NEWS
Absicherung ioBroker und System
-
Hallo, ich würde mal eure Hilfe benötigen.
Ich hatte gestern Nacht leider eine Übernahme meines Systemes von aussen :oops:
Aktuelle Hardware:
-
Router: ASUS DSL-AC87VG –> aktuelle Firmware, keine Ports offen / DynDNS deaktiviert / VPN über OpenVPN aktiviert
-
Intel NUC I5 mit Proxmox und Debian für ioBroker
-
Raspberry PI 3B für pivCCU
Für alles habe ich jetzt neue Passwörter vergeben. Zufriff nur über SSH.
Nun stellt sich mir die Frage wie ich am besten meine Systeme absichern kann? Was kann man mit der Firewall in Proxmox erreichen und wie stellt an sie am besten ein?
Wie kann ich ioBroker noch sicherer machen?
Und und und....
Wie habt ihr das alles gemacht?
-
-
Wen du nix nach außen offen hast kan keiner dein System übernehmen nur intern ?
Sent from my iPhone using Tapatalk
-
Jetzt müsste man klären, wer und wie wo hinein gekommen ist um dann explizit diese Lücken zu schließen. Auch der hochpreisige Asus Router kann ja Sicherheitslücken aufweisen oder hast du Port-Scans von außerhalb auf dein System durchgeführt? Ebenfalls kann ein kompromittiertes System egal ob Smartphone oder PC (so ziemlich jedes Gerät in einem Netzwerk) kann aber eine entsprechende Verbindung nach außen aufgebaut haben als Einfallstor. Ebenfalls mag, falsch konfigurierte Software oder weitere Dienste auch Angriffsfläche bieten, da müsste man sich dann auf intensiv mit der Konfiguration auseinandersetzen.
Ich hoffe es blieb nur bei verrückt spielenden Glühbirnen oder dem startenden Saugroboter…
-
Dann Frage ich mich wie dieser jemand es geschafft hat….
Jetzt weis ich nicht einmal, ob der werte Herr nicht etwas auf den Server geschmissen hat, um etwas zu öffnen und Zugriff zu haben. Bekommt man das irgendwie heraus? Bzw. kann man den ioBroker so einstellen das ein Hintertürchen offen bleibt?
Nun aktualisieren sich meine Temperatursensoren über pivCCU nicht mehr, obwohl alles grün ist. Und es steht bei den CuxD Geräten auf einmal ain Teststate dabei.
Momentan bin ich etwas überfragt. Denn er hat auch über meinen TelegramBot mit uns geschrieben ( verarscht und belästigt ), den Staubsauger eingeschaltet, Mir ein Passwort bei ioBroker mit meinem wirklichen Passwort vom Server eingerichtet....
Bei uns war Heute ab 1.00 Uhr die Hölle los.
Ein Port war offen, den ich vergessen habe zu sperren. Da ich damals den 8082 Port über DynDNS laufen habe lassen... ( ist mir so eben ins Auge gestochen ), habe nun DynDNS deaktiviert und den Port geschlossen.
-
Warte ich habe ne Vermutung…
Ist dein telegram bot Passwort geschützt
Wen nein kan jeder mit deinem bot alle states steuern !!!!
Sent from my iPhone using Tapatalk
-
Habe mir schon überlegt einen neuen Bot zu generieren `
Suche ihn auf mir nem anderen Account/User und probier
Sent from my iPhone using Tapatalk
-
-
Zuerst sollten wir mal klarstellen das "DynDNS" nur ein Dienst ist deine dynamische IP immer wieder unter einem DNS Namen auf zu finden, was natürlich bei Internet Anschlüßen mit dynamischer IP-Adresse, daher ja auch der Name, Sinn ergibt.
DynDNS selbst ist jetzt faktisch noch kein Sicherheitsrisiko, allerdings kennt der "Angreifer" deinen DNS-Namen findet er dich aber auch immer wieder wenn er eine Lücke ausnutzt dich anzugreifen.
Quasi ist die DynDNS nur deine Adresse, ähnlich wie die deiner Behausung, solange du aber deine Tür abschließt und alle Fenster schließt (Ports und vor allem Verschlüsselung) passiert dir soweit nichts, der Verkehr fährt einfach an deiner Haustür vorbei…
Auch ein offener Port ist kein Beinbruch im Gegenteil nur die Frage ist welcher Dienst läuft dahinter und wie ist dieser abgesichert?.
So ein Telegram-Bot ohne mich jetzt weiter damit beschäftigt zu haben wird entweder ein lokaler Dienst bei dir sein oder ansprechbar über den Telegram-Client?! wenn es dort keine Authentifizierungsverfahren gibt und jeder alles steuern kann, ist dies natürlich ein gewaltig schwarzes Loch.
Außerdem gibt es ausreichend Port-Scanner die das Netz auf jede noch so erdenkliche Lücke Stück für Stück abtasten im Zuge der immer schnelleren Anschlüsse und höheren Bandbreiten merkt man da auch immer weniger von.
Gruß Kaffeemaschine
-
Nun, ich habe jetzt einmal DynDNS eingestellt, sollte der Angreifer hier eingedrungen sein, ist jetzt schluss damit.
Bei der Erstellung des Telegram Bot, habe ich ein Passwort vergeben, was ich aber nochmals ändern werde, sicher ist sicher.
Hier wäre mal ein Auszug der Log, damit kann ich nichts anfangen. Seitdem ich alles geschlossen habe und den Nuc neu durchgestartet habe ist Schluss damit. Aber vielleicht wird hier jemand schlau daraus:
2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Object.callback (/opt/iobroker/node_modules/iobroker.javascript/lib/sandbox.js:720:38) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Object.stateChange (/opt/iobroker/node_modules/iobroker.javascript/main.js:349:25) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Object.change (/opt/iobroker/node_modules/iobroker.js-controller/lib/adapter.js:3425:37) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Socket. <anonymous>(/opt/iobroker/node_modules/iobroker.js-controller/lib/states/statesInMemClient.js:52:30) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Socket.Emitter.emit (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/component-emitter/index.js:133:20) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Socket.onevent (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/socket.io-client/lib/socket.js:275:10) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Socket.onpacket (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/socket.io-client/lib/socket.js:233:12) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Manager. <anonymous>(/opt/iobroker/node_modules/component-bind/index.js:21:15) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Manager.Emitter.emit (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/component-emitter/index.js:133:20) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Manager.ondecoded (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/socket.io-client/lib/manager.js:345:8) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Decoder. <anonymous>(/opt/iobroker/node_modules/component-bind/index.js:21:15) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Decoder.Emitter.emit (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/component-emitter/index.js:133:20) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Decoder.add (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/socket.io-parser/index.js:251:12) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Manager.ondata (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/socket.io-client/lib/manager.js:335:16) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Socket. <anonymous>(/opt/iobroker/node_modules/component-bind/index.js:21:15) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Socket.Emitter.emit (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/component-emitter/index.js:133:20) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Socket.onPacket (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/engine.io-client/lib/socket.js:456:14) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at WS. <anonymous>(/opt/iobroker/node_modules/iobroker.js-controller/node_modules/engine.io-client/lib/socket.js:273:10) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at WS.Emitter.emit (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/component-emitter/index.js:133:20) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at WS.Transport.onPacket (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/engine.io-client/lib/transport.js:145:8) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at WS.Transport.onData (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/engine.io-client/lib/transport.js:137:8) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at WebSocket.ws.onmessage (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/engine.io-client/lib/transports/websocket.js:147:10) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at WebSocket.onMessage (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/EventTarget.js:99:16) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at WebSocket.emit (events.js:182:13) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Receiver._receiver.onmessage (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/WebSocket.js:141:47) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Receiver.dataMessage (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/Receiver.js:389:14) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Receiver.getData (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/Receiver.js:330:12) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Receiver.startLoop (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/Receiver.js:165:16) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Receiver.add (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/Receiver.js:139:10) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Socket._ultron.on (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/WebSocket.js:138:22) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Socket.emit (events.js:182:13) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at addChunk (_stream_readable.js:283:12) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at readableAddChunk (_stream_readable.js:264:11) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at Socket.Readable.push (_stream_readable.js:219:10) 2018-12-11 03:16:08.998 - [33mwarn[39m: javascript.0 at TCP.onStreamRead [as onread] (internal/stream_base_commons.js:94:17) 2018-12-11 03:16:16.371 - [33mwarn[39m: javascript.0 getState "BSZ.System.Grp01MSec.EinAus1" not found (3) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at GeraetUpdate (script.js.common.System.Betriebskosten-_und_Stunden_Rechner:1476:38) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Object. <anonymous>(script.js.common.System.Betriebskosten-_und_Stunden_Rechner:425:150) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Object.callback (/opt/iobroker/node_modules/iobroker.javascript/lib/sandbox.js:720:38) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Object.stateChange (/opt/iobroker/node_modules/iobroker.javascript/main.js:349:25) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Object.change (/opt/iobroker/node_modules/iobroker.js-controller/lib/adapter.js:3425:37) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Socket. <anonymous>(/opt/iobroker/node_modules/iobroker.js-controller/lib/states/statesInMemClient.js:52:30) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Socket.Emitter.emit (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/component-emitter/index.js:133:20) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Socket.onevent (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/socket.io-client/lib/socket.js:275:10) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Socket.onpacket (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/socket.io-client/lib/socket.js:233:12) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Manager. <anonymous>(/opt/iobroker/node_modules/component-bind/index.js:21:15) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Manager.Emitter.emit (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/component-emitter/index.js:133:20) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Manager.ondecoded (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/socket.io-client/lib/manager.js:345:8) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Decoder. <anonymous>(/opt/iobroker/node_modules/component-bind/index.js:21:15) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Decoder.Emitter.emit (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/component-emitter/index.js:133:20) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Decoder.add (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/socket.io-parser/index.js:251:12) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Manager.ondata (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/socket.io-client/lib/manager.js:335:16) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Socket. <anonymous>(/opt/iobroker/node_modules/component-bind/index.js:21:15) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Socket.Emitter.emit (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/component-emitter/index.js:133:20) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Socket.onPacket (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/engine.io-client/lib/socket.js:456:14) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at WS. <anonymous>(/opt/iobroker/node_modules/iobroker.js-controller/node_modules/engine.io-client/lib/socket.js:273:10) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at WS.Emitter.emit (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/component-emitter/index.js:133:20) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at WS.Transport.onPacket (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/engine.io-client/lib/transport.js:145:8) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at WS.Transport.onData (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/engine.io-client/lib/transport.js:137:8) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at WebSocket.ws.onmessage (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/engine.io-client/lib/transports/websocket.js:147:10) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at WebSocket.onMessage (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/EventTarget.js:99:16) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at WebSocket.emit (events.js:182:13) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Receiver._receiver.onmessage (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/WebSocket.js:141:47) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Receiver.dataMessage (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/Receiver.js:389:14) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Receiver.getData (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/Receiver.js:330:12) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Receiver.startLoop (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/Receiver.js:165:16) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Receiver.add (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/Receiver.js:139:10) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Socket._ultron.on (/opt/iobroker/node_modules/iobroker.js-controller/node_modules/ws/lib/WebSocket.js:138:22) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Socket.emit (events.js:182:13) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at addChunk (_stream_readable.js:283:12) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at readableAddChunk (_stream_readable.js:264:11) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at Socket.Readable.push (_stream_readable.js:219:10) 2018-12-11 03:16:16.373 - [33mwarn[39m: javascript.0 at TCP.onStreamRead [as onread] (internal/stream_base_commons.js:94:17)</anonymous></anonymous></anonymous></anonymous></anonymous></anonymous></anonymous></anonymous></anonymous></anonymous></anonymous> -
Ich für meinen Teil würde sagen, wenn mein System bereits so angegangen wurde, ich würde entweder ein Backup wiederherstellen oder das System komplett neu aufsetzen, aber einem weiter betrieb würde ich bedenken entgegen stellen.
Gruß Kaffeemaschine
-
Ich überlege auch gerade ob ich das System neu aufsetzte. `
Ich würde dafür sprechen, hast du mal von außen deine eigenen Ports kontrolliert? Nur um vielleicht nicht noch einmal denselben Fehler zu machen.
Wird jemand aus dem Log-Ausschnitt schlau? `
Dafür verfüge ich noch nicht über ausreichende Erfahrungen im Bereich des ioBrokers. :ugeek:
-
Also dein System über den offenen Port zu übernehmen, hätte ich auch ohne Probleme hinbekommen. Wenn der Typ etwas Ahnung hatte und dich nicht nur warnen wollte, hat er weiterhin Zugriff… Dir hier was unterzujubbeln sollte jedes Scriptkiddy hinbekommen.
Ich würde ein VPN auf dem NUC einrichten, aber dazu müssten dann bestimmte Ports im Router frei gegeben werden. Reverse Proxy gibt es auch noch...
Die gängigen Trojaner brauchen das aber alles nicht und wir werden die nicht finden.
Ich würde alles platt machen und mir die Views/ Scripte sichern. Der Rest ist dann noch etwas Installationsarbeit. Oder du kennst einen wirklichen Profi.
Grüße
Brati
-
Wenn Du VPN auf dem Router laufen hast (und die Passwörter nicht zu einfach sind), brauchst Du doch kein weiteres VPN mehr auf dem ioBroker-Host.
Du kommst per VPN über den Router in Dein LAN.
Vorausgesetzt, die VPN-Logindaten sind nicht zu leicht zu knacken.
Ein Backup einspielen halte ich für den zweitbesten Weg. Woher weißt Du, das da nicht schon was drin ist ….
Hätte mir die Scripte (habe ich über j2fs eh) und die Views gesichert und alles neu aufgesetzt.
Je nach Router könnte man noch dessen Logs untersuchen, ob dort was auffälliges zu sehen ist.
Wie weiter oben schon geschrieben wurde, es könnte auch ein Staubsauger, o.ä. das Einfallstor öffnen.
Gruß,
Eric
Von unterwegs getippert
-
Wie stehts denn mit WLAN Kameras?
Sind auch immer mal wieder Ursache für gehackte Zugänge aufs eigene Home-Netze.
Wie kommst du eigentlich darauf, daß nur dein ioBroker gehackt wurde?
Nur weil jemand auf dem ioBroker etwas verändert hat, heißt das noch lange nicht er kommt über den ioBroker rein.
Stichwort : Trojaner, Keylogger etc. auf Handy/PAD oder PC…
Da kannst du noch so viele Passwörter ändern, solange der Trojaner brav die Informationen an den Hacker weiterleitet, macht das dein System nicht sicherer. Er bekommt die neuen PW ja quasi auf dem Silbertablett serviert....
Kannst du im Router in den Logs verfolgen, was zur Zeit des Zugriffs genauer passiert ist?
Kannst du den einzelnen geräten im Router explizit den eigenen Zugang zum Internet verbieten? Bei den Fritzboxen geht das...
Nur mal so als Debkanstoß
Grüße
Tom
-
Punkt 1: Es gibt keine Wlan-Kameras
Punkt 2: Wir nutzen nur Iphone, wo keine uminösen Emailanhänge oder Dateien heruntergeladen werden.
Klar kann er auch auf dem anderen Server gekommen sein, aber hier steht nichts in den Log-Dateien, ist ein reiner FTP Server.
Wir haben nur einen Laptop, den hatte ich gestern noch komplett durch Antivir scannen lassen, keine Funde oder verdächtige Dateien.
Punk 3: Die VM des ioBroker habe ich gestern noch gelöscht und eine nneue, frische VM aufgesetzt. In diesem Zuge habe ich alle PW´s neu vergeben,
sämtliche API´s erneuert.
Punk 4: Leider reichen die Logdateien nicht soweit zurück, sonst hätte ich diese noch gecheckt.
Ich kann natürlich den Inetzugang explizit der Geräte sperren, aber sollte nicht an den Sonoff´s, Alexa liegen.
Seitdem das System neu aufgesetzt ist war nichts mehr.
Mich würde immer noch interessieren was diese Logeinträge in ioBroker zu bedeuten haben.
Der Denkanstoß ist gut, ab und an braucht man sowas mal. Ich gehe jetzt nur noch über VPN zu meinem System, sämtliche Ports sind im Router geschlossen und DynDNS deaktiviert.
707
Online32.7k
Users82.3k
Topics1.3m
Posts