Re(3): SSH-App verwendet - kurz darauf gehackt - Zufall?
Geizhals Preisvergleich Impressum | Werbung
 
Geizhals » Forum » Security & Viren » SSH-App verwendet - kurz darauf gehackt - Zufall? (24 Beiträge, 1445 Mal gelesen) Top-100 | Fresh-100
Du bist nicht angemeldet. [ Login/Registrieren ]
^ Forum  Security & Viren  #8052839
SSH-App verwendet - kurz darauf gehackt - Zufall?
TheTrumpeter
02.01.2021, 15:58:26
Ich habe vor ein paar Tagen eine SSH-App vom AppStore auf mein Handy geladen und zuerst im lokalen Netz ausprobiert. Dann habe ich den SSH-Port freigegeben und das Zugangsprofil in der SSH-App auf den DynDNS-Namen geändert sowie die Zugangsdaten hinterlegt.
Die Zugangsdaten waren dummerweise noch die Standard-Daten von Raspbian, da ich bisher keinen Zugang von ausserhalb ermöglicht hatte.

Keine 3h später ist mir ungewöhnlich hoher Netzwerkverkehr zum RasPi aufgefallen sowie ein unerwarteter Neustart. Beim Versuch mich einzuloggen waren die Standard-Zugangsdaten nicht mehr gültig.

Habe die Port-Freigabe dann gelöscht, den RasPi vom Netz genommen und ein sauberes Image vom Vortag eingespielt. (Die Standard-Zugangsdaten habe ich nun auch geändert, obwohl wieder nur mehr lokal erreichbar.)
Da der RasPi zu dem Zeitpunkt keinen Zugriff auf andere Daten im Netzwerk hatte und auch keinerlei interessante Daten am RasPi liegen (Log-Files der Hausautomation, aber keinerlei Zugangsdaten o.ä.), kann wohl nicht wirklich was "passiert" sein.

Ja, natürlich war es dumm den Port freizugeben ohne die Standard-Zugangsdaten zu ändern, aber ehrlich gesagt ist es mir dann doch etwas "zu schnell" gegangen.
3h vom Freigeben bis jemand "drin" war? Oder hat die App (Name erwähne ich nicht, hat aber fast 5 Sterne und explizit den Hinweis "Der Entwickler erfasst keine Daten von dieser App") dazu beigetragen???
BMW 320d E90: Spritmonitor.de
Yamaha FZ6-S Fazer: Spritmonitor.de
Antworten PM Alle Chronologisch
 
Melden nicht möglich
.  Re: SSH-App verwendet - kurz darauf gehackt - Zufall?
 (colo am 02.01.2021, 16:03:54)
.  Re: SSH-App verwendet - kurz darauf gehackt - Zufall?  (hhetl am 02.01.2021, 17:56:16)
.  Re: SSH-App verwendet - kurz darauf gehackt - Zufall?  (Paulas_Papa am 02.01.2021, 20:34:59)
..  Re(2): SSH-App verwendet - kurz darauf gehackt - Zufall?  (TheTrumpeter am 04.01.2021, 10:15:13)
.  Re: SSH-App verwendet - kurz darauf gehackt - Zufall?
 (Suremo am 02.01.2021, 20:45:08)
.  Re: SSH-App verwendet - kurz darauf gehackt - Zufall?
 (Paulas_Papa am 02.01.2021, 20:54:31)
..  Re(2): SSH-App verwendet - kurz darauf gehackt - Zufall?  (TheTrumpeter am 04.01.2021, 10:15:49)
.  Re: SSH-App verwendet - kurz darauf gehackt - Zufall?
 (lsr2 am 03.01.2021, 10:11:32)
..  Re(2): SSH-App verwendet - kurz darauf gehackt - Zufall?  (TheTrumpeter am 04.01.2021, 10:17:19)
...
^ Forum  Security & Viren  #8056000
Re(3): SSH-App verwendet - kurz darauf gehackt - Zufall?
PeterShaw
23.01.2021, 15:49:57
>Und wie gesagt war ich auch von der Schnelligkeit überrascht, hätte nicht damit gerechnet, dass man dann so schnell "Besucher" hat.

Ja, dauert Sekunden, weil da niemand vor dem Bildschirm sitzt und auf dich wartet, sondern da läuft ein Skript, wenn es ein System wie deins findet macht es ein Fingerprinting um zu sehen welches Gerät/OS das ist und probiert dann die Standard-Credentials durch die es dafür kennt. Sobald es eingeloggt ist ändert es automatisch das Passwort und lädt einen Agent nach, der dann sicherstellt, dass immer eine Verbindung gegeben ist.

Dein Pi war mindestens eine der zwei Stunden Teil eines Botnets für Spamversand oder sonstwas.

Solche automatisierten Angriffe kannst du durch die Änderung des Ports stark einschränken, und dann sollte da kein Passwort gesetzt werden, sondern SSH-Keys. Dann kann kein Angreifer irgendwelche Passwörter durchprobieren. Der nächste Thread von dir ist dann "warum wurde ich gehackt, ich hatte doch mein Geburtsjahr als Passwort gesetzt"...

Bestenfalls gehört noch eine Firewall davor die von dir verwendete IP-Adressbereiche whitelisted und generell alles Andere blockiert.

Einfach mal eben einen Port für die Welt freizugeben ist tödlich...

>Da der RasPi zu dem Zeitpunkt keinen Zugriff auf andere Daten im Netzwerk hatte

Nunja. Der Angreifer bzw. die Skripte hatten ja Zugriff auf den Pi selbst und können von dort aus versuchen, sich auf anderen Systemen im Netzwerk einzuloggen. Wenn dort auch was falsch konfiguriert ist, auf einem Computer die aktuellen Sicherheitspatches fehlen oder sie ein kurzes Passwort knacken, sind sie schon im nächsten System drin.
Antworten PM Alle Chronologisch Zum Vorgänger
 
Melden nicht möglich
.  Re: SSH-App verwendet - kurz darauf gehackt - Zufall?  (kaufinator1 am 03.01.2021, 12:58:32)
.  Re: SSH-App verwendet - kurz darauf gehackt - Zufall?  (Desolationrob am 04.01.2021, 09:29:28)
..  Re(2): SSH-App verwendet - kurz darauf gehackt - Zufall?  (Paulas_Papa am 04.01.2021, 09:49:25)
...  Re(3): SSH-App verwendet - kurz darauf gehackt - Zufall?  (Desolationrob am 04.01.2021, 12:52:13)
....  Re(4): SSH-App verwendet - kurz darauf gehackt - Zufall?  (Paulas_Papa am 04.01.2021, 12:58:05)
.....  Re(5): SSH-App verwendet - kurz darauf gehackt - Zufall?
 (Desolationrob am 04.01.2021, 17:41:45)
......  Re(6): SSH-App verwendet - kurz darauf gehackt - Zufall?  (Paulas_Papa am 04.01.2021, 17:51:06)
.......  Re(7): SSH-App verwendet - kurz darauf gehackt - Zufall?  (TheTrumpeter am 04.01.2021, 20:18:33)
......  Re(6): SSH-App verwendet - kurz darauf gehackt - Zufall?  (TheTrumpeter am 04.01.2021, 20:22:00)
..  Re(2): SSH-App verwendet - kurz darauf gehackt - Zufall?  (TheTrumpeter am 04.01.2021, 20:16:15)
...  Re(3): SSH-App verwendet - kurz darauf gehackt - Zufall?  (Desolationrob am 05.01.2021, 09:07:23)
.  Re: SSH-App verwendet - kurz darauf gehackt - Zufall?  (eigsi124 am 19.01.2021, 20:39:18)
 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung