Seltsamer Hack meines Pi-Honeypots

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Das kann nicht sein, auf den Raspberrys läuft Linux und wie uns allen jahrelang erzählt wurde ist Linux sicher.

    Das hat nichts mit Linux zu tun sondern vielmehr mit den Standard Passwörtern des Raspbian Images. Anfänger leiten SSH ins Internet weiter, ändern aber nicht das Password des pi Benutzers. Somit ist es viel weniger Aufwand für Hacker in das System einzudringen.

    Es gab zuletzt auch irgendwo einen Artikel darüber dass speziell RaspberryPi's zum Bitcoin schürfen infiltriert wurden usw..

    Also im Grunde nichts neues, ich versuche nur den Sinn hinter meinem aktuellen Intruder zu verstehen ;)

    Ein Crontab läuft nicht und ein Script kann ja nicht ausgeführt werden weil der nginx kein DocumentRoot eingestellt hat - siehe nginx.conf

    Also ist das IMHO kein Bot sondern nur ein Proxy - oder übersehe ich etwas?

  • meigrafd :

    Ich finde es schon etwas mutig (um es positiv zu formulieren), so einen Honypot aufzusetzen und dann von den Ergebnissen überrascht zu sein :)

    Ich habe die Logs nicht gelesen, aber das Vorgehen ist ja oft immer das Gleiche: Installation einer SW, die ggf. fremd-initierte Kommandos ausführt (BOT) oder verwaltet (C&C).

    Manchmal ist es auch "nur" ein "hopping Point", der die wahre IP eines Angreifers verschleiern soll (Einloggen per ssh auf deinen HP und dann weiter per ssh auf einen anderen Rechner, z.B. Angriff auf NSA (oder so) Infrastruktur....).

    Mutig... Respekt..

  • ivh wundere mich warum die Standard User & PW erhalten bleiben, mir war so das man das als erstes ändern sollte?

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

  • Zentris ich bin nicht vom Ereignis an sich überrascht, nur von dem was eingerichtet wurde ;)

    Ich glaube wie gesagt bisher auch dass nur ein "hopping Point" eingerichtet wurde - kein Bot.

    jar Ein Honeypot dient dazu, Angreifer in eine Falle zu locken.

    Wenn jemand meine IP scanned (oder durch den Besuch irgend einer Webseite protokolliert) und etwas zum "eintreten" sucht, landet er Beabsichtigterweise auf diesem Honeypot, was vom restlichen Netzwerk streng abgeschirmt ist. Jeglicher unbekannte eingehende Traffic wird an diesen Honeypot weitergeleitet.

    Ich habe also absolut bewusst und mit voller Absicht die Standard Daten (Login&PW) nicht verändert.

    llutz Wieso verstehe ich meinen HP nicht? Calm down.

    Wenn du dir unbedingt Sorgen machen willst, dann lieber über die Fehlinterpretationen hier im Thread...

  • jar Ein Honeypot dient dazu, Angreifer in eine Falle zu locken.

    ok, kannte ich nicht, aber wenn das script gesteuert installiert wurde dann sehe ich Risiken wer nicht weiss was in den scripten gemacht wird.

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

  • In meinem Fall war es glaub ich kein Script, was zumindest die ausgeführten Befehle vermuten lassen:

    Mir sind bisher 2 verschiedene, speziell auf den Pi ausgerichtete, Hacks untergekommen...

    Den ersten konnte ich erfolgreich analysieren weil ein relativ dummes Script zum Einsatz kam.

    In diesem Fall aber konnte ich die ersten Schritte nicht mehr nachvollziehen und bin von dem eher geringen Ausmaß überrascht - deshalb der Thread.

    Der andere Hack hat Verbindungen zu anderen Knotenpunkten hergestellt und ließ sich somit Fernsteuern: Bot. Aber hier dient mein HP nur als Mittelsstation, eben ein Proxy. Wie langweilig :daumendreh2:

    • Offizieller Beitrag

    Hallo meidgrafd!

    ein Proxy. Wie langweilig

    Ich denke Du unterschätzt evtl. den Hacker. Wenn Du eine "Aktion" vor hast, bei der Du zu 95% sicher sein willst, dass die benutzten Systeme online sind und brauchbar bleiben, dann legst Du genau so einen Honigtopf auf ein System. Dann siehst Du (als Angreifer) was der User von Deiner Installation mitbekommen hat. Im dümmsten Fall hast Du über den betroffenen RPi eine der drei Domains angesurft, denn dann wüsste ich als Angreifer, dass mein Hack gefunden wurde.

    Somit vermute ich einen Honigtopf im Honeypot und wie fred0815 schrieb, das ist ein Schläfer.

  • Dann siehst Du (als Angreifer) was der User von Deiner Installation mitbekommen hat. Im dümmsten Fall hast Du über den betroffenen RPi eine der drei Domains angesurft, denn dann wüsste ich als Angreifer, dass mein Hack gefunden wurde.

    Ich war so schlau und nutze einen Proxy :angel:

    Der Hacker kann also IMHO nicht sicher sagen "der Pi hat mich angesurft" weil die IP's von meinem HP und dem "was läuft auf der Domain" keinen Zusammenhang haben.


    Ihr seht doch die nginx Konfiguration die ich in Beitrag#1 gepostet habe... Anstatt also von Bot oder Schläfer zu sprechen, denkt mal laut darüber nach WIE so etwas überhaupt eingerichtet werden müsste...

    Also sorry aber die Befehle welche der Hacker als "root" eingegeben hat und die nginx Configs lassen für mich keinen Schluss auf Bot oder Schläfer zu - wie aber kommt ihr zu solchen Aussagen? :conf: Es ist kalt und wenns regnet wirds deshalb schneien? Ein klein wenig absurd, findet ihr nicht?

  • Sieht mir so aus als hat da jemand mal Deinen HP 'reserviert'. Wozu ist unklar. Warum wartest Du nicht erst einmal weiter ab was passiert? Dann wirst Du sicherlich mehr wissen.

    Nur als C&C Server/Relay, um ein paar tausend Bots ein DDOS loszutreten, scheint mit der vorbereitete Aufwand zu hoch. Es sind ja 3 registrierte Domains am HP schon eingetragen, wenn auch mit fake Registrierungsdaten (die Injector 1 Adresse ist ja besonders lieb). Da dürfte mehr Geld im Spiel sein. Bitcoin Mining, eBank PIN fisching, oder sowas, wo viel Geld in kurzer Zeit abgezogen werden kann.

    Fraglich ist, ab welchem Zeitpunkt man als Mittäter für das, was noch kommt, belangt werden kann (ab Kenntnis ?), und ob es nicht allenfalls gescheit wäre, die zuständige Sicherheitsbehörde mit dem config File von der Injektion zu verständigen, die hätten allenfalls Interesse den HP zu "übernehmen".


    Servus !

    RTFM = Read The Factory Manual, oder so

    • Offizieller Beitrag

    Also sorry aber die Befehle welche der Hacker als "root" eingegeben hat und die nginx Configs lassen für mich keinen Schluss auf Bot oder Schläfer zu

    Bei dieser Art von Angriffen sitzen meistens irgendwelche Hilfskräfte vorm Computer, die einfach nach Schema F Befehle abarbeiten

    nginx ist m.E. Fischfutter, also der Honig für den RPi-Besitzer. Wenn lange genug Zeit vergangen (keine Ahnung, ein paar Tage oder Wochen) und absehbar ist, dass der RPi-Besitzer nichts mitbekommen hat, dann kann der "Bösewicht" auch davon ausgehen, dass er mit dem RPi machen kann was er will, solange der RPi-Besitzer davon nicht grundlegend beeinträchtigt wird und verdacht schöpft. Wir werden in den einschlägigen Medien schon davon lesen, wenn der Termin abgelaufen ist.:2cents:

  • hmmm... darf ich auch noch zur Liste der Spekulationen beitragen?

    Und bei Google finde ich bei der Suche nach "DCM Travel Group" beim zweiten Eintrag einen Link zu ScamWarners.com.

    Hacken jetzt die Bösen schon die Bösen oder sind dies die Bösen :daumendreh2:

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!