NEWS
Steht offen im Internet ???
-
@haselchen Hallo Leute,
ich muss dieses doch sehr alte Thema noch einmal aufgreifen, weil mir heute, etwas mehr als 2 Jahre später das Gleiche passiert ist:
Im IOB wurden zwei Skripte angelegt. Das eine hat mir Ständig Telegramm Nachrichten geschickt, das andere hat auf ALLEN meinen Alexas eine Sprachausgabe getätigt, mit dem Hinweis, das mein IOB offen im Netz sei. Dazu waren alle Instanzen gestoppt bis auf Alexa und Telegramm.
Soweit vielleicht wirklich nur ein freundlicher Hinweis, auch wenn zuhause leichte Panik ausbrach als alle Alexas gelabert haben. Das sind einige bei den Kindern, Spielzimmer, Wohnzimmer, Bad, Küche, Terrasse :D.
Jedenfalls hat der "Angreifer" leider nicht gesagt, wie er auf den IOB gekommen ist und ich finde die Lücke auch nicht.
Ich habe einen Sever mit Win11. Die neuesten Updates waren nicht installiert weil der nicht alleine neu starten darf. Updates vielleicht 3 Montage alt.
Fritzbox 7590 Port Portweiterleitung an den Server 8086 für Apache PHP Server (Stellt nur eine Webseite für das öffnen eines Garagentors bereit) und eine Weiterleitung an einen Minecraft Server TCP und UDP irgendwo im 2xxxxx Bereich.Wenn ich von außen auf den IOB möchte kann ich einen VPN Tunnel zur Fritzbox aufbauen, aber wenn das jemand getan hätte, würde es in den Logs der Fritzbox stehen.
Außerdem käme man auf den Server über Teamviewer drauf.
Wenn jemand den VPN oder Teamviewer angegriffen hätte, dann hätte er vorher nicht ahnen können, dass sich dahinter ein IOB verbirgt. Warum hätte er dort eindringen sollen nur um im IOB den Hinweis zu geben. Da hätte man auf eine wesentlich größere Lücke aufmerksam machen müssen.
Das Gleiche gilt für das WLAN im Haus. Ich wohne in einem Dorf weit weg von Großstädten. Warum sollte jemand mein WLAN angreifen um dort nach IOB zu suchen und dann den Hinweis zu geben. Außerdem stünde es dann ja nicht offen im Netz.In diesem Thread wurde über offene Ports durch myFritz diskutiert. Aber ich habe dort das neueste Update drauf und ein offener Port an der FB wird ja nicht auf den Server durchgereicht auf dem IOB ist. Das kann also meiner Meinung nach nicht sein.
Kann man über die Portweiterleitung von 8068 auf den Port 8082 des Servers zugreifen, auf dem der IOB Admin läuft? Das sollte doch eigentlich nicht Möglich sein.
Die andere Möglichkeit wäre dann ja nur, dass auf dem Server etwas läuft, was so wie Teamviewer oder Hamachi sich bei einem Dienst Meldet, dort den IOB Admin Freigibt und dann jemand über diesen Dienst auf mein IOB Server kam. Dazu habe ich allerdings auch keine Hinweise finden können.
Ich habe auch selbst versucht über meine Öffentliche IP von außen auf den IOB Admin zuzugreifen. Das habe ich selbst nicht hinbekommen.
Als letztes bliebe noch, dass irgendein Scherzkeks in seinem Adapter einprogrammiert hat, dass das die besagten Skripte zu einem bestimmten Zeitpunkt erstellt werden. Das würde das letzte Auftreten, ebenfalls im September aber vor 2 Jahren eventuell erklären.
@undeat sagte in Steht offen im Internet ???:
Fritzbox 7590 Port Portweiterleitung an den Server 8086 für Apache PHP Server
Du hast die Tür aufgemacht!
Wie der Angreifer dann auf den ioBroker kommt, weiß nur er. Und dieses Wissen wird er ja nicht in die Welt hinausposaunen.
Das können Schwachstellen in Deiner Apache-Version sein, in der verwendeten PHP-Version oder auch Sicherheitslücken in dem dort erreichbaren Script.
Und wenn der Angreifer durch diese Lücke(n) an erweiterte Rechte gekommen ist, kommt er auch ganz schnell tiefer ins System.Portfreigaben in der FB sind ein no-go.
Das hat jemand vor einer Weile mal mit einem Honeypot ausprobiert. Nach 11 Sekunden war der erste Besucher da. -
@haselchen Hallo Leute,
ich muss dieses doch sehr alte Thema noch einmal aufgreifen, weil mir heute, etwas mehr als 2 Jahre später das Gleiche passiert ist:
Im IOB wurden zwei Skripte angelegt. Das eine hat mir Ständig Telegramm Nachrichten geschickt, das andere hat auf ALLEN meinen Alexas eine Sprachausgabe getätigt, mit dem Hinweis, das mein IOB offen im Netz sei. Dazu waren alle Instanzen gestoppt bis auf Alexa und Telegramm.
Soweit vielleicht wirklich nur ein freundlicher Hinweis, auch wenn zuhause leichte Panik ausbrach als alle Alexas gelabert haben. Das sind einige bei den Kindern, Spielzimmer, Wohnzimmer, Bad, Küche, Terrasse :D.
Jedenfalls hat der "Angreifer" leider nicht gesagt, wie er auf den IOB gekommen ist und ich finde die Lücke auch nicht.
Ich habe einen Sever mit Win11. Die neuesten Updates waren nicht installiert weil der nicht alleine neu starten darf. Updates vielleicht 3 Montage alt.
Fritzbox 7590 Port Portweiterleitung an den Server 8086 für Apache PHP Server (Stellt nur eine Webseite für das öffnen eines Garagentors bereit) und eine Weiterleitung an einen Minecraft Server TCP und UDP irgendwo im 2xxxxx Bereich.Wenn ich von außen auf den IOB möchte kann ich einen VPN Tunnel zur Fritzbox aufbauen, aber wenn das jemand getan hätte, würde es in den Logs der Fritzbox stehen.
Außerdem käme man auf den Server über Teamviewer drauf.
Wenn jemand den VPN oder Teamviewer angegriffen hätte, dann hätte er vorher nicht ahnen können, dass sich dahinter ein IOB verbirgt. Warum hätte er dort eindringen sollen nur um im IOB den Hinweis zu geben. Da hätte man auf eine wesentlich größere Lücke aufmerksam machen müssen.
Das Gleiche gilt für das WLAN im Haus. Ich wohne in einem Dorf weit weg von Großstädten. Warum sollte jemand mein WLAN angreifen um dort nach IOB zu suchen und dann den Hinweis zu geben. Außerdem stünde es dann ja nicht offen im Netz.In diesem Thread wurde über offene Ports durch myFritz diskutiert. Aber ich habe dort das neueste Update drauf und ein offener Port an der FB wird ja nicht auf den Server durchgereicht auf dem IOB ist. Das kann also meiner Meinung nach nicht sein.
Kann man über die Portweiterleitung von 8068 auf den Port 8082 des Servers zugreifen, auf dem der IOB Admin läuft? Das sollte doch eigentlich nicht Möglich sein.
Die andere Möglichkeit wäre dann ja nur, dass auf dem Server etwas läuft, was so wie Teamviewer oder Hamachi sich bei einem Dienst Meldet, dort den IOB Admin Freigibt und dann jemand über diesen Dienst auf mein IOB Server kam. Dazu habe ich allerdings auch keine Hinweise finden können.
Ich habe auch selbst versucht über meine Öffentliche IP von außen auf den IOB Admin zuzugreifen. Das habe ich selbst nicht hinbekommen.
Als letztes bliebe noch, dass irgendein Scherzkeks in seinem Adapter einprogrammiert hat, dass das die besagten Skripte zu einem bestimmten Zeitpunkt erstellt werden. Das würde das letzte Auftreten, ebenfalls im September aber vor 2 Jahren eventuell erklären.
-
@haselchen Hallo Leute,
ich muss dieses doch sehr alte Thema noch einmal aufgreifen, weil mir heute, etwas mehr als 2 Jahre später das Gleiche passiert ist:
Im IOB wurden zwei Skripte angelegt. Das eine hat mir Ständig Telegramm Nachrichten geschickt, das andere hat auf ALLEN meinen Alexas eine Sprachausgabe getätigt, mit dem Hinweis, das mein IOB offen im Netz sei. Dazu waren alle Instanzen gestoppt bis auf Alexa und Telegramm.
Soweit vielleicht wirklich nur ein freundlicher Hinweis, auch wenn zuhause leichte Panik ausbrach als alle Alexas gelabert haben. Das sind einige bei den Kindern, Spielzimmer, Wohnzimmer, Bad, Küche, Terrasse :D.
Jedenfalls hat der "Angreifer" leider nicht gesagt, wie er auf den IOB gekommen ist und ich finde die Lücke auch nicht.
Ich habe einen Sever mit Win11. Die neuesten Updates waren nicht installiert weil der nicht alleine neu starten darf. Updates vielleicht 3 Montage alt.
Fritzbox 7590 Port Portweiterleitung an den Server 8086 für Apache PHP Server (Stellt nur eine Webseite für das öffnen eines Garagentors bereit) und eine Weiterleitung an einen Minecraft Server TCP und UDP irgendwo im 2xxxxx Bereich.Wenn ich von außen auf den IOB möchte kann ich einen VPN Tunnel zur Fritzbox aufbauen, aber wenn das jemand getan hätte, würde es in den Logs der Fritzbox stehen.
Außerdem käme man auf den Server über Teamviewer drauf.
Wenn jemand den VPN oder Teamviewer angegriffen hätte, dann hätte er vorher nicht ahnen können, dass sich dahinter ein IOB verbirgt. Warum hätte er dort eindringen sollen nur um im IOB den Hinweis zu geben. Da hätte man auf eine wesentlich größere Lücke aufmerksam machen müssen.
Das Gleiche gilt für das WLAN im Haus. Ich wohne in einem Dorf weit weg von Großstädten. Warum sollte jemand mein WLAN angreifen um dort nach IOB zu suchen und dann den Hinweis zu geben. Außerdem stünde es dann ja nicht offen im Netz.In diesem Thread wurde über offene Ports durch myFritz diskutiert. Aber ich habe dort das neueste Update drauf und ein offener Port an der FB wird ja nicht auf den Server durchgereicht auf dem IOB ist. Das kann also meiner Meinung nach nicht sein.
Kann man über die Portweiterleitung von 8068 auf den Port 8082 des Servers zugreifen, auf dem der IOB Admin läuft? Das sollte doch eigentlich nicht Möglich sein.
Die andere Möglichkeit wäre dann ja nur, dass auf dem Server etwas läuft, was so wie Teamviewer oder Hamachi sich bei einem Dienst Meldet, dort den IOB Admin Freigibt und dann jemand über diesen Dienst auf mein IOB Server kam. Dazu habe ich allerdings auch keine Hinweise finden können.
Ich habe auch selbst versucht über meine Öffentliche IP von außen auf den IOB Admin zuzugreifen. Das habe ich selbst nicht hinbekommen.
Als letztes bliebe noch, dass irgendein Scherzkeks in seinem Adapter einprogrammiert hat, dass das die besagten Skripte zu einem bestimmten Zeitpunkt erstellt werden. Das würde das letzte Auftreten, ebenfalls im September aber vor 2 Jahren eventuell erklären.
Kann ich @Codierknecht zu 200% beipflichten.
In der FB wird keine Portweiterleitung gemacht.
Du hast Dir damit schon selber die Antwort gegeben.
Und sei froh , dass der Angreifer hoffentlich nur eine Nachricht dagelassen hat. -
@undeat Also letzteres würde ich ausschliessen weil Du dann nicht der einzige wärst :-)
Also checke nochmal die Port Weiterleitung und vllt auch IPv6 EInstellungen? Ist da vllt was routebar?
Vielen Dank für die Infos.
Im IPV6 wird auch nichts geroutet. Den Apache Server dazu zu bringen einen anderen Port zu öffnen bzw. einen ganz anderen Webserver auf den Port vom Apache umzuleiten? Keine Ahnung ich bin kein Hacker aber unter "offen im Netz" verstehe ich auch etwas anderes.Aber du müsstest es ja wissen, wenn der iob selbst seinen Zugang irgendwo anmeldet um von außen verfügbar zu sein. Da du darauf nicht eingegangen bist, gehe ich mal davon aus, dass iob so etwas nicht OnBoard hat.
Wenn Portweiterleitung so ein No Go ist, wie soll ich dann meinen Minecraft Server online bringen?
Oder die Webseite um das Garagentor zu öffnen (OK dafür müsste ich mir vielleicht eine andere Lösung überlegen, aber gehen muss es trotzdem) -
Kann ich @Codierknecht zu 200% beipflichten.
In der FB wird keine Portweiterleitung gemacht.
Du hast Dir damit schon selber die Antwort gegeben.
Und sei froh , dass der Angreifer hoffentlich nur eine Nachricht dagelassen hat.@haselchen Also wenn nur der Port 8086 weiter geleitet wird dann kann man trotzdem auf den Port 8082 irgendwie kommen? Auf "Normalem" weg geht das nicht.
-
@haselchen Also wenn nur der Port 8086 weiter geleitet wird dann kann man trotzdem auf den Port 8082 irgendwie kommen? Auf "Normalem" weg geht das nicht.
Wie schon erwähnt wird der Angreifer sein Vorgehen mit Sicherheit nicht preisgeben .
Hier gibt es genug Cracks , die Dir helfen können, alles safe aufzusetzen .
Ich hab ne NAS , paar Switches , Router….
Mit den Ports löse ich intern über die Konstellation. -
@haselchen Also wenn nur der Port 8086 weiter geleitet wird dann kann man trotzdem auf den Port 8082 irgendwie kommen? Auf "Normalem" weg geht das nicht.
@undeat sagte in Steht offen im Internet ???:
Auf "Normalem" weg geht das nicht.
Ein Hacker nutzt ja auch nicht den "normalen Weg" ;-)
-
@undeat sagte in Steht offen im Internet ???:
Auf "Normalem" weg geht das nicht.
Ein Hacker nutzt ja auch nicht den "normalen Weg" ;-)
@codierknecht
Ich habe gerade mal die log vom Apache angeschaut.138.68.77.25 - - [25/Sep/2023:04:41:04 +0200] "CONNECT uplo.ad:443 HTTP/1.1" 302 - "-" "Go-http-client/1.1"
Diesen Eintrag gab es im gesamten Jahr nur einmal gestern Nacht.
Außerdem gab es heute Nach um 3 Uhr Zugriffe auf den Apache, die nicht von mir waren71.6.146.186 - - [26/Sep/2023:02:57:24 +0200] "GET /dashboard/ HTTP/1.1" 200 5186 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
71.6.146.186 - - [26/Sep/2023:02:57:26 +0200] "GET /dashboard/images/favicon.png HTTP/1.1" 200 2508 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.63 Safari/537.36"Zugriffe, die definitiv von mir waren sehen anders aus. Weil die immer nur auf die Rolltor.php gehen.
In dem Log stehen auch noch ältere beunruhigende Einträge. Irgendwann kam man irgendwas mit DB Inhalten zu durchsuchen. Aber den Apache nutze ich zum Glück für sonst nichts. Ich mache den Port mal zu.Vielen Dank für die Unterstützung
Die Seite gibt es, weil ich mein Garagentor, wenn ich mit Auto nach Hause komme auf machen möchte und zwar bevor ich im WLAN bin weil es dauert immer eine Weile bis das Handy tatsächlich im WLAN ist auch wenn es sich in Reichweite befindet. Die Webseite hat einen Button, der ein Post req macht, dass löst dann im PHP Server ein Skript aus, welches im iob einen state auf true setzt. Gibt es hierzu andere Vorschläge?
-
@undeat said in Steht offen im Internet ???:
Gibt es hierzu andere Vorschläge?
VPN on demand (oder dauerhaft?) oder Homekit sofern iOS genutzt wird.
-
@codierknecht
Ich habe gerade mal die log vom Apache angeschaut.138.68.77.25 - - [25/Sep/2023:04:41:04 +0200] "CONNECT uplo.ad:443 HTTP/1.1" 302 - "-" "Go-http-client/1.1"
Diesen Eintrag gab es im gesamten Jahr nur einmal gestern Nacht.
Außerdem gab es heute Nach um 3 Uhr Zugriffe auf den Apache, die nicht von mir waren71.6.146.186 - - [26/Sep/2023:02:57:24 +0200] "GET /dashboard/ HTTP/1.1" 200 5186 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
71.6.146.186 - - [26/Sep/2023:02:57:26 +0200] "GET /dashboard/images/favicon.png HTTP/1.1" 200 2508 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.63 Safari/537.36"Zugriffe, die definitiv von mir waren sehen anders aus. Weil die immer nur auf die Rolltor.php gehen.
In dem Log stehen auch noch ältere beunruhigende Einträge. Irgendwann kam man irgendwas mit DB Inhalten zu durchsuchen. Aber den Apache nutze ich zum Glück für sonst nichts. Ich mache den Port mal zu.Vielen Dank für die Unterstützung
Die Seite gibt es, weil ich mein Garagentor, wenn ich mit Auto nach Hause komme auf machen möchte und zwar bevor ich im WLAN bin weil es dauert immer eine Weile bis das Handy tatsächlich im WLAN ist auch wenn es sich in Reichweite befindet. Die Webseite hat einen Button, der ein Post req macht, dass löst dann im PHP Server ein Skript aus, welches im iob einen state auf true setzt. Gibt es hierzu andere Vorschläge?
@undeat sagte in Steht offen im Internet ???:
Gibt es hierzu andere Vorschläge?
Öffnung per Sprache (Alexa) :blush:
-
@codierknecht
Ich habe gerade mal die log vom Apache angeschaut.138.68.77.25 - - [25/Sep/2023:04:41:04 +0200] "CONNECT uplo.ad:443 HTTP/1.1" 302 - "-" "Go-http-client/1.1"
Diesen Eintrag gab es im gesamten Jahr nur einmal gestern Nacht.
Außerdem gab es heute Nach um 3 Uhr Zugriffe auf den Apache, die nicht von mir waren71.6.146.186 - - [26/Sep/2023:02:57:24 +0200] "GET /dashboard/ HTTP/1.1" 200 5186 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
71.6.146.186 - - [26/Sep/2023:02:57:26 +0200] "GET /dashboard/images/favicon.png HTTP/1.1" 200 2508 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.63 Safari/537.36"Zugriffe, die definitiv von mir waren sehen anders aus. Weil die immer nur auf die Rolltor.php gehen.
In dem Log stehen auch noch ältere beunruhigende Einträge. Irgendwann kam man irgendwas mit DB Inhalten zu durchsuchen. Aber den Apache nutze ich zum Glück für sonst nichts. Ich mache den Port mal zu.Vielen Dank für die Unterstützung
Die Seite gibt es, weil ich mein Garagentor, wenn ich mit Auto nach Hause komme auf machen möchte und zwar bevor ich im WLAN bin weil es dauert immer eine Weile bis das Handy tatsächlich im WLAN ist auch wenn es sich in Reichweite befindet. Die Webseite hat einen Button, der ein Post req macht, dass löst dann im PHP Server ein Skript aus, welches im iob einen state auf true setzt. Gibt es hierzu andere Vorschläge?
@undeat sagte in Steht offen im Internet ???:
Gibt es hierzu andere Vorschläge?
ioBroker-Cloud und 'ne passende Visualisierung?
-
@undeat sagte in Steht offen im Internet ???:
Gibt es hierzu andere Vorschläge?
Öffnung per Sprache (Alexa) :blush:
@samson71 said in Steht offen im Internet ???:
@undeat sagte in Steht offen im Internet ???:
Gibt es hierzu andere Vorschläge?
Öffnung per Sprache (Alexa) :blush:
Das mache ich schon aber der Alexa Dienst auf meiner Galaxy Watch ist nicht immer zu zuverlässigste.
Ansonsten kann ich selbstverständlich wie James Bond meiner Uhr sagen, das die Garage geöffnet werden soll ;) -
@samson71 said in Steht offen im Internet ???:
@undeat sagte in Steht offen im Internet ???:
Gibt es hierzu andere Vorschläge?
Öffnung per Sprache (Alexa) :blush:
Das mache ich schon aber der Alexa Dienst auf meiner Galaxy Watch ist nicht immer zu zuverlässigste.
Ansonsten kann ich selbstverständlich wie James Bond meiner Uhr sagen, das die Garage geöffnet werden soll ;)@undeat sagte in Steht offen im Internet ???:
Ansonsten kann ich selbstverständlich wie James Bond meiner Uhr sagen, das die Garage geöffnet werden soll
dann hast du hoffentlich das passende Auto
-
@undeat sagte in Steht offen im Internet ???:
Das mache ich schon aber der Alexa Dienst auf meiner Galaxy Watch ist nicht immer zu zuverlässigste.
Handy ist ja im Normalfall in der Halterung. Habe zur Aktivierung nen Widget auf dem Screen. Kurze Ansage und Bestätigung (Pling) laufen da zuverlässig.
Ansonsten fällt mir noch Tasker ein. Ich hatte für mein Garagentor vor Sprachöffnung mal nen Widget mit Tasker und dem PlugIn AutoInput gemacht. Da reichte dann antippen und die VPN-Verbindung wurde aufgebaut, das Widget zur Garagentoröffnung angeklickt und die VPN-Verbindung danach wieder abgebaut.
-
@undeat sagte in Steht offen im Internet ???:
Das mache ich schon aber der Alexa Dienst auf meiner Galaxy Watch ist nicht immer zu zuverlässigste.
Handy ist ja im Normalfall in der Halterung. Habe zur Aktivierung nen Widget auf dem Screen. Kurze Ansage und Bestätigung (Pling) laufen da zuverlässig.
Ansonsten fällt mir noch Tasker ein. Ich hatte für mein Garagentor vor Sprachöffnung mal nen Widget mit Tasker und dem PlugIn AutoInput gemacht. Da reichte dann antippen und die VPN-Verbindung wurde aufgebaut, das Widget zur Garagentoröffnung angeklickt und die VPN-Verbindung danach wieder abgebaut.
-
Tasker geht. Da kann man http requests absetzen, z.B. an simpleAPI Adapter. Man muß halt im Heimnetz direkt oder via VPN eingeloggt sein.
-
@klassisch sagte in Steht offen im Internet ???:
Man muß halt im Heimnetz direkt oder via VPN eingeloggt sein.
Genau das ist/war hier glaube ich das Ausgangsproblem für die geschaffene Lösung mittels eines Apache PHP Servers. Gar nicht mal das eigentliche Ansprechen des Datenpunkts selber.
-
@codierknecht
Ich habe gerade mal die log vom Apache angeschaut.138.68.77.25 - - [25/Sep/2023:04:41:04 +0200] "CONNECT uplo.ad:443 HTTP/1.1" 302 - "-" "Go-http-client/1.1"
Diesen Eintrag gab es im gesamten Jahr nur einmal gestern Nacht.
Außerdem gab es heute Nach um 3 Uhr Zugriffe auf den Apache, die nicht von mir waren71.6.146.186 - - [26/Sep/2023:02:57:24 +0200] "GET /dashboard/ HTTP/1.1" 200 5186 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
71.6.146.186 - - [26/Sep/2023:02:57:26 +0200] "GET /dashboard/images/favicon.png HTTP/1.1" 200 2508 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.63 Safari/537.36"Zugriffe, die definitiv von mir waren sehen anders aus. Weil die immer nur auf die Rolltor.php gehen.
In dem Log stehen auch noch ältere beunruhigende Einträge. Irgendwann kam man irgendwas mit DB Inhalten zu durchsuchen. Aber den Apache nutze ich zum Glück für sonst nichts. Ich mache den Port mal zu.Vielen Dank für die Unterstützung
Die Seite gibt es, weil ich mein Garagentor, wenn ich mit Auto nach Hause komme auf machen möchte und zwar bevor ich im WLAN bin weil es dauert immer eine Weile bis das Handy tatsächlich im WLAN ist auch wenn es sich in Reichweite befindet. Die Webseite hat einen Button, der ein Post req macht, dass löst dann im PHP Server ein Skript aus, welches im iob einen state auf true setzt. Gibt es hierzu andere Vorschläge?
@undeat sagte in Steht offen im Internet ???:
Außerdem gab es heute Nach um 3 Uhr Zugriffe auf den Apache, die nicht von mir waren
Ist unter dem /dashboard noch was da?
ALso jja sieht phishy aus ... wie aktuell ist der Apache? Vllt sind ja da bugs drin?
-
@undeat sagte in Steht offen im Internet ???:
Außerdem gab es heute Nach um 3 Uhr Zugriffe auf den Apache, die nicht von mir waren
Ist unter dem /dashboard noch was da?
ALso jja sieht phishy aus ... wie aktuell ist der Apache? Vllt sind ja da bugs drin?
@apollon77
Apache ist ca. ein halbes Jahr alt. Im htdocs war noch das Dashboard drin. Das habe ich erstmal gelöscht, so das nur noch meine Rolltor.php drin ist. Ich habe mal kurz nach dem Eintrag mit dem CONNECT gegoggelt. Das scheint irgendwie eine direkte Verbindung zu dem Http server zu sein. Was auch immer das bedeutet. Das brauche ich ja auch nicht und man müsste es vielleicht nur irgendwo abschalten. Ich lasse Apache jetzt mal noch laufen und habe ein Auge auf die Logs. Auf Dauer werde ich mir das VPN on Demand mal anschauen. Das sieht gut aus.Aber trotzdem muss jemand den Apache gehackt haben und dann iob gefunden haben, um dort das Skript anzulegen. Das ist doch mega Unwahrscheinlich. Klar ist iob verbreitet aber das wird ja wohl trotzdem auf deutlich weniger als 1% der Rechner laufen.
Oder jemand hat etwas Manipuliert, das das iob offen liegt und dann hat es jemand gefunden und das Skript angelegt aber dann ist das Problem jetzt wahrscheinlich noch nicht behoben.
-
@codierknecht
Ich habe gerade mal die log vom Apache angeschaut.138.68.77.25 - - [25/Sep/2023:04:41:04 +0200] "CONNECT uplo.ad:443 HTTP/1.1" 302 - "-" "Go-http-client/1.1"
Diesen Eintrag gab es im gesamten Jahr nur einmal gestern Nacht.
Außerdem gab es heute Nach um 3 Uhr Zugriffe auf den Apache, die nicht von mir waren71.6.146.186 - - [26/Sep/2023:02:57:24 +0200] "GET /dashboard/ HTTP/1.1" 200 5186 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
71.6.146.186 - - [26/Sep/2023:02:57:26 +0200] "GET /dashboard/images/favicon.png HTTP/1.1" 200 2508 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.63 Safari/537.36"Zugriffe, die definitiv von mir waren sehen anders aus. Weil die immer nur auf die Rolltor.php gehen.
In dem Log stehen auch noch ältere beunruhigende Einträge. Irgendwann kam man irgendwas mit DB Inhalten zu durchsuchen. Aber den Apache nutze ich zum Glück für sonst nichts. Ich mache den Port mal zu.Vielen Dank für die Unterstützung
Die Seite gibt es, weil ich mein Garagentor, wenn ich mit Auto nach Hause komme auf machen möchte und zwar bevor ich im WLAN bin weil es dauert immer eine Weile bis das Handy tatsächlich im WLAN ist auch wenn es sich in Reichweite befindet. Die Webseite hat einen Button, der ein Post req macht, dass löst dann im PHP Server ein Skript aus, welches im iob einen state auf true setzt. Gibt es hierzu andere Vorschläge?
@undeat sagte in Steht offen im Internet ???:
Die Seite gibt es, weil ich mein Garagentor
Dafür hast du aber dann einen Port offen?
Der ist scanbar und auffindbar.
Wenn es dann Port 80 oder 443 ist, dann werden ersteinmal die Standard Urls abgefragt, wo man weiß das da angreifbare Software sich dahinter verbirgt.
Meist Wordpress.Also so etwas ist erst mal unsicher.
Wichtig ist, das du den apache richtig konfiguriert hast.
Hoffentlich hast du bei deim skript (php) auch keine Lücke drin.
Dann sollte man den offenen Port nicht auf einen Standardport (80/443) legen, sondern an einen möglichst hohen (40000+) in der Hoffnung, das die bösen bots nicht so weit scannen (dauert ja auch seine zeit)wenn man so etwas macht sollte man fast eigentlich den webserver
in eine demilitarisierte zone stellen (eigenes netzwerk segment)
dann einen firewall in Richtung eigenes LAN und dort genau das eine durchlassen, was man auch beabsichtigt.
663
Online32.4k
Benutzer81.5k
Themen1.3m
Beiträge