NEWS
Hilfe, Du bist offen wie ein Scheunentor
-
Hallo zusammen,
ich bin neu hier!
Nutze iobroker seit ca. 1 Jahr. Mehr oder weniger alles lauffähig.
Plötzlich und ohne (bewuste) Änderung erhalte ich plötzlich im Takt von 10 Sekunden eine Email mit dem Inhalt"Du bist offen wie ein Scheunentor - Hallo Name. Dein Iobroker steht offen im Netz. Hier kann jeder drauf. Du solltest mal ein Passwort vergeben"
Oh Schreck!!!
Ich habe ein neues Skript gefunden, welches die Email sendet.
Ich habe leider zu wenig Ahnung was zu tun ist, und habe mir bisher alles per Lesen beigebracht. Kann aber zu diesem Problem nichts finden :-(
Vermutlich kommt gleich die Antwort "Mehr Details...Welche Version..."
Dazu erst einmal: Alle Installierten Adapter sind uptodate.Meine ersten Fragen:
Wenn ich ein Passwort für den Admin gesetzt habe, ist das ausreichend?
Ein Passwort für "Administrator" lässt sich nicht setzen? Oder doch? Wie bitte?
Eigentlich ist mein ioBroker Server nur im LAN erreichbar und ich greife ggf. per VPN von außen darauf zu.
Also bitte wie kann es möglich sein, dass da plötzlich ein neues Skript erscheint und die Email sendet. Irgendwer muss es ja installiert haben.
Mein Verdacht: Könnte es ein Adapter/Instanz sein, die das gemacht hat?Ich freue mich über jede Hilfe - Danke
TomDa hast du Besuch von außen bekommen.
Kiste vom Netz nehmen, Portforwarding im Router prüfen. -
Da hast du Besuch von außen bekommen.
Kiste vom Netz nehmen, Portforwarding im Router prüfen.@thomas-braun Danke! Kannst du bitte mehr Details geben? Portforwarding - welcher Port? EDIT: Ok Portforwarding war drin - ist jetzt aus.
Wie kann ich das testen?
Ja aber, ich habe doch ein passwort im iobroker gesetzt. -
@thomas-braun Danke! Kannst du bitte mehr Details geben? Portforwarding - welcher Port? EDIT: Ok Portforwarding war drin - ist jetzt aus.
Wie kann ich das testen?
Ja aber, ich habe doch ein passwort im iobroker gesetzt.@tomtom61 sagte in Hilfe, Du bist offen wie ein Scheunentor:
Kannst du bitte mehr Details geben?
Du zuerst. Mit den Angaben kann man nichts weiter anfangen.
Portforwarding - welcher Port?
Schau in deinem Router.
Ja aber, ich habe doch ein passwort im iobroker gesetzt.
Nutzt aber nix. Was ist da für was genau eingestellt? Passwort nutzt dir ggf. nix, wenn da jemand im Netz hängt.
-
@tomtom61 sagte in Hilfe, Du bist offen wie ein Scheunentor:
Kannst du bitte mehr Details geben?
Du zuerst. Mit den Angaben kann man nichts weiter anfangen.
Portforwarding - welcher Port?
Schau in deinem Router.
Ja aber, ich habe doch ein passwort im iobroker gesetzt.
Nutzt aber nix. Was ist da für was genau eingestellt? Passwort nutzt dir ggf. nix, wenn da jemand im Netz hängt.
@thomas-braun Forwarding sind gelöscht. Wie kann ich so etwas testen? ob das nun sicher(er) ist?
-
Hast du auch eine CCU3 oder ähnliches für Homematic IP im Einsatz? Geh deine system durch und prüfe wo noch Schindler getrieben wurde.
-
Hast du auch eine CCU3 oder ähnliches für Homematic IP im Einsatz? Geh deine system durch und prüfe wo noch Schindler getrieben wurde.
@feuersturm Nein, habe ich nicht.
@All Welche Infos benötigt ihr?
-
@thomas-braun Forwarding sind gelöscht. Wie kann ich so etwas testen? ob das nun sicher(er) ist?
@tomtom61 sagte in Hilfe, Du bist offen wie ein Scheunentor:
Wie kann ich so etwas testen? ob das nun sicher(er) ist?
Von außen per nmap schauen.
Und das kompromitierte System neuaufsetzen. -
@feuersturm Nein, habe ich nicht.
@All Welche Infos benötigt ihr?
-
@thomas-braun Danke! Kannst du bitte mehr Details geben? Portforwarding - welcher Port? EDIT: Ok Portforwarding war drin - ist jetzt aus.
Wie kann ich das testen?
Ja aber, ich habe doch ein passwort im iobroker gesetzt.@tomtom61 sagte in Hilfe, Du bist offen wie ein Scheunentor:
welcher Port? EDIT: Ok Portforwarding war drin - ist jetzt aus.
Welcher Port war den drin und wofür wurde er geöffnet. Ich denke der Ansatz könnte hier starten
-
Meine Config:
Instanzen:
Backup
discovery
email
Flot
fronius (inakiv)
history
javascript
mptt
rpi2
sonoff (inakiv)
tuya (nicht lauffähig)
vaillant (inakiv)
viessamnnapi
vis
vis-players
web -
@tomtom61 sagte in Hilfe, Du bist offen wie ein Scheunentor:
welcher Port? EDIT: Ok Portforwarding war drin - ist jetzt aus.
Welcher Port war den drin und wofür wurde er geöffnet. Ich denke der Ansatz könnte hier starten
-
@armilar Portweiterleitung für die IP des Raspberry 8081-8083 war aktiv.
ich vermute, dass ich die aus Unwissenheit am Anfang meiner ioBroker Zeit aktiviert habe.Okay, damit war der ioBroker "direkt" mit dem Internet verbunden.
Hat die "shieldsup" noch etwas angezeigt?
-
Okay, damit war der ioBroker "direkt" mit dem Internet verbunden.
Hat die "shieldsup" noch etwas angezeigt?
-
@tomtom61
Testen kannst du in dem du die öffentliche ip Adresse rausfindest
https://ipaddress.my/Und diese ip, gefolgt mit :8081 dann in deinem Browser eingibst.
Als Ergänzung noch:
Da der Iobroker Rechner nun eine unbestimmte Zeit offen im Internet hing, gilt dieser Rechner nun als kompromittiert, also nicht mehr vertrauenswürdig.
Eigentlich kannst du den nur noch komplett löschen (also Betriebssystem neu aufspielen)
Du weißt nicht welche Programme da mittlerweile installiert wurden. Evtl ein backdoor welches auch nach dem schließen des Ports noch aktiv ist und über andere Wege nun eine verbindungsaufnahme bereitstellt.
Iobroker ist auch mit Passwort nicht sicher genug um offen im Internet sichtbar zu sein.
Auch ein Reverse Proxy sichert einen nicht bis in letzte Konsequenz.allerdings verkleinern diese Maßnahmen Stück für Stück das Risiko.
Ganz sicher ist, wenn man sich ein VPN einrichtet und nur noch darüber von außen auf sein heimnetz zugreift. -
Hallo zusammen,
ich bin neu hier!
Nutze iobroker seit ca. 1 Jahr. Mehr oder weniger alles lauffähig.
Plötzlich und ohne (bewuste) Änderung erhalte ich plötzlich im Takt von 10 Sekunden eine Email mit dem Inhalt"Du bist offen wie ein Scheunentor - Hallo Name. Dein Iobroker steht offen im Netz. Hier kann jeder drauf. Du solltest mal ein Passwort vergeben"
Oh Schreck!!!
Ich habe ein neues Skript gefunden, welches die Email sendet.
Ich habe leider zu wenig Ahnung was zu tun ist, und habe mir bisher alles per Lesen beigebracht. Kann aber zu diesem Problem nichts finden :-(
Vermutlich kommt gleich die Antwort "Mehr Details...Welche Version..."
Dazu erst einmal: Alle Installierten Adapter sind uptodate.Meine ersten Fragen:
Wenn ich ein Passwort für den Admin gesetzt habe, ist das ausreichend?
Ein Passwort für "Administrator" lässt sich nicht setzen? Oder doch? Wie bitte?
Eigentlich ist mein ioBroker Server nur im LAN erreichbar und ich greife ggf. per VPN von außen darauf zu.
Also bitte wie kann es möglich sein, dass da plötzlich ein neues Skript erscheint und die Email sendet. Irgendwer muss es ja installiert haben.
Mein Verdacht: Könnte es ein Adapter/Instanz sein, die das gemacht hat?Ich freue mich über jede Hilfe - Danke
TomEs ist leider so, dass etliche User ihren ioBroker oft aus Unwissenheit offen ins Internet stellen.
Eine aktuelle Shodan-Abfrage liefert bereits mit dem ersten Ergebnis einen offenen ioBroker. Da kann mal alles anrichten!
Proxmox und HA
-
Es ist leider so, dass etliche User ihren ioBroker oft aus Unwissenheit offen ins Internet stellen.
Eine aktuelle Shodan-Abfrage liefert bereits mit dem ersten Ergebnis einen offenen ioBroker. Da kann mal alles anrichten!
876 ioBroker direkt unter der IP erreichbar. Das ist krass :dizzy_face:
Installationsanleitung, Tipps, Alias-Definitionen, FAQ für das Sonoff NSPanel mit lovelace UI unter ioBroker
https://github.com/joBr99/nspanel-lovelace-ui/wikiBenutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
-
876 ioBroker direkt unter der IP erreichbar. Das ist krass :dizzy_face:
Kannst ja mal überall eine nette Nachricht hinterlassen. Zum Teil ist da nicht mal ein PW gesetzt.
-
Kannst ja mal überall eine nette Nachricht hinterlassen. Zum Teil ist da nicht mal ein PW gesetzt.
@armilar sagte in Hilfe, Du bist offen wie ein Scheunentor:
916 ioBroker direkt unter der IP erreichbar. Das ist krass :dizzy_face:
das letzte mal waren es etwa 650, was 1% der Installationen war.
jetzt bei knapp 75.000 Installationen sind das schon 1.2%@thomas-braun sagte in Hilfe, Du bist offen wie ein Scheunentor:
Kannst ja mal überall eine nette Nachricht hinterlassen. Zum Teil ist da nicht mal ein PW gesetzt.
das Gemeine daran ist ja, dass selbst so eine gut gemeinte Aktion strafbar ist :rage:
kein Support per PN! - Fragen im Forum stellen - es gibt fast nichts, was nicht auch für andere interessant ist.
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
der Installationsfixer: curl -fsL https://iobroker.net/fix.sh | bash -
-
@armilar sagte in Hilfe, Du bist offen wie ein Scheunentor:
916 ioBroker direkt unter der IP erreichbar. Das ist krass :dizzy_face:
das letzte mal waren es etwa 650, was 1% der Installationen war.
jetzt bei knapp 75.000 Installationen sind das schon 1.2%@thomas-braun sagte in Hilfe, Du bist offen wie ein Scheunentor:
Kannst ja mal überall eine nette Nachricht hinterlassen. Zum Teil ist da nicht mal ein PW gesetzt.
das Gemeine daran ist ja, dass selbst so eine gut gemeinte Aktion strafbar ist :rage:
Gab es da nicht mal so einen Passus wie 'Wirksame Verschlüsselung / Schutzmaßnahmen'?
Hier steht oft einfach die Haustür auf und es ruft jemand 'Kommt rein, schaut euch um, heute ist Tag der offenen Tür! -
Gab es da nicht mal so einen Passus wie 'Wirksame Verschlüsselung / Schutzmaßnahmen'?
Hier steht oft einfach die Haustür auf und es ruft jemand 'Kommt rein, schaut euch um, heute ist Tag der offenen Tür!@thomas-braun und @all
Danke für eure Unterstützung. Ich muss das alles erst einmal Gedanklich verarbeiten und verstehen. Mit 62 Jahren brauche ich etwas länger wie die "jungen Leut" LACH. Wie geschrieben bin ich Neuling "Wie die andern 916!!!!!!".Falls der NETTE der die Warnung auf meinem System hinterlassen hat hier mitliest, sage ich **VIELEN DANK für die Info!!! - und ich finde das tatsächlich so -
Ich lerne daraus.Auch wenn - ich GALUBE - nichts passieren kann, selbst wenn "ER" eine Hintertüre programmiert hat, werde ich tatsächlich das System neu aufsetzen :-(
Ich hatte in den letzten Wochen sowieso seltsame Phänomene. Fast täglich komplettabstürze. Vielleicht war das schon der Hacker? :-)Auf dem betroffenen Raspberry läuft nur ioBroker, der NUR Daten liest und per Flot/VIS anzeigt.
Ich habe keine Anwendung, bei der auch etwas geschrieben wird (noch nicht) wie z.. Relais oder Heizungsteuerung. Somit ist nur GUCKEN aber nichts BEWIRKEN gegeben.Daher nicht so schlimm.
Aber tatsächlich sind einige Daten verändert. Werden plötzlich nicht mehr in die Historie geschrieben.Ein Backup zurückspielen ist vermutlich nicht Sinnvoll? Weil evtl. ein Hack zurückgesichert wird - ODER?
Also muss ich alle Skripts usw. manuell Sichern und alles neu machen.
Gibt es einen Beitrag oder Link der in etwa heißt: "ioBroker - sicher installieren und machen"?
Tom
760
Online32.6k
Benutzer82.0k
Themen1.3m
Beiträge