Hauptmenü

hacker angriff?

Begonnen von fini, 08 März 2018, 10:09:32

Vorheriges Thema - Nächstes Thema

fini

ist das ein hacker angriff?
ip ist aus china


2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4509
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4527
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4545
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4558
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4575
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4596
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4603
2018.03.08 09:28:59 3: Login denied by allowed_telnetPort for admin via WEB_115.231.218.136_4620
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4644
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4652
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4670
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4689
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4725
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4743
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4762
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for tomcat via WEB_115.231.218.136_4782
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_4816
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_4826
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_4902
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_4926
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_4937
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_4984
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_1052
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for root via WEB_115.231.218.136_1072
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1110
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1134
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1173
2018.03.08 09:29:00 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1188
2018.03.08 09:29:01 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1214
2018.03.08 09:29:01 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1263
2018.03.08 09:29:01 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1238
2018.03.08 09:29:01 3: Login denied by allowed_telnetPort for manager via WEB_115.231.218.136_1292


fini

CoolTux

Sieht so aus.

Ist denn Deine FHEM Installation über das Internet erreichbar? Wenn ja sofort abschalten die Erreichbarkeit über das Internet.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

mahowi

Der Angriff kommt auf jeden Fall aus China. (siehe Screenshots)

CUBe (MAX): HT, FK | CUBe (SlowRF): ESA2000WZ
JeeLink: LaCrosse | nanoCUL433: Smartwares SHS-51001-EU, EM1000GZ
ZME_UZB1: GreenWave PowerNode, Popp Thermostat | SIGNALDuino: HE877, X10 MS14A, Revolt NC-5462,  IT Steckdosen + PIR
tado° | Milight | HUE, Lightify | SmarterCoffee

fini

ja, habe ja auch die ip geprüft und festgestellt das dies aus china ist.
ja, mein fhem ist über internet erreichbar.
aber es ist ja beim versuch geblieben, fhem zu hacken.
muss ich mein server jetzt unbedingt vom internet trennen?

mahowi

Zumindest würde ich den Telnet-Port zumachen.
CUBe (MAX): HT, FK | CUBe (SlowRF): ESA2000WZ
JeeLink: LaCrosse | nanoCUL433: Smartwares SHS-51001-EU, EM1000GZ
ZME_UZB1: GreenWave PowerNode, Popp Thermostat | SIGNALDuino: HE877, X10 MS14A, Revolt NC-5462,  IT Steckdosen + PIR
tado° | Milight | HUE, Lightify | SmarterCoffee

JudgeDredd

Zitatmuss ich mein server jetzt unbedingt vom internet trennen?
Was genau meinst Du denn damit ?

So wie das für mich aussieht und sich hinter dem Device "allowed_telnetPort" tatsächlich TCP23 verbirgt, dann ist das der ganz normale Wahnsinn.
Bei SSH (TCP22) und Telnet (TCP23) werden auf den Standardports ständig irgendwelche IP's gescannt.
Kein verantwortungsvoller Admin stellt ja auch die beiden Dienste in die DMZ und schon gar nicht auf den Standardports.

Falls Du den Zugriff auf Telnet unbedingt brauchst, dann wohl über VPN.

Den HTTPS Dienst kannst Du lassen wenn Du gerne mal nachschaust was zu Hause so los ist.
Router: Eigenbau (pfSense)
FHEM: Proxmox (DELL R720) | Debian 12 (VM)

NewRasPi

Hallo FHEM Interessierte
glaube ich mich in einer falschen Sicherheit, wenn auf der Fritzbox unter Portfreigaben "Keine Portfreigabe vorhanden" steht?
Meine Sorge geht dahin, das AVM in die Fritzbox ja eine "Hintertür" (zusätzliche IP-Adresse) zum erreichen, wenn mal was schief läuft, einbaut/ eingebaut hat. (habe ich im Internet mal gefunden)
Wie "zuverlässig" ist also diese Angabe, wenn man ansonsten nur per VPN Zugriff eingerichtet hat.
Schöne Grüße
Raspberry Pi 2 Mod B + Raspberry Pi 3 + Raspberry Pi4; HM Lan Adapter; 8 Kanal Relaiskarte; ca. 15x 1wire Temperatur Sensor DS18B20; 10x HC-SR501 Bewegungsmelder; 9x HM Rauchmelder HM-Sec-SD; HM Funk Fenstersensoren; HM Strommess-Zwischenstecker;

CoolTux

Das Device heist nur allowed_telnet. Es wurde aber die FHEMWEB Instanz WEB versucht auf zu rufen.



Und JAJAJAJAJAJA trenne sofort Dein FHEM vom Internet und versuche eine bessere Lösung zu finden. VPN oder wenigstens Reverse Proxy. Was denkst Du denn wie lange FHEM solchen versuchen Stand hält. Wenn Du Glück hast sind es nur Script Kiddies. Aber wehe da hat jemand Ahnung.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

CoolTux

Zitat von: NewRasPi am 08 März 2018, 10:43:24
Hallo FHEM Interessierte
glaube ich mich in einer falschen Sicherheit, wenn auf der Fritzbox unter Portfreigaben "Keine Portfreigabe vorhanden" steht?
Meine Sorge geht dahin, das AVM in die Fritzbox ja eine "Hintertür" (zusätzliche IP-Adresse) zum erreichen, wenn mal was schief läuft, einbaut/ eingebaut hat. (habe ich im Internet mal gefunden)
Wie "zuverlässig" ist also diese Angabe, wenn man ansonsten nur per VPN Zugriff eingerichtet hat.
Schöne Grüße

Wenn unter Portfreigaben keine Einträge sind sollte man davon ausgehen können das auch keine Weiterleitung eines Ports geschieht. Hier kann man also mit hoher Wahrscheinlichkeit sagen Du bist sicher. VPN ist eine sehr vernünftige Entscheidung.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

fini

ich habe erst mal fail2ban eingerichtet.

helmut

Das ist als Sofortmassnahme auch eine gute Idee. Eine aehnliche Diskussion hatten wir hier schon einmal:

https://forum.fhem.de/index.php/topic,81144.msg736400.html#msg736400

Gruss Helmut
Intelligenz ist die Fähigkeit, Arbeit zu vermeiden, aber dafür zu sorgen, daß die Arbeit gemacht wird.
(Linus Torvalds)

betateilchen

Zitatglaube ich mich in einer falschen Sicherheit, wenn auf der Fritzbox

Fritzkotz und Sicherheit schließen sich ohnehin grundsätzlich gegenseitig aus.
-----------------------
Formuliere die Aufgabe möglichst einfach und
setze die Lösung richtig um - dann wird es auch funktionieren.
-----------------------
Lesen gefährdet die Unwissenheit!