Für Experten | nach reboot user pi access denied

  • Neuer Tag, neue Probleme.


    Hallo erstmal,

    habe es endlich geschafft Geräte in ALexa hinzuzufügen und sie werden auch erfolgreich über Alexa geschaltet.

    Nach einiger Zeit ist die Verbindung zwischen Putty und dem Raspberry abgebrochen und Fhem war nicht mehr erreichbar.

    Ich kann mich nicht mehr als "pi" anmelden. Es kommt immer die Meldung "Access denied".

    Kann mich nur noch als root anmelden.

    Habe versucht das passwort von Pi mit sudo passwd pi zu ändern welches auch akzeptiert wird.

    Wenn ich mich dann als nutzer pi anmelde wird pi aber nicht in grün sondern wie der rootbenutzer in grau angezeigt.

    Wenn ich nun sudo reboot mache kann ich mich mit pi nicht mehr anmelden...

    Fhem startet auch nicht mehr automatisch muss ich mit sudo service fhem start als root selber starten.

    Hat jemand eine Idee?


    Es muss mit dem alexa-fhem zusammenhängen. Fhem lief über wochen normal. Als ich die Geräte in fhem für alexa angelegt habe ging es nach einer gewissen Zeit los. Putty hat die verbindung einfach abgebrochen und fhem war nicht mehr erreichbar zusätzlich kann ich mich eben mit pi nicht mehr anmelden. x:


    FHEM 5.8 und alexa-fhem 0.4.4 und raspian stretch wird benutzt

    Ich hab keine Ahnung.

    Also hab es installiert mit folgenden Anleitungen:


    https://haus-automatisierung.c…o-alexa-fhem-steuern.html


    und eben


    https://wiki.fhem.de/wiki/Alexa-Fhem






    Hier mein /etc/sudoers:





    Ausgabe von 010_pi-nopasswd


    Code:





    Ausgabe von ls -a /home/pi





    und Ausgabe von cat /etc/passwd |grep pi






    "/home/pi/bash_history" sieht aus wie folgt:





    Hier noch die root-history (ja ich habs gemerkt manche Befehle waren nicht sehr intelligent :'( ;D waren nur paar lange Tage in letzter Zeit)



    Aufgefallen ist mir auch noch die Datei .bashrs fehlt im Verzeichnis /home/pi/


    wenn ich die runterlade auf meinen laptop (windows) geht der . von .bashrc weg.

    Heißt ohne den . ist die Datei auch nutzlos oder?

    also mit "sudo mv bashrc .bashrc" den punkt hinzugefügt

    sudo reboot


    nach dem reboot ist die Datei allerdings wieder weg...


    Das sagt die Konsole nachdem ich reboote und ls -la in /home/pi/ ausführe:



    Im großen und ganzen ich brauch dringend hilfe :D

    Muss mich sonst immer als root anmelden dann zu pi wechseln und alexa-fhem und fhem manuell starten.


    mfg und danke schonmal im vorraus.

  • Kann mich nur noch als root anmelden.

    Habe versucht das passwort von Pi mit sudo passwd pi zu ändern welches auch akzeptiert wird.

    Wenn ich mich dann als nutzer pi anmelde wird pi aber nicht in grün sondern wie der rootbenutzer in grau angezeigt.

    Wenn ich nun sudo reboot mache kann ich mich mit pi nicht mehr anmelden...

    Grundsätzlich: Wenn das System gehackt geworden wäre, wäre es komisch/nachlässig wieso

    a) überhaupt ein Password geändert wurde, denn dann fällt dem Eigentümer ja sofort auf dass etwas nicht i.O. ist.

    b) wieso nur das Password von "pi" geändert wurde aber nicht von "root".

    Daher halte ich es für unwahrscheinlich dass das System gehackt wurde - und falls doch dann von jemandem der nicht sonderlich klug vorgegangen ist.

    Nichts desto trotz ist es in solch einem Fall einfacher das komplette System einfach neu zu flashen, als jetzt nachvollziehen zu wollen was der Hacker alles verbogen haben könnte, denn das kann man nicht immer nachvollziehen.

    Man muss dazu auch hinterfragen wie derjenige in dein LAN eindringen konnte... Das geht nur wenn du im Router spezifische Einstellungen vornimmst, ansonsten kann niemand einfach so in dein Netzwerk eindringen.


    Dass der Promt beim root Benutzer grau und beim pi Benutzer grün angezeigt wird, ist eine einfache Einstellung und hat erst mal nicht viel zu bedeuten wenn die fehlt - kann auch am Client liegen.


    Es muss mit dem alexa-fhem zusammenhängen. Fhem lief über wochen normal. Als ich die Geräte in fhem für alexa angelegt habe ging es nach einer gewissen Zeit los. Putty hat die verbindung einfach abgebrochen und fhem war nicht mehr erreichbar zusätzlich kann ich mich eben mit pi nicht mehr anmelden. x:

    Das, und die Tatsache dass das pi Password nach reboot weg ist, spricht dafür dass der Datenträger evtl. beschädigt ist und nach einem Reboot ein älterer Zustand wiederherstellt wurde. Hierbei gilt: Insbesondere SD Karten, USB Sticks, oder allgemein NAND-Flash vertragen nicht unendlich viele Schreibzugriffe, die Speicherzellen nutzen ab und gehen kaputt.

    Keine Ahnung wie oft du das System neu installiert und ggf vorher den Datenträger formatiert hast, oder irgendwelche Logs schreibst usw etcpp... Es gibt da halt Sachen worauf geachtet werden müssen.


    Falls deine aktuelle SD Karte defekt sein sollte, lohnt es sich ebenfalls nicht das System zu reparieren und irgendwie wieder lauffähig zu machen. Wäre zudem immer mit dem Risiko weiterer Ausfälle verbunden.

    Sofern du ein Backup deines Systems und eine weitere SD Karte zur Hand hast würde ichs einfach mal damit versuchen.




    PS: Wie du vielleicht selber bemerkt hast sind deine Code Blöcke kaputt. Mit den Ausgaben kann man nicht viel anfangen da es eine enorme Qual ist diese zu verstehen. Tipp: Nicht im Forum-Editor zwischen HTML- und Normaler Ansicht hin und her wechseln, dann bleibt die Formatierung auch erhalten.

  • Ja, ich denke auch nicht an einen Zugriff von außen.

    Mir fällt aber auch nichts ein was dazu führt, dass immer wieder der selbe Zustand herbeigeführt wird.

    Das mit dem root grau und pi grün dachte ich könnte nur ein Hinweis sein :blush:

    Danke aber für deine Antwort :)

  • Das hab ich noch bei Tante G gefunden:

    Stichworte: raspberry trojaner


    https://www.heise.de/security/…owaehrung-ab-3742058.html


    MfG


    Jürgen

  • Schau mal, ob das root Filsystem (Filesystem state:) auf clean steht. Das geht u.A, auch mit < sudo dumpe2fs -h /dev/sdxP >


    Linux hat im PAM Modul auch 2 verschiedene Logins: Einmal aus der Login Shell (direkt Textkonsole = SSH), einmal nach dem Starten des X-Servers (x-login/GUI). Wenn eines nicht funktioniert, kann das andere noch möglich sein.



    Servus !

    RTFM = Read The Factory Manual, oder so

  • Wie gesagt, sofern der Pi nicht übers Internet ansprechbar ist, kann sowas nicht passieren

    Dem stell ich mal dieses Zitat gegenüber:


    Hat sich der Schädling eingenistet, soll er das SSH-Passwort ändern. Anschließend sucht er mittels dem im Gepäck befindlichen Netzwerkscanner ZMap nach Netzwerkknoten mit offenem Port 22, um weitere Geräte in Beschlag zu nehmen.

    Es reicht wohl wenn ein Raspberry übers Netz zu erreichen ist, denn über seine Infrastruktur weiss ich nichts.

    Mir kamen nur die Symptome bekannt vor, daher der Hinweis auf den Trojaner.


    MfG


    Jürgen

  • Erstmal hey,

    und hoffe ihr seid alle gut ins neue Jahr gekommen.:)


    Die Ausgabe des Befehls wie folgt:

    pi@raspberrypi:~$ sudo dumpe2fs -h /dev/sdxP

    dumpe2fs 1.43.4 (31-Jan-2017)

    dumpe2fs: Datei oder Verzeichnis nicht gefunden beim Versuch, /dev/sdxP zu öffnen

    Es kann kein gültiger Dateisystem-Superblock gefunden werden.

    pi@raspberrypi:~$


    Hab ich das im falschen Verzeichnis ausgeführt?:stumm::stumm:

  • /dev/sdxP


    Da meine Glaskugel nicht anzeigt wo sich Deine root Partition befindet, habe ich x für das tatsächliche Device, und P für die tatsächliche Partition als Platzhalter und Hinweis bei /dev/sd.. gewählt. Du muss natürlich sdx auf Dein Device sda, sdb, sdc, oder was auch immer, abändern. Genauso die Partition, die als Ziffer aufscheint.



    Servus !

    RTFM = Read The Factory Manual, oder so