SSH-App verwendet - kurz darauf gehackt - Zufall?

Re(3): SSH-App verwendet - kurz darauf gehackt - Zufall?

PeterShaw — Sat, 23 Jan 2021 14:49:57 GMT

>Und wie gesagt war ich auch von der Schnelligkeit überrascht, hätte nicht damit gerechnet, dass man dann so schnell "Besucher" hat.

Ja, dauert Sekunden, weil da niemand vor dem Bildschirm sitzt und auf dich wartet, sondern da läuft ein Skript, wenn es ein System wie deins findet macht es ein Fingerprinting um zu sehen welches Gerät/OS das ist und probiert dann die Standard-Credentials durch die es dafür kennt. Sobald es eingeloggt ist ändert es automatisch das Passwort und lädt einen Agent nach, der dann sicherstellt, dass immer eine Verbindung gegeben ist.

Dein Pi war mindestens eine der zwei Stunden Teil eines Botnets für Spamversand oder sonstwas.

Solche automatisierten Angriffe kannst du durch die Änderung des Ports stark einschränken, und dann sollte da kein Passwort gesetzt werden, sondern SSH-Keys. Dann kann kein Angreifer irgendwelche Passwörter durchprobieren. Der nächste Thread von dir ist dann "warum wurde ich gehackt, ich hatte doch mein Geburtsjahr als Passwort gesetzt"...

Bestenfalls gehört noch eine Firewall davor die von dir verwendete IP-Adressbereiche whitelisted und generell alles Andere blockiert.

Einfach mal eben einen Port für die Welt freizugeben ist tödlich...

>Da der RasPi zu dem Zeitpunkt keinen Zugriff auf andere Daten im Netzwerk hatte

Nunja. Der Angreifer bzw. die Skripte hatten ja Zugriff auf den Pi selbst und können von dort aus versuchen, sich auf anderen Systemen im Netzwerk einzuloggen. Wenn dort auch was falsch konfiguriert ist, auf einem Computer die aktuellen Sicherheitspatches fehlen oder sie ein kurzes Passwort knacken, sind sie schon im nächsten System drin.

Re: SSH-App verwendet - kurz darauf gehackt - Zufall?

eigsi124 — Tue, 19 Jan 2021 19:39:18 GMT

Ich würde auch keinen Port freigeben, viel sicherer bist du mit einem VPN!

Funktioniert auch mit Smartphones und co. und ist auch in WLAN Hotspots nützlich um sicherzugehen, dass keiner deinen Traffic mitliest.

Re: SSH-App verwendet - kurz darauf gehackt - Zufall?

eigsi124 — Tue, 19 Jan 2021 19:39:18 GMT

Ich würde auch keinen Port freigeben, sicherer bist du mit einem VPN!

Funktioniert auch mit Smartphones und co. und ist auch in WLAN Hotspots nützlich um sicherzugehen, dass keiner deinen Traffic mitliest.

Re(3): SSH-App verwendet - kurz darauf gehackt - Zufall?

Desolationrob — Tue, 05 Jan 2021 08:07:23 GMT

da kenn ich den Raspi bzw die Anwendung draufzu wenig....google Authenticator oder so ist aber recht unkompliziert. Man muss ich dann natürlich auch vorab anschaun wie man bei einem Problem wie MFA Service nicht erreichbar, Handy verloren etc wieder Zugriff bekommt

Re(6): SSH-App verwendet - kurz darauf gehackt - Zufall?

TheTrumpeter — Mon, 04 Jan 2021 19:22:00 GMT

aber ja, auch bei mir derzeit: 0 Forwards, von aussen initial ins Netz
reinzukommen wäre bei mir eher schwer. Aktuell nicht mal die AdminGUI des
Routers nach aussen offen

Ich habe genau den Forward für die Heimautomatisierung.
Bisher habe ich von Aussen zusätzlich RealVNC über den User-Account genutzt, da braucht es auch keine offenen Ports.
SSH war nur kurz für aussen gedacht, da war ich einfach zu blauäugig, dachte ein paar Stunden geht das schon mit dem Standardpasswort.

Der Router ist auch nur von innerhalb erreichbar.

Re(7): SSH-App verwendet - kurz darauf gehackt - Zufall?

TheTrumpeter — Mon, 04 Jan 2021 19:18:33 GMT

Heimautomatisierungsclouds

Genau sowas verwende ich auch nicht. Nur, dann brauche ich eben zumindest den einen oder anderen Port offen, damit ich auch was tun kann. Keine Cloud, alles lokal im Netz und möglichst gesichert.
(Das Freigeben von dem SSH-Port hat nix mit der Heimautomatisierung an sich zu tun, das war einfach blauäugig.)

Daher gibt's Daten von mir, die in der Cloud jederzeit für mich erreichbar
sind. Und andere Daten, auf die ich "on the road" einfach nicht zugreifen
kann. Weil sie hinter meiner Firewall oder im Tresor liegen.

Von mir gibt's gar keine Daten in irgendeiner Cloud, alles nur lokal ohne Zugriffsmöglichkeit von aussen.
Dafür greife ich auf die Heimautomatisierung zu.

Re(2): SSH-App verwendet - kurz darauf gehackt - Zufall?

TheTrumpeter — Mon, 04 Jan 2021 19:16:15 GMT

1.Port verlegen

Ja das habe ich jetzt auch gemacht.

2.keine default credentials verwenden: eh logo

Tja, habe ich jetzt auch, obwohl ich den Port wahrscheinlich eh nicht mehr öffne.

3.wenn nur irgendmögliche: brute force per ip ban verhindern. Also bei mehr
als x Versuchen kann sich die Source IP gleich garnimmer anmelden

Habe ich jetzt auch aktiviert.

5. wenn das eingesetzte Produkt MFA kann, sofort aktivieren. Da müsste dann
auf deinem SSH Service schon super interesantes liegen das sich damit dann
noch jemand beschäftigen will

Ist mir ehrlich gesagt zu mühsam. Abgesehen davon bezweifle ich, dass ich das so einfach einrichten kann am Raspi.

Re(6): SSH-App verwendet - kurz darauf gehackt - Zufall?

Paulas_Papa — Mon, 04 Jan 2021 16:51:06 GMT

Wie gesagt: ich vertraue AUSGEWÄHLTEN Clouds deutlich mehr als mir selbst.

Heimautomatisierungsclouds sind da sicher nicht darunter.

Daher gibt's Daten von mir, die in der Cloud jederzeit für mich erreichbar sind. Und andere Daten, auf die ich "on the road" einfach nicht zugreifen kann. Weil sie hinter meiner Firewall oder im Tresor liegen.

Re(5): SSH-App verwendet - kurz darauf gehackt - Zufall?

Desolationrob — Mon, 04 Jan 2021 16:41:45 GMT

denke mal, irgendein Heimautomatisierungskrempel der komplett cloudunabhängig ist. Oder jemand der der seine persönlichen Daten nur daheim liegen haben und unterwegs drauf zugreifen will. Das würd mir so einfallen.

aber ja, auch bei mir derzeit: 0 Forwards, von aussen initial ins Netz reinzukommen wäre bei mir eher schwer. Aktuell nicht mal die AdminGUI des Routers nach aussen offen

Re(4): SSH-App verwendet - kurz darauf gehackt - Zufall?

Paulas_Papa — Mon, 04 Jan 2021 11:58:05 GMT

Ich kenne als Privatperson derzeit KEIN Service, das so eminent wichtig wäre für mein Leben, dass ich einen Port dafür öffnen würde.

Und ich vertraue ausgewählten Cloudprovidern deutlich mehr als meinen bescheidenen Künsten als Admin.

Und dass ich für Mail keinen Port dauerhaft offen haben muss, wissen wir beide. Das kann man auch anders lösen.

Re(3): SSH-App verwendet - kurz darauf gehackt - Zufall?

Desolationrob — Mon, 04 Jan 2021 11:52:13 GMT

dann is es aber mit der Erreichbarkeit von aussen eher schwierig wäre so als ob ich sagen würde, Phishing is so gefährliuch, dreh ma E-Mail halt ab

ne Möglichkeit wäre natürlich das die Verbindung über einen (vertrauenswürdigen) Clouddienst läuft und es gar keien Anbindunt extern->LAN gibt. Ne kleine Kiste die man via Teamviewer erreichbar hat zb bleibt dann nur zu definieren....wer ist vertrauenswürdig

Re(2): SSH-App verwendet - kurz darauf gehackt - Zufall?

TheTrumpeter — Mon, 04 Jan 2021 09:17:19 GMT

Gibt es einen Grund, warum der werte Herr SSH extern auf dem default port
laufen laesst?

War generell nicht vorgesehen, nur für vorübergehend. Aber ja, in Kombination mit dem Standardpasswort war's dann eine dumme Idee

Und wie gesagt war ich auch von der Schnelligkeit überrascht, hätte nicht damit gerechnet, dass man dann so schnell "Besucher" hat.

Re(2): SSH-App verwendet - kurz darauf gehackt - Zufall?

TheTrumpeter — Mon, 04 Jan 2021 09:15:49 GMT

Der erste wird umgehend das Passwort geändert haben, damit ihm nicht gleich
der nächste auf die Zehen steigt.

Re(2): SSH-App verwendet - kurz darauf gehackt - Zufall?

TheTrumpeter — Mon, 04 Jan 2021 09:15:13 GMT

Ja. Es war nichts gemounted und die Zugangsdaten zu den übrigen Geräten sind auch nicht "default".

Re(2): SSH-App verwendet - kurz darauf gehackt - Zufall?

Paulas_Papa — Mon, 04 Jan 2021 08:49:25 GMT

0) Keine Ports freigeben/weiterleiten.

Re: SSH-App verwendet - kurz darauf gehackt - Zufall?

Desolationrob — Mon, 04 Jan 2021 08:29:28 GMT

Zufall bzw Normalität, dem autoamtisierten Scans die nur Ports abklopfen folgen bei Erfolg direkt ANmeldeversuche mit einem Wörterbuch an default credentials.

Die Frage lauztet da eher, was tutn um den Dienst von aussen sicher erreichbar zu machen ?

1.Port verlegen: das hält shcon mal viel Müll von aussen ab, es machen sich wenige dei Mühe 65535 Ports/IP zu scannen.
2.keine default credentials verwenden: eh logo
3.wenn nur irgendmögliche: brute force per ip ban verhindern. Also bei mehr als x Versuchen kann sich die Source IP gleich garnimmer anmelden
4.evtl VPN nutzen und dieses natürlich ebenfalls 1-3 sichern.
5. wenn das eingesetzte Produkt MFA kann, sofort aktivieren. Da müsste dann auf deinem SSH Service schon super interesantes liegen das sich damit dann noch jemand beschäftigen will

Re: SSH-App verwendet - kurz darauf gehackt - Zufall?

kaufinator1 — Sun, 03 Jan 2021 11:58:32 GMT

Vor langer Zeit gabs mal einen „Wurm“ der bei einem ungepatchten Windows XP sofort einen Bluescreen/Neustart verursacht hat. Ich hab zu der Zeit mal irrtümlich einen solchen Windows XP PC ans Internet gehängt. Innerhalb von wenigen Sekunden(!) hat er sich verabschiedet. Das Internet ist halt immer noch der wilde Westen.

Re: SSH-App verwendet - kurz darauf gehackt - Zufall?

lsr2 — Sun, 03 Jan 2021 09:11:32 GMT

>>Ja, natürlich war es dumm den Port freizugeben ohne die Standard-Zugangsdaten zu ändern, aber ehrlich gesagt ist es mir dann doch etwas "zu schnell" gegangen.

BWAHAHAHAH.

Gibt es einen Grund, warum der werte Herr SSH extern auf dem default port laufen laesst?

Re: SSH-App verwendet - kurz darauf gehackt - Zufall?

Paulas_Papa — Sat, 02 Jan 2021 19:54:31 GMT

Aktuell habe ich im Mittel alle 8 Sekunden einen Portscan. Daher logge ich die ganzen Drop's gar nicht mehr.

In den 3 Stunden wirst du viel Besuch gehabt haben. Der erste wird umgehend das Passwort geändert haben, damit ihm nicht gleich der nächste auf die Zehen steigt.

Re: SSH-App verwendet - kurz darauf gehackt - Zufall?

Suremo — Sat, 02 Jan 2021 19:45:08 GMT

Nimm irgend eine IP Online und binnen Minuten kommen die ersten Port Scans.
Welcome to the Internet :D

Re: SSH-App verwendet - kurz darauf gehackt - Zufall?

Paulas_Papa — Sat, 02 Jan 2021 19:34:59 GMT

Kannst du ausschließen, dass man in den 3 Stunden vom Raspi aus auf weitere Geräte zugreifen konnte? NAS, laufender PC...

Re: SSH-App verwendet - kurz darauf gehackt - Zufall?

hhetl — Sat, 02 Jan 2021 16:56:16 GMT

"zu schnell"

Portscan. Meine FW verwirft alle paar Sekunden Pakete, die an alle gängigen Ports adressiert sind. Von überall auf der Welt.

Re: SSH-App verwendet - kurz darauf gehackt - Zufall?

colo — Sat, 02 Jan 2021 15:03:54 GMT

Das kannst du ja ganz leicht pruefen, indem du das Experiment mit nicht-Default-Credentials wiederholst

Ich wuerde jedenfalls nicht davon ausgehen, dass ein System mit diesem Setup auf Port 22 auf deinem WAN-Interface laenger als ein paar Stunden unkompromittiert bleibt - SSH-App hin oder her.

SSH-App verwendet - kurz darauf gehackt - Zufall?

TheTrumpeter — Sat, 02 Jan 2021 14:58:26 GMT

Ich habe vor ein paar Tagen eine SSH-App vom AppStore auf mein Handy geladen und zuerst im lokalen Netz ausprobiert. Dann habe ich den SSH-Port freigegeben und das Zugangsprofil in der SSH-App auf den DynDNS-Namen geändert sowie die Zugangsdaten hinterlegt.
Die Zugangsdaten waren dummerweise noch die Standard-Daten von Raspbian, da ich bisher keinen Zugang von ausserhalb ermöglicht hatte.

Keine 3h später ist mir ungewöhnlich hoher Netzwerkverkehr zum RasPi aufgefallen sowie ein unerwarteter Neustart. Beim Versuch mich einzuloggen waren die Standard-Zugangsdaten nicht mehr gültig.

Habe die Port-Freigabe dann gelöscht, den RasPi vom Netz genommen und ein sauberes Image vom Vortag eingespielt. (Die Standard-Zugangsdaten habe ich nun auch geändert, obwohl wieder nur mehr lokal erreichbar.)
Da der RasPi zu dem Zeitpunkt keinen Zugriff auf andere Daten im Netzwerk hatte und auch keinerlei interessante Daten am RasPi liegen (Log-Files der Hausautomation, aber keinerlei Zugangsdaten o.ä.), kann wohl nicht wirklich was "passiert" sein.

Ja, natürlich war es dumm den Port freizugeben ohne die Standard-Zugangsdaten zu ändern, aber ehrlich gesagt ist es mir dann doch etwas "zu schnell" gegangen.
3h vom Freigeben bis jemand "drin" war? Oder hat die App (Name erwähne ich nicht, hat aber fast 5 Sterne und explizit den Hinweis "Der Entwickler erfasst keine Daten von dieser App") dazu beigetragen???