iobroker Seite nicht mehr erreichbar!
-
Hallo
Ich habe seit zwei Tagen Meldungen Abends über Alexa bekommen, dass mein iobroker offen aus dem Internet zu erreichen ist.
Ich hatte dann gleich Panik bekommen, habe was an Portweiterleitungen in der Fritzbox war gelöscht und myFritz deaktiviert. In der Hoffnung, das jetzt alles sicher sei bekomme ich heute um 11.00 Uhr eine Meldung über Telegramm
Dein Iobroker ist im Internet offen erreichbar, bitte absichern.
Ich habe dann den Admin Adapter geöffnet, bin auf Einstellungen gegangen und habe HTTPS angehakt und Authentifizierung danach auf speichern und seit dem komme ich nicht mehr auf die Oberfläche. Die Funktionen sind da aber ich kann nichts ändern weil ich nicht mehr auf die Seite komme. Wie kann ich das wieder rückgängig oder richtig machen?
Das kommt als Fehlermeldung wenn ich die IP mit https versuche.
-
@biker1602 sagte in iobroker Seite nicht mehr erreichbar!:
Ich habe seit zwei Tagen Meldungen Abends über Alexa bekommen, dass mein iobroker offen aus dem Internet zu erreichen ist.
Nice.
System plattmachen, neuaufsetzen.
Und warum macht man die Kiste überhaupt per Portweiterleitung Richtung Internet auf? Das ist komplett wahnsinnig. -
@thomas-braun habe ich keine Chance nochmal auf die Weboberfläche draufzukommen. Ich möchte doch wenigstens noch Scripte usw. sichern. Würde ein Backup zurück spielen über Putty funktionieren?
-
@biker1602 sagte in iobroker Seite nicht mehr erreichbar!:
Ich möchte doch wenigstens noch Scripte usw. sichern.
Die kompromitierten Skripte? Mach genausowenig Sinn wie die Portweiterleitung. Du spielst jetzt natürlich nur ein Backup von VOR dem Einbruch/der offenen Tür zurück. Wenn du das nicht genau bestimmen kannst:
Mach es komplett neu. -
@biker1602 sagte in iobroker Seite nicht mehr erreichbar!:
Ich möchte doch wenigstens noch Scripte usw. sichern.
dann wirst du mindestens ein Skript finden, das nicht von dir, sondern vom Eindringling kommt.
Die Alexa Ansagen und das Telegram kommt nich einfach so.
Dein System ist kompromittiert.
Mach es schnell platt. -
@homoran sagte in iobroker Seite nicht mehr erreichbar!:
dann wirst du mindestens ein Skript finden, das nicht von dir, sondern vom Eindringling kommt.
Muss nichtmal ein separates Skript sein. Wenn ich sowas machen würde, dann würde ich es global aufhängen oder einem bestehenden Skript unterjubeln.
Das müsste man jetzt ganz genau Forensik betreiben und schauen welche Dateien da wann geändert wurden.
-
@biker1602 installiere doch eine zweite admin Instanz via console mit einem anderen port, dann solltest Du via HTTP wieder drauf kommen. Den Befehl weiß ich leider nicht auswendig, aber irgendwo hier im Forum hatte ich das mal gelesen.
-
@thomas-braun Neu aufsetzen mit anderer IP oder?
-
Die IP ist wumpe. Der Punkt ist die fahrlässige Öffnung des Ports nach draußen zum Inter-Net hin.
-
@biker1602
Ja platt machen.
Jemand hatte Zugriff auf das System und hätte wahrscheinlich auch ein backdoor installieren können, das außerhalb von iobroker läuft.Die Umstellung auf https hätte dir nicht geholfen. Es ist eine transport Verschlüsselung.
Das heißt die übertragenen Daten zwischen Browser und Server Werfern verschlüsselt.
Da muss schon jemand dazwischen sitzen und den kompletten netzwerkverkehr mitschneiden und analysieren um zugreifen zu können.
Da ist shodan einfacher. -
@thomas-braun Die Freigaben sind alle gelöscht und myfritz deaktiviert.
-
Dann kannste ja jetzt ALLES neuaufsetzen. Beim Betriebssystem angefangen.
-
@thomas-braun said in iobroker Seite nicht mehr erreichbar!:
Dann kannste ja jetzt ALLES neuaufsetzen. Beim Betriebssystem angefangen.
Ich meine in der Fritzbox die Freigaben
-
Ja, das sind die Mindestvoraussetzugen. Jetzt komplett neubauen.
-
@thomas-braun said in iobroker Seite nicht mehr erreichbar!:
Ja, das sind die Mindestvoraussetzugen. Jetzt komplett neubauen.
Ich habe noch eine Frage. Ich habe vor ca. 3 Wochen auf einem ausrangierten Laptop Proxmox installiert und auch als Container iobroker dort habe ich dann ein Backup eingespielt, wo ich alle Adapter aber deaktiviert sind. Kann ich von dort wenn ich das System aufrufe, die Scripte speichern?
-
Wenn die Kiste nicht schon vor 3 Wochen gekapert war...
Dann hast du doch ein Backup aus der Zeit. Nimm das doch. -
@thomas-braun said in iobroker Seite nicht mehr erreichbar!:
Wenn die Kiste nicht schon vor 3 Wochen gekapert war...
Das kann ich auch nicht sehen oder?
-
Unter Umständen, schwierig.
-
@biker1602 sagte in iobroker Seite nicht mehr erreichbar!:
Das kann ich auch nicht sehen oder?
Diese Disziplin nennt sich IT Forensik.
Die das können sind hochbezahlte Leute.
Du kannst dir nicht wirklich sicher sein.Ich hätte jetzt schon gesagt, das du die Skripte mit Copy/Paste rübernehmen kannst. Aber wenn jemand in ein vorhandeses Skript eine Befehlszeile eingeschmugelt hat, die das System wieder öffnet, dann ist es halt auch schwierig.
Wenn du in der Lage bist die Skripte zu validieren, das da nix böses drin ist, dann könntest du das tun.Aber ich sag auch, lieber komplett alles neu
