Mein Pi wurde von einem Chinesen gehackt :(

  • Guten Morgen,

    Mir ist gerade aufgefallen, das sich letzte Nacht jmd. mit einer Chinesischen IP auf meinem Pi als root eingeloggt hat. Obwohl ich dachte dass mein Passwort für root sicher wäre (10zeichen Groß und Klein + ne Zahl) hat er es trotzdem geschafft. Laut SSH History hat er irgendwas in ner fstab Datei gemacht und dann den Pi über systemctl restartet.
    Ich hatte noch keine Zeit nachzugucken, ob er irgendein "." Ordner erstellt hat.
    Nun aber meine Frage:
    Kann man irgendwo nachgucken, was WGET und APT(ITUDE) zuletzt installiert haben oder ist das, wenn die SSH History weg ist unmöglich?
    Ich habe den Pi auch erstmal vom Netz genommen und sichere ihn heute mal mit nem VPN

    -dT-

  • Hallo,

    das ist ja uncool...

    Was APT gemacht hat, findest du im Verzeichnis /var/log/apt und zwar in den Dateien history.log und term.log. Falls die leer sind schau' mal in die neusten archivierten, also history.log.1,gz und term.log.1.gz

    Ob wget protokolliert weiß ich nicht... wobei wget alleine ja egal ist, da "nur" runtergeladen wird. Wenn jemand deinen Pi fernsteuern will, muss er das runtergeladene ja noch irgendwie installieren. Ggf. findest du ja was in der Historie der Shell?

    Und, ohne dich demotivieren zu wollen: wenn da jemand ernsthaft am Werk war, würde er wohl sein Spuren verwischen, sprich direkt auch noch die Logdateien manipulieren oder löschen. Würde ich zumindest machen ;)

    Gruß, noisefloor

  • Interessant für Andere ist eventuell auch noch wie er überhaupt drauf gekommen ist und worauf man achten sollte. 10 Zeichen und eine Zahl sind nicht das beste Passwort, aber wenn das Passwort ansonsten gut gebildet ist dann sollte das Ding schon ein großes Hindernis darstellen. Ich vermute das Passwort war im Aufbau nicht gerade "optimal"?

    Einmal editiert, zuletzt von MrWagner (7. Dezember 2015 um 09:04)

  • fail2ban und port ssh verschieben - das mach ich
    fail2ban: dann ist nach 3 versuchen mal pause
    port ssh verschieben: dann kommt fast nix mehr

    lösch die sd karte! - das würde ich machen. wenns er sein Geschäft versteht hat der ein backdoor eingbaut - fahr das ding nimmer so hoch.
    Automatisch zusammengefügt:
    ich hab mal einen honeypot laufen lassen mit passwort 12345.
    hat niemand probiert nur ganz komplizierte passwörter wurden ausproboert.

    Einmal editiert, zuletzt von evil (7. Dezember 2015 um 09:30)


  • Mir ist gerade aufgefallen, das sich letzte Nacht jmd. mit einer Chinesischen IP auf meinem Pi als root eingeloggt hat. Obwohl ich dachte dass mein Passwort für root sicher wäre (10zeichen Groß und Klein + ne Zahl) hat er es trotzdem geschafft. Laut SSH History hat er irgendwas in ner fstab Datei gemacht und dann den Pi über systemctl restartet.

    Interessant zu hören, daß sich die Welt auch an die Kleinen vergreift =(

    Aber "Fail2ban" scheint mir der richtige Ansatz zu sein, wenn vor dem Gerät keine Firewall zum Internet existiert...

    Einmal editiert, zuletzt von carriba (7. Dezember 2015 um 10:38)

  • Welche Software hattest du denn sonst noch installiert? apache2/nginx/owncloud/webmin ...?

    Waren auch noch andere Ports übers Internet zugänglich oder wirklich nur ssh?

    Hast du die Pakete immer up2date gehalten, also regelmäßig "apt-get update && apt-get upgrade" ausgeführt? Insbesondere ssl kamen in letzter Zeit einiges Updates raus.


    Fragwürdig wäre aber auch die Vorgehensweise des Hackers, wieso er etwas in /etc/fstab macht und dann den Pi rebootet - das klingt für mich eher nach jemanden der nicht wirklich weiß was er tut :fies: Das würde einem Besitzer ja schon irgendwie auffallen wenn plötzlich die Uptime nicht mehr 100 Tage oder so beträgt und veranlassen nachzugucken wieso der Rechner neu gestartet is....
    Also wenn sich jemand wirklich die Mühe macht und ein 10 Stelliges Password crackt, sollte derjenige dann auch erpicht sein nicht sofort aufzufliegen und von seinem Zeitaufwand auch länger etwas von zu haben... Aber ein Reboot wirkt dem imho entgegen :lol:

  • Dynamische IP ist keine Garantie das man nicht hacked wird :fies:

    Die Aussage "80 war noch offen" ist etwas mager... Ohne genauere Aussage dazu was alles über den Webserver bereitgestellt wurde - könnte man jetzt auch ein Sicherheitsproblem im Webserver in Betracht ziehen, du also nicht via SSH gehackt wurdest sondern über Port 80....


    Da Du nicht nachvollziehen kannst oder weißt worauf Du zu achten hast, um herauszufinden was der Fremde alles an deinem System verändert haben könnte - kannst du auch nicht sicher sein alle Trojaner oder Backdoors oder "Nachhause Telefonierer" entfernt zu haben... Also ist ein neues aufsetzen des kompletten Systems nicht nur besser/sicherer, sondern auch schneller.

    Um sowas künftig aber auch zu vermeiden, solltest du nicht nur auf die Absicherung von SSH achten und wie gesagt ist Dynamische-IP nicht ein Argument gegen hackable

  • Du wirst ja hoffentlich zumindest -> ufw <- aktiviert haben, oder?
    Also wenn ich ehrlich bin, dann zweifle ich diesen "Einbruch" ohnehin an ... das ist ein, wie meigrafd auch schon schrieb und ich auch finde, so untypisches Verhalten eines "hacks" ...
    Ich denke, da hast Du mal was auf dem RPi gemacht und einfach vergessen, dass Du das selbst warst. Ist mir auch schon passiert ... imho ganz normal ;)

    Aber gut ... sei's drum ...
    Neu aufsetzen wäre in dem Zusammenhang imho Pflicht ... es sei denn, Du hättest einen Hash-Code über Dein System gemacht (dabei sollte man sinnigerweise die /dev, /var/log, ... Verzeichnisse aussparen) und der wäre unverändert .

    btw: eine Änderung der fstab würde, mir zumindest, sofort auffallen ... was hat der Einbrecher denn da eingetragen?

    cu,
    -ds-

  • So. Also ufw hab ich natürlich nicht :(
    Auf dem Webserver (Apache 2) lief eigentlich nur PiControl.

    Und das es ein "hack" war, sagt einmal mein SSH Pushbullet System UND der Fakt, das ich bis heute morgen nicht wusste, dass man den Pi über systemctl rebooten kann.

    c3bc5e07323163768e99b367cc7ad40d.jpg

    Edit:

    Offensichtlich hat er entweder die SSH History manipuliert oder sich eingeloggt und wieder ausgeloggt. (Vllt. Hatte ihm mein Pi B+ zu wenig Leistung) ^^
    Denn der fstab edit kommt von meimer Samba Installation :D *facepalm*

    -dT-

  • Hi dT ...

    naja ... scheint zumindest so zu sein, als wäre da was auf Deinem Teil unterwegs gewesen.
    Guck mal -> hier nach <- ... ist in diesem Zusammenhang vielleicht ganz interessant bzw. aufschlussreich.

    Manchmal ist es nicht so krass, wie es auf den ersten Blick aussieht ;)
    (Ich würd' aber trotzdem neu aufsetzen ...)

    cu,
    -ds-

  • Sooo. Heute Nacht war (trotz neuaufsetzen) wieder wer zu Besuch :traurig: .
    Und wieder meine fstab. ICH VERSTEHE ES NICHT. Ich habe diesmal den Samba Server über den pi user erstellt und über mich root gar nicht angemeldet.
    Meine (neue) fstab:

    Code
    proc            /proc           proc    defaults          0       0
    /dev/mmcblk0p1  /boot           vfat    defaults          0       2
    /dev/mmcblk0p2  /               ext4    defaults,noatime  0       1
    # a swapfile is not a swap partition, no line here
    #   use  dphys-swapfile swap[on|off]  for that

    Sieht eigentlich ganz ok aus, oder? Vllt. wollte der Angreifer auch nur nach externen Laufwerken gucken um Daten zu klauen. Hmmmm, lsusb wäre da doch besser, oder?

    -dT-

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!