Raspberry Pi OS verliert Passwort

    • Offizieller Beitrag

    Das bedeutet nun absolut nicht dass sich jemand auf der Raspi erfolgreich anmelden konnte

    Woher kommt dann Deiner Meinung nach das Phänomen, dass das Passwort nicht mehr stimmt? :conf: IMHO wäre ein erfolgreicher Login von außen die plausibelste Erklärung dafür.

  • Das war auch meine Schlussfolgerung, wobei es ja nicht nur einmal war.

    Ich wäre jedenfalls extremst beunruhigt.

    Gruss

    P.S. Im ersten Post ist von zwei betroffenen Pisdie Rede, die gleiche Software haben. Da würde ich auf einen exploit in der eingesetzen SW tippen.

    • Offizieller Beitrag

    Ich möchte nur mal noch an diesen Thread erinnern ssh Zugriffsversuche von aussen, ohne Freigabe von Port 22 War ja auch erst vorgestern. ;)

  • So ganz verstehe ich Eure Hecktik nicht. Das ist doch normales Grundrauschen wenn man einen ssh Server im Internet hat. Login Versuch und 1 Sekunde wieder weg. Das bedeutet nun absolut nicht dass sich jemand auf der Raspi erfolgreich anmelden konnte :no_sad:

    botswanabub Was bekommst Du denn fuer eine Ausgabe von last  und lastlog?

    anbei, für mein Verständnis nix auffälliges.

    Noch mal eben zur Klarstellung: Grundsätzlich hatte ich das Phänomen an zwei Standorten mit unterschiedlichen PI's (jeweils mit RPI OS) und unterschiedlicher Anwendersoftware (MagicMirror und mosquitto).

    Beide allerdings per DDNS erreichbar gemacht. SSH Port und ein weitere Anwendungsspezifischer Port freigegeben. Mehr eigentlich nicht.

    Es dauerte dann immer eine Zeit X (unbestimmt, aber wir reden von Tag(en)), bis der Zugang per SSH nicht mehr möglich war.

  • Was sagen denn

    ls -ld /lost+found/ (sorry, sinnlos, weil es aus Image stammt)

    stat -c '%y' /etc/{passwd,shadow}

    Wenn du nichts zu sagen hast, sag einfach nichts.

    Einmal editiert, zuletzt von llutz (10. Februar 2021 um 08:34)

  • Welche anderen Rechner betreibst Du denn noch? Es kann ja sein, dass es noch einen anderen Rechner unter derselben IP Adresse gibt. Dann bekommt Dieser Rechner evtl. die Loginversuche fuer den anderen. Sowas hatte ich schonmal. Besonders wenn die IP-Adresse mal geaendert wurde.

  • Bekannt ist auf jeden Fall, dass der User pi das Standardpasswort raspberry hat.

    Wer das Passwort nicht selbstständig ändert, bevor der SSH-Port im Internet exponiert wird, läuft Gefahr gehackt zu werden.

    Ist der SSH-Port im Internet exponiert worden?

    Die Hacker kennen das Standardpasswort auch und suchen entsprechend danach.

    Bots, die sich versuchen mit dem SSH-Server zu verbinden, arbeiten mit Username/Passwort Listen.

    Dort kommen garantiert auch die Credentials des Raspberry PI OS vor. Andere Standardpasswörter und Accounts werden auch probiert.

    Nur mal so zum Vergleich. Fehlerhafte Loginversuche auf meinen Server (Hetzner) seit Anfang des Jahres: 125.831

    Da ich keinen Server zu Hause betreibe, habe ich leider keine Vergleichsdaten.

    Ein Raspberry PI im lokalen Netzwerk, dessen SSH-Port im Internet exponiert ist, bekommt wahrscheinlich weniger Internetgrundrauschen mit, aber die Gefahr besteht dennoch. Nur das Risiko ist etwas geringer, als bei einem Server in einem Rechenzentrum. Der hat keine dynamische IP und eine gute Anbindung. Bei privaten Internetanschlüssen hat man meist eine halb statische IP (Kabelprovider) bzw. eine dynamische IP bei DSL.

    Ein System, das einmal kompromittiert worden ist, sollte neu aufgesetzt werden.

    BTW: ctime, mtime, atime kann der Hacker auch verändern :-p

  • aber der Standardaccount war ja gar nicht mehr vorhanden, ist gelöscht und das PW für den User ja auch nicht gerade 1234. Zumal es aus meiner Sicht keinen Login gab, den ich nicht zuordnen kann. Lediglich Versuche.

    Es steht ja auch nach wie vor im Raum, ob das was mit dem Stromausfall zu tun hat. Dazu werde ich das ding aus dem Inet nehmen und mal beobachten ob das Problem weiterhin auftritt.

    Dennoch bin ich natürlich interessiert, wenn jmd etwas rauslesen kann aus den Infos, dass zu erfahren!!! Also ein großes Danke an alle.

  • aber der Standardaccount war ja gar nicht mehr vorhanden, ist gelöscht

    Der Last Befehl zeigt dass bis zum 30.1. der Benutzer pi sich noch angemeldet hat.

    Code
    pi       tty1                          Sat Jan 30 14:15 - down   (00:00)
    pi       tty1                          Sat Jan 30 14:15 - 14:15  (00:00)

    Seit wann hast Du das Problem?

    Danach nur noch MYUSER von einem lokalen tty. Kein ssh Login.

    Aus lastlog sieht man

    Code
    Benutzername     Port     Von              Letzter
    root                                       **Noch nie angemeldet**
    ...
    MYUSER               pts/0    192.168.0.101    Mi Feb 10 08:08:44 +0100 2021

    und das pi nicht auftaucht denke ich dass der nicht mehr existiert.

  • Beim ssh login Versuch musst Du sicher sein, nicht mit einem ganz anderen Rechner verbunden worden zu sein. Ich nehme dazu eine spezifische Meldung in /etc/issue.net. Die wird dann ausgegeben, bevor man seinen Usernamen beim loggn mit ssh eingeben muss.

    Wenn das Passwort wirklich gelöscht wurde, dann muss ja die Datei /etc/passwd modifiziert worden sein. Dort gibt es ja ein last-modified-datum. Kannst Du das dann einem login zuordnen?

    Wurde denn die /etc/passwd wirklich veraendert? (eintrag mit user pi gelöscht?)

  • das verstehe ich nicht? Ist auch irgendwie doppelt verneint.

    Damit meine ich dass der User pi in dem lastlog nicht auftaucht und ich daraus schliesse dass Du den User pi mittlerweile geloescht hast wie Du schon geschrieben hast. Soll Deine Aussage dass user pi nicht existiert nur bestaetigen ;)

  • CheckHostIP yes alleine bringt dann nichts. Und StrictHostKeyChecking yes quittiert der User beim login mit ssh meist mit YES (neuen Key einfach eintragen). Der OP hat dazu nix geschrieben. Aber war ja auch nur eine Idee.

    "Passwort gelöscht" gibts eigentlich nicht, auf keiner Fall macht ein Hacker sowas.

  • Wenn Leute Sicherheitsmechanismen ignorieren bzw. durch Ignoranz/Unwissenheit aushebeln, ist ihnen nicht zu helfen.

    Mir hat es mal geholfen festzustellen, dass ein Hoster sein Netzwerk nicht in Griff hatte.

    Kunden konnten sich einfach andere IPs aus dem Pool zuweisen.

    Ein Kunde hatte seinem Server meine IP zugewiesen. Ohne SSH wäre das nicht aufgefallen.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!