Werde ich gehackt?

[pillepalle12]

Hallo zusammen,

in letzter Zeit finde ich öfter diese Einträge in meinem Log

Code Auswählen Erweitern

WEB_35.198.143.132_40697
2018.09.05 12:26:09 3: Login denied by allowed_WEB for MGR via WEB_35.198.143.132_40697
2018.09.05 12:26:09 3: Login denied by allowed_WEB for MAIL via WEB_35.198.143.132_40697
2018.09.05 12:26:09 3: Login denied by allowed_WEB for storwatch via WEB_35.198.143.132_40697
2018.09.05 12:26:09 3: Login denied by allowed_WEB for admin via WEB_35.198.143.132_40697
2018.09.05 12:26:09 3: Login denied by allowed_WEB for user via WEB_35.198.143.132_40697
2018.09.05 12:26:09 3: Login denied by allowed_WEB for MGR via WEB_35.198.143.132_40697
2018.09.05 12:26:09 3: Login denied by allowed_WEB for at4400 via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for FIELD via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for root via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for HELLO via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for mtch via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for User via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for device via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for cisco via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for Administrator via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for MANAGER via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for MAIL via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for admin via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for patrol via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for MAIL via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for admin via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for admin via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for dhs3pms via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for root via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for login via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for PFCUser via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for Administrator via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for davox via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for debug via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for MANAGER via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for FIELD via WEB_35.198.143.132_40697
2018.09.05 12:26:10 3: Login denied by allowed_WEB for sa via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for Cisco via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for root via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for guest via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for MGR via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for MANAGER via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for volition via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for administrator via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for FIELD via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for public via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for cmaker via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for OPERATOR via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for OPERATOR via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for admin via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for SYSDBA via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for PBX via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for apc via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for acc via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for root via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for tech via WEB_35.198.143.132_40697
2018.09.05 12:26:11 3: Login denied by allowed_WEB for root via WEB_35.198.143.132_40697

Sieht aus wie ein Versuch bei mir und system zu kommen. Woran kann das liegen? Wie kommt jemand darauf?

Für Tipps bin ich dankbar.

[r00t2]

Ja, sieht so aus, dass da jemand mal alle möglichen Passwort/Login Kombinationen "abklappert".

Schau mal hier: https://forum.fhem.de/index.php/topic,89645.0.html

Warum ist Deine FHEM Weboberfläche überhaupt ungeschützt von außen aus dem Internet erreichbar?

Code Auswählen Erweitern

NetRange 35.192.0.0 - 35.207.255.255
CIDR 35.192.0.0/12
NetName GOOGLE-CLOUD
NetHandle NET-35-192-0-0-1
Parent NET35 (NET-35-0-0-0-0)
NetType Direct Allocation
OriginAS:
Organization Google LLC (GOOGL-2)
RegDate 2017-03-21
Updated 2018-01-24
Comment *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Scheinbar nutzt jemand Google Cloud Services (Proxy?), um seine Aktionen durchzuführen.

[pillepalle12]

Mein FHEM ist von außen erreichbar weil ich auch unterwegs oder im Büro drauf zugreifen will. Sonst ist doch der Sinn nicht wirklich erfüllt....?

Oder wie machst du das?

Danke

[CoolTux]

Mein FHEM ist von außen erreichbar weil ich auch unterwegs oder im Büro drauf zugreifen will. Sonst ist doch der Sinn nicht wirklich erfüllt....?

Oder wie machst du das?

Danke

Welchen Sinn soll es denn haben ein SmartHome (Automatisierung) von aussen zu steuern? Es passiert doch alles automatisch.
Und wenn würde ich das mit VPN machen oder Reverse Proxy mit Client Zertifikat.

[Morgennebel]

(*facepalm*)

https://wiki.fhem.de/wiki/VPN-Zugang_f%C3%BCr_FHEM

Ciao, -MN

[t1me2die]

Ich hatte früher auch solche Gäste bei mir, mein FHEM war auch von außen aufrufbar.
Habe nun auch auf VPN umgestellt, dank einiger Tipps ist es auch super easy, lies am besten mal hier: https://forum.fhem.de/index.php/topic,89832.0.html

Gruß
Mathze

[marvin78]

Sonst ist doch der Sinn nicht wirklich erfüllt....?

Der Sinn eines "Smart"home ist ein anderer.

[betateilchen]

Mein FHEM ist von außen erreichbar weil ich auch unterwegs oder im Büro drauf zugreifen will. Sonst ist doch der Sinn nicht wirklich erfüllt....?

Oder wie machst du das?

Mit Popcorn.

[schnitzelbrain]

Mein FHEM ist von außen erreichbar weil ich auch unterwegs oder im Büro drauf zugreifen will. Sonst ist doch der Sinn nicht wirklich erfüllt....?

Oder wie machst du das?

Danke

Mit msgDialog und Telegram. Das Ganze nur für zugelassene User.

Grüße Schnitzelbrain

[Beta-User]

Vielleicht sollte man diesen Thread anpinnen für die Leute, die nicht wissen, wie die SuFu funktioniert?

Irgendwie ist das viele Popcorn alle 3 Monate ungesund .

Inhaltlich gibt es ja wenig neues unter der Sonne, auch wenn wir dahingehend Fortschritte machen, dass wenigstens "allowed" zwischenzeitlich einigermaßen verbreitet zu sein scheint...

[betateilchen]

Mit msgDialog und Telegram. Das Ganze nur für zugelassene User.

per email und OTP aus einem Google Authenticator

[connormcl]

Mein FHEM ist von außen erreichbar weil ich auch unterwegs oder im Büro drauf zugreifen will. Sonst ist doch der Sinn nicht wirklich erfüllt....?

Oder wie machst du das?

Danke

Erreichbar und "sicher erreichbar nur für Dich und nicht jeden auf der Welt" sind zwei paar Stiefel. Dein FHEM hängt direkt erreichbar im Internet und hat wohl keinerlei Sicherheitsmaßnahmen. Am Ende noch unverschlüsselte Kommunikation, so dass jeder, der das Passwort mitliest sich einloggen kann...
Am Ende loggt sich der Angreifer in FHEM ein, bricht daraus aus und übernimmt deine gesamte Haus-IT!

Es gibt eine Vielzahl an Maßnahmen, wie man das sicher umsetzen kann. Wenn man überhaupt keine Ahnung und Fähigkeiten hat, geht man wohl am ehesten über eine Fritzbox, die einem ein VPN aufbauen kann. Ansonsten setzt man sich selbst ein VPN oder vergleichbares auf.

Ich persönlich habe auf den Overhead keine Lust und benutze ein verschlüsseltes Port-Forwarding über SSH an einen vServer im Internet, von dem ich dann wiederum per Port-Forwarding SSH die Verbindung an mein Handy usw. share. Damit habe ich die Dual Stack Lite Probleme von Unitymedia abgefrühstückt und kann sowohl per IPv4 als auch IPv6 Verbindungen aufbauen.

Ohne Einarbeitung und von jetzt auf gleich wird das alles aber nichts. Das muss zum persönlichen Setup passen und alle Anwendungszenarien wollen durchdacht und abgedeckt sein...

[pillepalle12]

Vielen Dank für die vielen Hinweise. Ich werde mich tiefer in die Materie einarbeiten und mein fhem sicherer machen.

Danke

[r00t2]

Vielleicht solltest Du als allererstes tatsächlich mal den Zugang von außen abschalten.

Denn wie @CoolTux schon gesagt hat: Warum sollte man es überhaupt ermöglichen, wenn doch eh alles automatisch läuft?

Wenn Du eine sichere Lösung gefunden hast (es wurden ja hier einige genannt), dann kannst Du den Zugriff ja wieder ermöglichen.

Zu Deiner Frage wie ich es mache: Per Mail mit verschlüsselten Nachrichten (ähnlich OTP) und einem eingeschränkten Nutzerkreis und Funktionsumfang (Nicht jeder Mail-Versender kann nicht alle FHEM Funktionen per Mail steuern).

[accessburn]

Frage zum Abschalten, wie schaltet man denn zuverlässig und mit leichten mitteln den Zugang FHEM-Seitig ab ohne jetzt tausend Sachen umzustellen?

Kann man da evtl. einen Dummy dazu setzen?