IoBroker gehackt
-
@fauli85 sagte in IoBroker gehackt:
ich versuche mal zuzeigen
das kann ich am Handy nicht lesen!
deswegen ja als Text in code-tagsEDIT:
das ist nicht die Ausgabe voniobroker list instances -
ubiobr2021@ds1618:~$ iobroker list adapters system.adapter.admin : admin - v4.2.1 system.adapter.alarm : alarm - v1.9.0 system.adapter.backitup : backitup - v2.0.4 system.adapter.cameras : cameras - v0.1.3 system.adapter.coronavirus-statistics : coronavirus-statistics - v0.6.8 system.adapter.daswetter : daswetter - v3.0.4 system.adapter.device-reminder : device-reminder - v1.0.6 system.adapter.devices : devices - v0.3.15 system.adapter.discovery : discovery - v2.5.0 system.adapter.doorio : doorio - v1.1.2 system.adapter.dwd : dwd - v2.7.5 system.adapter.eventlist : eventlist - v0.4.2 system.adapter.followthesun : followthesun - v0.2.7 system.adapter.fritzdect : fritzdect - v2.1.7 system.adapter.fullybrowser : fullybrowser - v2.0.5 system.adapter.geofency : geofency - v0.3.2 system.adapter.hass : hass - v1.0.0 system.adapter.homeconnect : homeconnect - v0.0.32 system.adapter.homee : homee - v1.1.0 system.adapter.ical : ical - v1.9.1 system.adapter.icons-icons8 : icons-icons8 - v0.0.1 system.adapter.icons-mfd-png : icons-mfd-png - v1.0.2 system.adapter.icons-mfd-svg : icons-mfd-svg - v1.0.2 system.adapter.info : info - v1.7.15 system.adapter.javascript : javascript - v4.10.15 system.adapter.mclighting : mclighting - v0.1.2 system.adapter.mqtt : mqtt - v2.3.4 system.adapter.mystrom : mystrom - v0.0.2 system.adapter.netatmo : netatmo - v1.3.3 system.adapter.netatmo-crawler : netatmo-crawler - v0.3.9 system.adapter.openweathermap : openweathermap - v0.1.0 system.adapter.owntracks : owntracks - v1.0.0 system.adapter.ping : ping - v1.4.12 system.adapter.places : places - v1.0.0 system.adapter.pollenflug : pollenflug - v1.0.6 system.adapter.rpi2 : rpi2 - v1.2.0 system.adapter.simple-api : simple-api - v2.5.3 system.adapter.smartgarden : smartgarden - v1.0.3 system.adapter.socketio : socketio - v3.1.4 system.adapter.synology : synology - v0.1.20 system.adapter.terminal : terminal - v0.1.2 system.adapter.tr-064 : tr-064 - v4.2.4 system.adapter.trashschedule : trashschedule - v1.1.1 system.adapter.tuya : tuya - v3.5.6 system.adapter.tvspielfilm : tvspielfilm - v2.0.1 system.adapter.vis : vis - v1.3.7 system.adapter.vis-bars : vis-bars - v0.1.4 system.adapter.vis-canvas-gauges : vis-canvas-gauges - v0.1.5 system.adapter.vis-colorpicker : vis-colorpicker - v1.2.0 system.adapter.vis-fancyswitch : vis-fancyswitch - v1.1.0 system.adapter.vis-hqwidgets : vis-hqwidgets - v1.1.7 system.adapter.vis-icontwo : vis-icontwo - v0.42.0 system.adapter.vis-inventwo : vis-inventwo - v2.7.6 system.adapter.vis-jqui-mfd : vis-jqui-mfd - v1.0.12 system.adapter.vis-justgage : vis-justgage - v1.0.2 system.adapter.vis-map : vis-map - v1.0.4 system.adapter.vis-material-advanced : vis-material-advanced - v1.3.0 system.adapter.vis-metro : vis-metro - v1.1.2 system.adapter.vis-rgraph : vis-rgraph - v0.0.2 system.adapter.vis-timeandweather : vis-timeandweather - v1.1.7 system.adapter.vis-weather : vis-weather - v2.5.2 system.adapter.vodafone-speedtest : vodafone-speedtest - v0.0.6 system.adapter.weatherunderground : weatherunderground - v3.3.0 system.adapter.web : web - v3.3.0 system.adapter.web-speedy : web-speedy - v0.2.0 system.adapter.wifilight : wifilight - v1.1.0 system.adapter.yr : yr - v2.0.3 -
@homoran sagte in IoBroker gehackt:
das ist nicht die Ausgabe von iobroker list instances
-
ubiobr2021@ds1618:~$ iobroker list instances system.adapter.admin.0 : admin : ds1618 - enabled, port: 8081, bind: 192.168.178.78, run as: admin system.adapter.alarm.0 : alarm : ds1618 - disabled + system.adapter.backitup.0 : backitup : ds1618 - enabled system.adapter.cameras.0 : cameras : ds1618 - disabled, port: 8200, bind: 192.168.178.78 system.adapter.coronavirus-statistics.0 : coronavirus-statistics: ds1618 - disabled system.adapter.daswetter.0 : daswetter : ds1618 - disabled system.adapter.devices.0 : devices : ds1618 - disabled system.adapter.discovery.0 : discovery : ds1618 - disabled system.adapter.doorio.0 : doorio : ds1618 - disabled, port: 4444 system.adapter.dwd.0 : dwd : ds1618 - disabled system.adapter.eventlist.0 : eventlist : ds1618 - disabled system.adapter.followthesun.0 : followthesun : ds1618 - disabled system.adapter.fritzdect.0 : fritzdect : ds1618 - disabled system.adapter.fullybrowser.0 : fullybrowser : ds1618 - disabled system.adapter.geofency.0 : geofency : ds1618 - disabled, port: 7999 system.adapter.homeconnect.0 : homeconnect : ds1618 - disabled system.adapter.homee.0 : homee : ds1618 - disabled system.adapter.ical.0 : ical : ds1618 - disabled system.adapter.icons-icons8.0 : icons-icons8 : ds1618 - disabled system.adapter.icons-mfd-png.0 : icons-mfd-png : ds1618 - disabled system.adapter.icons-mfd-svg.0 : icons-mfd-svg : ds1618 - disabled system.adapter.info.0 : info : ds1618 - disabled system.adapter.javascript.0 : javascript : ds1618 - disabled system.adapter.mclighting.0 : mclighting : ds1618 - disabled, port: 81 system.adapter.mqtt.0 : mqtt : ds1618 - disabled, port: 8000, bind: 192.168.178.78 system.adapter.netatmo-crawler.0 : netatmo-crawler : ds1618 - disabled system.adapter.netatmo.0 : netatmo : ds1618 - disabled system.adapter.openweathermap.0 : openweathermap : ds1618 - disabled system.adapter.owntracks.0 : owntracks : ds1618 - disabled, port: 1883, bind: 0.0.0.0 system.adapter.ping.0 : ping : ds1618 - disabled system.adapter.places.0 : places : ds1618 - disabled system.adapter.pollenflug.0 : pollenflug : ds1618 - disabled system.adapter.rpi2.0 : rpi2 : ds1618 - disabled system.adapter.smartgarden.0 : smartgarden : ds1618 - disabled system.adapter.synology.0 : synology : ds1618 - disabled, port: 5001 system.adapter.synology.3 : synology : ds1618 - disabled, port: 5000 system.adapter.terminal.0 : terminal : ds1618 - disabled, port: 8088, bind: 0.0.0.0, run as: eric system.adapter.tr-064.0 : tr-064 : ds1618 - disabled system.adapter.trashschedule.0 : trashschedule : ds1618 - disabled system.adapter.tuya.0 : tuya : ds1618 - disabled system.adapter.tvspielfilm.0 : tvspielfilm : ds1618 - disabled system.adapter.vis-bars.0 : vis-bars : ds1618 - disabled system.adapter.vis-canvas-gauges.0 : vis-canvas-gauges : ds1618 - disabled system.adapter.vis-colorpicker.0 : vis-colorpicker : ds1618 - disabled system.adapter.vis-fancyswitch.0 : vis-fancyswitch : ds1618 - disabled system.adapter.vis-hqwidgets.0 : vis-hqwidgets : ds1618 - disabled system.adapter.vis-icontwo.0 : vis-icontwo : ds1618 - disabled system.adapter.vis-inventwo.0 : vis-inventwo : ds1618 - disabled system.adapter.vis-jqui-mfd.0 : vis-jqui-mfd : ds1618 - disabled system.adapter.vis-justgage.0 : vis-justgage : ds1618 - disabled system.adapter.vis-map.0 : vis-map : ds1618 - disabled system.adapter.vis-material-advanced.0 : vis-material-advanced : ds1618 - disabled system.adapter.vis-metro.0 : vis-metro : ds1618 - disabled system.adapter.vis-rgraph.0 : vis-rgraph : ds1618 - disabled system.adapter.vis-timeandweather.0 : vis-timeandweather : ds1618 - disabled system.adapter.vis-weather.0 : vis-weather : ds1618 - disabled system.adapter.vis.0 : vis : ds1618 - disabled system.adapter.vodafone-speedtest.0 : vodafone-speedtest : ds1618 - disabled system.adapter.weatherunderground.0 : weatherunderground : ds1618 - disabled system.adapter.web-speedy.0 : web-speedy : ds1618 - disabled system.adapter.web.0 : web : ds1618 - disabled, port: 8082, bind: 0.0.0.0, run as: admin system.adapter.wifilight.0 : wifilight : ds1618 - disabled system.adapter.yr.0 : yr : ds1618 - disabled + instance is alive -
-
Erst mal vielen Dank an alle !!!!!
Bin drauf
Ich hab eine Frage.
Nach dem ich ja gebrannt markt bin würde ich gerne alles so sicher wie möglich machen.
Gibt es dazu ein paar tipps wie oder wo ich das nachlesen kann? -
-
@fauli85 sagte in IoBroker gehackt:
Gibt es dazu ein paar tipps wie oder wo ich das nachlesen kann?
Die Gefahr bei Tipps ist, dass eine kleine Abweichung in der Umsetzung entweder das ganze System blockiert oder ein riesiges Scheunentor aufmacht.
Da kann man nur sagen:
- keine Portweiterleitung nach draußen.
- WLAN so gut wie möglich sichern
Mcih irritiert aber die Aussage: nur das NAS ist gehackt und verschlüsselt am meisten
-
Einfach keine Ports nach außen offen haben ist schon mal das A und O.
Eigentlich sind private (Heim)-Netze auch immer so aufgesetzt, da muss man aktiv Ports nach außen freigeben. -
@fauli85 sagte in IoBroker gehackt:
Erst mal vielen Dank an alle !!!!!
Gerne!
Eine Frage noch ... hattest du vor ein paar Tagen den Fall in der ioBroker Facebook Gruppe gepostet? Wenn ich mich richtig erinnere, war die offene Tür dort eine Port-Weiterleitung an die Diskstation in Kombination mit dem Synology Adapter?
-
@homoran
Ich versuche mal zu erklären was passiert ist war.
Mein Oberfläche mit Vis läuft über ein Tablet was immer an ist.
Hier merkte ich an einem Sonntag (Datum egal) das aufeinmal die Verbindung weg war.
Am Montag erhielte ich von meiner NAS eine Mail das eine IP geblockt wurde.
Ich meldetet mich am Abend an und dann kamm Fehler meldeungen etc. und ich konnte auf den VMM nicht zugreifen.
Hier wurde mir mitgeteilt das es ein Speicherfehler sei.
Ich bin immer noch nicht von ausgegangen das ich gehackt wurde, da ich eine Datein nutzen konnte, die mir vorerst wichtig waren.
Erst mal selber versucht und im Netz gelsen nicht gefunden.
Dann Support angeschrieben und der hat mir das dann mitgeteilt das geackt wurde.
Hier wurde auf Volumen2 wo sich die VMM und der IoBroker die Datei verschlüsselt und auf Volumen1 alle Bilder und Text Datein.
Ich habe es gewagt mir den Personen in Kontakt zu tretten und für wirklich bisserl Geld (100€) habe ich den Code erhalten zum entschlüsseln.
Alle Datein enschlüsslet.
NAS mit hife des Support wieder hergestellt.
Einige Post geschlossen die aber von der NAS selber frei gegebebn wurden (bin ja Anfänger)
LAut Sicherheitsbearter (Tool bei der Nas) wäre jetzt alles Sicher.Jetzt bin ich drann meinen IoBroker wieder zum leben zu wecken.
Was mir aber leider keiner Sagen kann wie sind Sie auf meine NAS kommen.
Über die NAS oder über den IoBrokerHab jetzt nur alle User neu angelegt PW geändert etc.
Auch hier war ich etwas zu leichtgläubig vorher.Das traurige an der ganzen Sache ist ja die.
Ich hab ein Cloud Speicher und die Daten draufgespielt aber nicht richtig eingerichten.
D.h. dier CLoud sicherste alle 2 Tage und behält diese nur 1 Woche
somit hatte ich dann nur eine Sicherung die Verschlüsselt Datein hatte.
Auch hier habe ich jetzt gelernt
Nas sichert einmal die Woche auf der Cloud die Sichert alle 2 Tage und Behlat die Daten 3 Monate
NAS sichert Daten auf eine externe USB täglichUnd wenn der IoBroker wieder läuft wird auch hier ein Backup eimgerichitet
Was ich auch gelsen habe ist die User in der webUi zu verschlüssel.
Das will ich auch noch machen.Ach ja bevor ich es vergesse, da ich es irgenwo gelesen hatte, habe ich paar Port für den IoBroker in der fritzbox frei gegeb. diese sind nun alle zu (braucht man gar nicht)
Das ist meine Geschichte
-
@fauli85 sagte in IoBroker gehackt:
Ich habe es gewagt mir den Personen in Kontakt zu tretten und für wirklich bisserl Geld (100€) habe ich den Code erhalten zum entschlüsseln.
das heißt aber nicht, dass da keine Backdoor eingebaut blieb
@fauli85 sagte in IoBroker gehackt:
Das ist meine Geschichte
Wennwirklich nur das NAS betroffen war ist das noch glimpflich ausgegangen
-
@homoran
Wegen dem Backdoor.
Laut Support müsste bei der Nas dann alles weg sein.
Was ich nicht sagen kann ob das auch so ist bei der alten IoBroker installation.
Wobei jetzt haben wir diese neu aufgesetzt und die Alte wird gelöscht.
Ob da jetzt noch was sein kann weis ich nicht.
Antivirus läuft jetzt jeden Tag bei mir durch und bis jetzt meckert er nicht mehr.Auf mein PC ist laut Virusprogramm auch alles sauber
Ich hoffe einfach mal das es nur die NAS war und das jetzt alles gut ist.
Schau ma mal - wird ie Zeit zeigen. -
@fauli85 sagte in IoBroker gehackt:
Auf mein PC ist laut Virusprogramm auch alles sauber
wenn die Dateien nicht über den offenen Port aktiv verschlüsselt wurden, sondern irgendwie über einen Virus.
Dann muss das ein unixoider (Linux-)Virus gewesen sein, der den meisten WIN-Virenscannern nicht auffällt.wenn sich dann dieser Virus im Netz weiterverbreitet, kann er, oder die Backdoor, in allem sitzen, was Linux ist.
Und das ist vom NAS (sauber!) über den Sat-Receiver, der TV, die Fritz!Box alles bis hin zum BIOS eines Laufwerks oder ein anderes vernetztes Gerät -
@homoran
welche möglichkeiten habe ich um das rauszufinden?
Ich kann doch jetzt nicht sagen NAS auf den Müll und Daten löschen
Muss doch ne möglichkeit geben zu Prüfen -
@fauli85 sagte in IoBroker gehackt:
welche möglichkeiten habe ich um das rauszufinden?
wenn du die kennst, sag bescheid.
Es gab immer wieder den Ansatz mit einem zentralen Viren-/Malwarescanner das gesamte Netz zu scannen, nicht nur einzelne Geräte, aber ich glaube in Deutschland ist das nie angekommen.So etwas wie die Bitdefender Box https://www.bitdefender.de/news/sicheres-smart-home:-bitdefender-box-kommt-nach-deutschland-3463.html
Da war noch was wie "Kiesel", das isch nie weider gesehen hatte unda andere Ansätze
-
https://www.fing.com/products/fingbox
Wollte ich mir mal anschauen, hab ich aber wieder hintenangestellt.
-
@thomas-braun sagte in IoBroker gehackt:
da muss man aktiv Ports nach außen freigeben
Das stimmt nur bedingt. Dank UPnP wird Geräten die Möglichkeit gegeben Löcher zu schlagen. Und soweit ich mich erinnere, war das bei einem NAS-Hersteller der Fall was zu solchen Verschlüsselungsaktionen geführt hat.
-
@dr-bakterius
Dazu muss aber im Router auch UPnP aktiv sein. Sonst schlägt da gar nix. -
@dr-bakterius sagte in IoBroker gehackt:
Und soweit ich mich erinnere, war das bei einem NAS-Hersteller der Fall was zu solchen Verschlüsselungsaktionen geführt hat.
Das war meines Wissens aber der andere
@dr-bakterius sagte in IoBroker gehackt:
Dank UPnP wird Geräten die Möglichkeit gegeben Löcher zu schlagen.
...wenn das in der Fritte erlaubt wird
