Hackerangriff auf fhem?

Frank_Huber · 25 Juli 2018, 15:03:17

Zitat von: Mitch am 25 Juli 2018, 15:00:08
Deswegen habe ich bei mir einen Geofilter laufen, der "solche" Länder gar nicht erst durch die FW lässt.

Na dafür bekommst überall auf der Welt Geo-located IPs...
böse Jungs in "solchen" Ländern bsorgen sich einfach ne deutsche IP.

Mitch · 25 Juli 2018, 15:08:04

schon klar, ist ja auch nicht der einzigste Filter

Christoph Morrison · 25 Juli 2018, 15:26:40

Zitat von: hugo.crank am 25 Juli 2018, 14:26:15
Auch wenn ich jetzt für Wahnsinnig erklärt werde:

Würde mich auch interessieren: Warum kein VPN?

Frank_Huber · 26 Juli 2018, 07:27:33

Zitat von: hugo.crank am 26 Juli 2018, 06:58:21
Was habe ich getan:
1. Filter in der Firewall von Windows definiert zum Blocken der IP-Kreise --> reicht völlig aus um den gröbstens Müll abzuhalten
2. Portscan´s werden in Fhem eingehend erkannt durch unsupported HTTP wenn er über die Fhemports rutscht.
Code Auswählen Erweitern
define portscan notify portscan:.*unsupported.HTTP.method.* {fhem("set XXXXXX message ðŸš¨ðŸš¨ðŸš¨ ANGRIFF Scan aus dem Internet an der Haussteuerung! ðŸš¨ðŸš¨ðŸš¨ ;; setreading portscan event 1 ;; define portscan_message_off at +00:00:15 set portscan inactive ;; define portscan_message_on at +00:10:00 set portscan active")}
3. Loginerrors erkennen:
Code Auswählen Erweitern
define loginerror notify loginerror:.*Login.denied.by.* {fhem("set XXXXXXXX message Fehlgeschlagener LOGIN Haussteuerung!;; setreading loginerror event 1 ;; define loginerror_message_off at +00:00:15 set loginerror inactive ;; define loginerror_message_on at +01:00:00 set loginerror active")}
4. Zähler Loginerrors:
Code Auswählen Erweitern
define loginerror_zaehler DOIF ([loginerror:event] > 0) { fhem("set loginerror.Versuche " . (ReadingsNum("loginerror.Versuche","state",0)+1)) } { fhem("setreading loginerror event 0")} { fhem("set loginerror.Versuche_Tag " . (ReadingsNum("loginerror.Versuche_Tag","state",0)+1)) } { fhem("set loginerror.Versuche_Gesamt " . (ReadingsNum("loginerror.Versuche_Gesamt","state",0)+1)) } { fhem("define login_zaehler_refresh at +00:00:01 set loginerror_zaehler initialize")}
5. Reconnect Internetleitung:
Code Auswählen Erweitern
define loginerror_FRITZBOX_reconnect DOIF ([loginerror.Versuche:state] > 3) (set XXXXXX message kurze Trennung Internetverbindung ;; get FRITZ tr064Command WANIPConnection:1 wanipconnection1 ForceTermination ;; setreading loginerror.Versuche state 0)

Ich hoffe ich hab jetzt alles richtig zuzsammen geschrieben.
Warum kein VPN? Wenn ich jetzt meine Argumente vorbringe wird nur versucht sie zu entkräften. Warum werden CRM-Systeme mit direktem Webzugriff ins Internet bei großen Unternehmen gesetzt? Wozu werden Onlineshops ohne VPN realisiert?

Danke! Nur worauf reagieren portscan und loginerror?
Der notify hört ja auf sich selbst?

Gesendet von meinem Doogee S60 mit Tapatalk

CoolTux · 26 Juli 2018, 07:33:18

Zitat von: hugo.crank am 26 Juli 2018, 06:58:21
Was habe ich getan:
1. Filter in der Firewall von Windows definiert zum Blocken der IP-Kreise --> reicht völlig aus um den gröbstens Müll abzuhalten
2. Portscan´s werden in Fhem eingehend erkannt durch unsupported HTTP wenn er über die Fhemports rutscht.
Code Auswählen Erweitern
define portscan notify portscan:.*unsupported.HTTP.method.* {fhem("set XXXXXX message ðŸš¨ðŸš¨ðŸš¨ ANGRIFF Scan aus dem Internet an der Haussteuerung! ðŸš¨ðŸš¨ðŸš¨ ;; setreading portscan event 1 ;; define portscan_message_off at +00:00:15 set portscan inactive ;; define portscan_message_on at +00:10:00 set portscan active")}
3. Loginerrors erkennen:
Code Auswählen Erweitern
define loginerror notify loginerror:.*Login.denied.by.* {fhem("set XXXXXXXX message Fehlgeschlagener LOGIN Haussteuerung!;; setreading loginerror event 1 ;; define loginerror_message_off at +00:00:15 set loginerror inactive ;; define loginerror_message_on at +01:00:00 set loginerror active")}
4. Zähler Loginerrors:
Code Auswählen Erweitern
define loginerror_zaehler DOIF ([loginerror:event] > 0) { fhem("set loginerror.Versuche " . (ReadingsNum("loginerror.Versuche","state",0)+1)) } { fhem("setreading loginerror event 0")} { fhem("set loginerror.Versuche_Tag " . (ReadingsNum("loginerror.Versuche_Tag","state",0)+1)) } { fhem("set loginerror.Versuche_Gesamt " . (ReadingsNum("loginerror.Versuche_Gesamt","state",0)+1)) } { fhem("define login_zaehler_refresh at +00:00:01 set loginerror_zaehler initialize")}
5. Reconnect Internetleitung:
Code Auswählen Erweitern
define loginerror_FRITZBOX_reconnect DOIF ([loginerror.Versuche:state] > 3) (set XXXXXX message kurze Trennung Internetverbindung ;; get FRITZ tr064Command WANIPConnection:1 wanipconnection1 ForceTermination ;; setreading loginerror.Versuche state 0)

Ich hoffe ich hab jetzt alles richtig zuzsammen geschrieben.
Warum kein VPN? Wenn ich jetzt meine Argumente vorbringe wird nur versucht sie zu entkräften. Warum werden CRM-Systeme mit direktem Webzugriff ins Internet bei großen Unternehmen gesetzt? Wozu werden Onlineshops ohne VPN realisiert?

Hast Du Deine Abenteuerliche Konfiguration mal getestet?

CBSnake · 26 Juli 2018, 07:43:30

Zitat von: hugo.crank am 26 Juli 2018, 06:58:21
Was habe ich getan:
1. Filter in der Firewall von Windows definiert zum Blocken der IP-Kreise --> reicht völlig aus um den gröbstens Müll abzuhalten
2. Portscan´s werden in Fhem eingehend erkannt durch unsupported HTTP wenn er über die Fhemports rutscht.
Code Auswählen Erweitern
define portscan notify portscan:.*unsupported.HTTP.method.* {fhem("set XXXXXX message ðŸš¨ðŸš¨ðŸš¨ ANGRIFF Scan aus dem Internet an der Haussteuerung! ðŸš¨ðŸš¨ðŸš¨ ;; setreading portscan event 1 ;; define portscan_message_off at +00:00:15 set portscan inactive ;; define portscan_message_on at +00:10:00 set portscan active")}
3. Loginerrors erkennen:
Code Auswählen Erweitern
define loginerror notify loginerror:.*Login.denied.by.* {fhem("set XXXXXXXX message Fehlgeschlagener LOGIN Haussteuerung!;; setreading loginerror event 1 ;; define loginerror_message_off at +00:00:15 set loginerror inactive ;; define loginerror_message_on at +01:00:00 set loginerror active")}
4. Zähler Loginerrors:
Code Auswählen Erweitern
define loginerror_zaehler DOIF ([loginerror:event] > 0) { fhem("set loginerror.Versuche " . (ReadingsNum("loginerror.Versuche","state",0)+1)) } { fhem("setreading loginerror event 0")} { fhem("set loginerror.Versuche_Tag " . (ReadingsNum("loginerror.Versuche_Tag","state",0)+1)) } { fhem("set loginerror.Versuche_Gesamt " . (ReadingsNum("loginerror.Versuche_Gesamt","state",0)+1)) } { fhem("define login_zaehler_refresh at +00:00:01 set loginerror_zaehler initialize")}
5. Reconnect Internetleitung:
Code Auswählen Erweitern
define loginerror_FRITZBOX_reconnect DOIF ([loginerror.Versuche:state] > 3) (set XXXXXX message kurze Trennung Internetverbindung ;; get FRITZ tr064Command WANIPConnection:1 wanipconnection1 ForceTermination ;; setreading loginerror.Versuche state 0)

Ich hoffe ich hab jetzt alles richtig zuzsammen geschrieben.
Warum kein VPN? Wenn ich jetzt meine Argumente vorbringe wird nur versucht sie zu entkräften. Warum werden CRM-Systeme mit direktem Webzugriff ins Internet bei großen Unternehmen gesetzt? Wozu werden Onlineshops ohne VPN realisiert?

Hi,

super Ansatz, Portscan und Loginerror hab ich gleich mal ausprobiert und getestet. Geht bei mir beides nicht. Habs dann mal mit eigenem Code versucht auch nicht, dann wollte ich über den Eventmanger ein DOIF erstellen lassen um Fehler vor dem Monitor auszuschließen, der nimmt den Loginversuch nicht mal als Event an. Daher gehen vermutlich deine Notify als auch meine eigenen Versuch nicht hmmm
Muss ich das noch irgendwo umstellen?

Grüße
Achim

CoolTux · 26 Juli 2018, 07:52:29

Zitat von: hugo.crank am 26 Juli 2018, 07:41:52
Auf die entsprechenden Events im Readlog reagiert das Abenteuer. und Zählt zudem Counter hoch. Seit Start hatte ich 90 Portscans in 6 Monaten und KEINEN Loginversuch mehr welcher Fehlgeschlagen ist. Ein Kollege der es auch einsetzt hat mal ohne Filter getestet: es kamen ca. 600 Portscan´s bei Ihm an im Kabel Deutschland Netz im Telekomnetz zumindest in meinem IP-Bereich aus dem ich IP´s erhalte sind es max. 20 Scan´s am Tag. Allerdings merkt man das es "Saisons" gibt für vermehrte Scan´s oder Botnetzaktivitäten welche sich ähnlich verhalten.

Deine Angaben scheinen aber nicht komplett zu sein. So wie Du es beschrieben hast geht es nicht. Irgendwas fehlt. Was machen die at's

CBSnake · 26 Juli 2018, 07:59:05

hmm,

update von was? FHEM ist aktuell. Logversuche seh ich im Log aber weder mein Doif, noch dein Notify springt an

Code Auswählen

2018.07.26 07:58:04.766 3: Login denied by allowedxxx for bla via xx_xx.249.xx.140_61369

nachtrag: habs: attr readlog im notify aktivieren

CBSnake · 26 Juli 2018, 08:07:46

Zitat von: CoolTux am 26 Juli 2018, 07:52:29
Deine Angaben scheinen aber nicht komplett zu sein. So wie Du es beschrieben hast geht es nicht. Irgendwas fehlt. Was machen die at's

die at´s deaktivieren das modul und aktivieren es dann wieder. So lese ich das zumindest, würde bei 7 logins die sekunde auch sinn machen

CoolTux · 26 Juli 2018, 08:11:42

Zitat von: CBSnake am 26 Juli 2018, 07:59:05

nachtrag: habs: attr readlog im notify aktivieren

Das war dann wohl das entscheidende. Ohne diese Info geht das alles nämlich gar nicht.

CBSnake · 26 Juli 2018, 08:21:53

hmm,

hier: https://forum.fhem.de/index.php/topic,85071.0.html

schreibst du aber, dass create per Eventmonitor nicht geht, wie bei mir ja auch, dann kommt der Tip der auch das readlog beinhaltet von nils und dann gehts

Naja ist ja wurst, klasse Idee, funktioniert zumindest das login notify, bei mir noch ohne die at

das Portscan notify teste ich gerade bekomme aber kein unsupported.HTTP.method ausgelöst, von extern scannen geht garnicht

und aus dem Netz scannen (fing app) bringt er nur nen SSL Fehler

mark79 · 26 Juli 2018, 09:03:17

Das ist ganz normal wenn man den Port nach außen hin offen hat.
Es gibt Tools die scannen IP Bereiche nach offenen Ports und probieren dann Standart Logins aus (von Routern, NAS, Kameras und was es sonst noch so gibt).
Wer die nicht geändert hat, hat dann ein Problem.

Ich würde auf ein VPN setzen, oder zumindest auf fail2ban.
Letzteres blockiert die IP Adresse nach x misslungenen login versuchen, für eine bestimmte Zeit.

fiedel · 26 Juli 2018, 09:36:06

Hatte auch lange diese Loginversuche, als mein FHEM nur mit Passwortschutz im Netz war.
Leider geht VPN auf eingeschränkten Firmenrechnern oft nicht. Also habe ich jetzt NGINX
mit fail2ban. Am Anfang dieser Einrichtung hatte fail2ban noch einiges zu tun, jetzt aber schon
lange nichts mehr. Scheinbar erkennen viele dieser Auto- Login- Scanner fail2ban und
meiden dann den Server. Wiedererkennen können sie ihn ggf. am Begrüßungstext - die
IP ändert sich ja täglich.

CBSnake · 26 Juli 2018, 11:23:51

Schlussendlich ist ein nach außen offenes FHEM in manchen Dingen Bequem

z.B.

das Handy meldet schon 5km vorher, dass man heimkommt.
Google Home, Alexa etc gehen so auch am einfachsten bzw auch nur so.
FTUI soll für den WAF eben auch extern gehen (ich stell mal die Heizung hoch)

Ich such auch schon länger nach einer Lösung keine Ports mehr öffnen zu müssen, scheitert z.B. an obigen Dingen.
Vieles kann ich aktuell schon im Dialog über Telegram Bot einstellen, ist halt nicht so schick wie mit der FTUI.

Ich hab das notify jetzt mal aktiv, mal sehen was sich da überhaupt tut. Ich lese als Morgenlektüre immer das Logfile vom Vortag quer, bisher hab ich da keine x Login versuche gesehen

Grüße
Achim

r00t2 · 26 Juli 2018, 11:31:20

Zitat von: CBSnake am 26 Juli 2018, 11:23:51
Schlussendlich ist ein nach außen offenes FHEM in manchen Dingen Bequem z.B.
...
Ich such auch schon länger nach einer Lösung keine Ports mehr öffnen zu müssen, scheitert z.B. an obigen Dingen. ...

Könnte hier nicht MQTT eine Lösung sein?

Sprich: Die lokale FHEM Instanz subscribed/published auf einem im Internet verfügbaren MQTT Server und kann dann darüber Aktionen ausführen oder Readings zur Verfügung stellen.

Bliebe nur noch die Frage, welcher Anbieter einen sicheren MQTT Server im Netz zur Verfügung stellen kann. Ich finde, da schaut Sensetecnic (https://fred.sensetecnic.com/pricing) ganz interessant aus - vor allem, weil sie auch Node Red anbieten, was durch die Dashboards auch eine einfach zu handhabende GUI bietet.