FHEM gehacked?

[Krissoff]

Seit letzter Woche hat sich einiges bei unserer FHEM Installation  bzw. an dem Aussehen und Funktionen verändert, und das ohne mein Zutun. Am auffälligsten war, daß die linke Menüspalte verschwunden war, und nur noch eine Dropbox die Menüfunktionen enthielt. Die darin enthaltene Funktion restart z. B. war jedoch funktionslos. Wir haben in diesem Dropbox-Menü jetzt einen neuen Raum "HACKED_Interneterreichbar" der definitiv nicht in der fhem.cfg aufgeführt ist. Zu diesem Begriff gibt weder Google noch das Forum hier irgendeine Antwort.
Weitere Auffälligkeiten:
Der Raum "HACKED_Interneterreichbar" enthält nur einen Dummy zum Status aller Rolläden,
Die Rolladen gehen zu nicht programmierten Zeiten auf, aber zu programmierten Zeiten zu.
Die  HMS-Temperatursensoren wurden innerhalb von 4 Tagen Stück für Stück umbenannt, sie erhielten Namen der Hexadezimalcodes.
Verschiedene Geräte werden ständig unkoordiniert ein- und ausgeschaltet,
Durch Tastendruck auf den Wandsender geht statt der Gartenbeleuchtung das Fernsehen an, statt der Wintergartenbeleuchtung geht der Dachbodenrolladen auf.
Im Menü sind nach und nach immer mehr Geräte nicht mehr sichtbar.
Die Datei FHEM.cfg sieht immer noch unverändert aus, dort ist alles noch vorhanden.
Ich muß gestehen, FHEM hat keinen Passwortschutz und das private Netzwerk hatte nur den Windows Defender. Wir haben jetzt die ESET Internet-Security installiert. Im Augenblick kann ich keine neuerlichen Veränderungen mehr festellen.
Änderungen an der FHEM.cfg werden nicht wirksam, die Restart-Funktion ist deaktiviert und ein Kaltstart des Raspberry Pi bringt auch keine Änderung.
Was ist zu tun, damit wir unser System wieder kontrollieren können?

[CoolTux]

Als erstes ziehst Du bitte sofort den Stecker vom Netzwerkkabel.
Das Linux und das FHEM müssen neu aufgesetzt werden. Und sofort per Update auf den aktuellen Stand gebracht werden.
Und dann holst Du Dir einen Fachmann der Dir hilft Dein Netzwerk vor Ausseneingriffen zu schützen

Ich muß gestehen, FHEM hat keinen Passwortschutz und das private Netzwerk hatte nur den Windows Defender. Wir haben jetzt die ESET Internet-Security installiert.

Diese Aussage sagt mir das Du von Netzwerken keine Ahnung hast und das ist aktuell bei Dir sehr gefährlich da fremde bereits Dein Haus gekapert haben.

[Frank_Huber]

Das bedeutet dass deine fhem Installation ungeschützten Verkehr hat.
Sie ist aus dem Internet ohne Passwort erreichbar.
Das hat jetzt irgend ein Spassvogel ausgenutzt und deine Installation sabotiert.
Ich würde vermuten und hoffen dass deine alte cfg gesichert wurde.

Kannst auch mal schauen wie dein fhem gestartet wird. Womöglich ist der Start Aufruf auf eine andere cfg umgeleitet.
Und auf jeden Fall updaten und sichern!
Die Internet Erreichbarkeit würde ich bis auf weiteres erstmal löschen. (Port forwarding im Router)

Gesendet von meinem S3_32 mit Tapatalk

[Frank_Huber]

https://forum.fhem.de/index.php/topic,72629

Gesendet von meinem S3_32 mit Tapatalk

[gloob]

Beende doch einfach erstmal die Port-Weiterleitung auf deinem Router, so dass FHEM nicht mehr direkt aus dem Internet erreichbar ist. Danach kannst du dich in aller Ruhe um das Aufräumen und absichern machen.

[CoolTux]

Mal ne Frage. Wer garantiert Dir das die Einbrecher nicht ein Programm auf dem Pi eingerichtet haben der eine Verbindung von innen auf macht und die Einbrecher somit wieder auf das System kommen?

Mach die Kiste platt. Du gefährdest nicht nur Dich sondern auch andere Internetuser!!!

[pc1246]

Kannst auch mal schauen wie dein fhem gestartet wird. Womöglich ist der Start Aufruf auf eine andere cfg umgeleitet.

Moin
Oder configDB eingerichtet. Auf jeden Fall das Internet ab, am Besten komplett, und jemanden mit Ahnung schauen lassen, wie cooltux schon schrieb! Die eigentliche cfg sichern und noch mal durchschauen, dass da nichts hinterlassen wurde. Und dann neu aufsetzen, und alle anderen Rechner auch checken. Das war bestimmt nicht alles!
Gruss und viel Erfolg
Christoph

[gloob]

Das ihr immer alle von einem großen Hack ausgeht und "kriminellen" Absichten.

Da hat jemand erfahren, dass man über Shodan.io nach offenen "Netzen" suchen kann und sich dann nur einen sehr üblen Scherz mit "FHEM" erlaubt.

[CoolTux]

Das ihr immer alle von einem großen Hack ausgeht und "kriminellen" Absichten.

Da hat jemand erfahren, dass man über Shodan.io nach offenen "Netzen" suchen kann und sich dann nur einen sehr üblen Scherz mit "FHEM" erlaubt.

Und das weißt Du ganz genau weil?
Du Dir das System angeschaut hast
Du derjenige warst der das verbockt hat
Heute zwei Säcke Reis in China umgefallen sind

Bitte richtiges ankreuzen.

So lange es keinen gibt der mit seiner Verantwortung dafür Garantiert das das System komplett sauber ist und bei weiteren Schäden die Kosten trägt, sollte man immer davon ausgehen das derjenige der drauf war auch mehr kann als FHEM zu verbiegen. Hier geht es nicht darum das beste an zu nehmen sondern vom schlimmsten aus zu gehen. Es geht hier nicht nur um denjenigen der gehackt wurde sondern um alle die mit ihm im Internet hängen. Er selber ist mir egal.

Oder möchtest Du gerne die Kosten übernehmen wenn eine Firma kommt und nachweisen kann das sie von diesem Rechner angegriffen wurde? Im einfachsten Fall mit DoS

[Frank_Huber]

Ja, Shodan ist die Tage wieder in aller Munde.

Ein Neuaufsetzen ist immer besser in so einem Fall.
ob es tatsächlich notwendig ist? das kann keiner beantworten.

vielleicht hat der betroffene ja auch ein SD Karten Backup, dann wäre das schnell erledigt.

wenn kein Backup da ist würde ich auf jeden Fall erstmal versuchen die cfg zu sichern.

[viegener]

Wenn jemand ein FHEM-System ohne Passwort im Internet verfügbar macht, gehacked wird und dann vielleicht auch kein Backup gemacht hat, würde ich zu einem anderen System raten. Vielleicht am besten eines mit mechanischen Schaltern und ohne Computer 

Mir kann ja egal sein wer sich selbst in Gefahr bringt, aber es gefährdet eben auch andere!

[herrmannj]

... Ich muß gestehen, FHEM hat keinen Passwortschutz ...

Dann ist es falsch (und schädlich) hier von "gehackt" zu sprechen. Wenn Du Deine Geldbörse Abends an eine Hauptstraße, unter eine Laterne, legst -  dann ist die am vmtl. Morgen weg. Da spricht auch keiner von gestohlen - da spricht man von fahrlässig !

[Wernieman]

Das zeigt mal wieder, wie grob fahrlässig viele im Umgang mit Rechnern sind.

Mann sollte sich Grundsätzlich, auch bei fertigen Systemen, überlegen wie es mit der Sicherheit aussieht.

Nur mal zur Verdeutlichung:
Hatte vor 2 Wochen ein Server bei hetzner neu bekommen. Nach !10! Minuten kamen die ersten Angriffsversuche über ssh ... während der Installation des Webprojektes wurden wir parallel immer wieder abgescannt ... und das passiert mittlerweile auch bei Internetanschlüssen (bzw: Wir hatten gewettet, ich habe verloren, da ich 5 Mi uten angegeben hatte)

Für den Threadersteller:
Ich würde auch eine Neuinstallation anraten + Zusätzlicher Securityabsicherung. Da FHEM relativ einfach umgezogen werden kann, macht man es sich dadurch einfacher. Sonst denkt man bei zukünftigen Probleme immer, ob es nicht am Hack lag ... (Abgesehen davon, das jemand auf dem System und damit im Privaten Netz sein könnte)

Edit
Rechtschreibfehler beseitigt ...

[CoolTux]

Ich möchte noch einmal betonen das niemand hier vor hat auf Dich rum zu hacken, auch wenn einige (auch meine) Texte den Eindruck erwecken. Mit diesen Texten wollen wir nur Nachdruck verleihen das Du einen riesen Fehler gemacht hast.
Kommt vor, passiert und ist abgeschlossen.

Jetzt bist Du hier und hast um Hilfe gebeten. Und genau diese Hilfe geben wir Dir mit unseren Texten.
Bitte sei so fair und höre auf uns. Niemand kann garantieren das mit Deinem System nicht mehr passiert ist. Glaube mir, die Arbeit das System frisch auf zu setzen ist bei weitem geringer zu bewerten wie ein eventuell auf Dich zukommender Schaden/Schadensanspruch wenn Du trotz allem "nur" Dein FHEM jetzt abdichtest.

Gerne sind die meisten hier bereit Dir zu helfen. Allerdings solltest Du wirklich als aller erstes einmal den Stecker vom Pi ziehen. Bitte



Grüße

[rudolfkoenig]

Für den Threadersteller:
Ich würde auch eine Neuinstallation anraten + Zusätzlicher Securityabsicherung.

Und bitte ein FHEM-update durchfuehren (d.h. update im FHEM-Fenster eintippen). Nach einem update verweigert FHEM den passwortlosen Zugriff, wenn die Anfrage von einer IP-Adresse aus dem grossen Internet kommt. Anfragen ohne Passwort sind aus dem lokalen Netz weiterhin moeglich. Diese Pruefung ist nach der Neuinstallation noch nicht enthalten (da relativ neu), erst nach dem FHEM-update.