmal besonders blöde gelaufen, da es das erste Jahr des ersten Kind betraf .... selbst eine "Neuproduktion" war dann ja das zweite Kind .... und jeder der sagt, so wichtig sind Bilder nicht, hat so etwas noch nicht erlebt ....
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

marvin78

Zitat von: Wernieman am 08 Februar 2023, 13:18:06


*) Kenne schon 6 Leute, die nicht unerhebliche Anzahl Bilder durch Festplattenverlust (Defekte, nicht Verschlüsselung) verloren haben. Einmal besonders blöde gelaufen, da es das erste Jahr des ersten Kind betraf .... selbst eine "Neuproduktion" war dann ja das zweite Kind .... und jeder der sagt, so wichtig sind Bilder nicht, hat so etwas noch nicht erlebt ....

Abgesehen davon, dass ich 3 redundante Backups der Fotos an unterschiedlichen Orten mache, wäre das für mich der schlimmste Datenverlust, der passieren könnte. Alles andere ist ersetzbar. Die Fotos nicht.

Robert1963

Die Synologie Diskstation ist meine pers. Cloud, auch für die Bilder bzw. gerade dafür. Läuft natürlich über die Syn. Apps, dementsprechend muss ich die Ports offen halten.
Im Hintergrund läuft grad ein ext. Backup des Photoservers, ihr habt mich ein bisschen nervös gemacht.

VPN zum allg. Fhemzugriff gehe ich noch an, ansonsten denk ich das ich leitlich safe  bin.

Vielen Dank für das mitdenken, einer der riesigen Vorteile von Fhem, diese Top Community.
Muss mich jetzt aber erst mal um meine Erkältung kümmern  :-[  :o
Nuc 7i7, Ubuntu 20.04.2 LTS, FS20, Homematic, EnOcean, Hue, Conbee, Fritzbox 6490kd,