Raspberry Pi OS verliert Passwort

  • Zugriff war übers INet, Pi ist auch erreichbar, sonst wäre ja 1, kein Anmeldefehler oder ...

    Welchen ssh-Client mit welchem OS benutzt Du? Wenn Linux (oder gleichwertig) mit ssh, dann poste die richtig anonymisierte Ausgabe von:

    Code
    ssh -v <user>@<IP-Adresse>

    BTW: Wenn man einen genauen ssh-Portscan machen will, benutzt man scanssh. Z. B.:

    Code
    :~# scanssh -s ssh -i eth0 87.230.104.###
    87.230.104.###:22 SSH-2.0-OpenSSH_7.9p1 Debian-10+deb10u2
    Effective host scan rate: 1.43 hosts/s

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    • KEIN CLONE ... das Problem tritt bei frisch geflashten System auf, SSH ist per ssh Datei aktiviert worden, lief ja eben auch!
    • Passwort wurde geändert, das schon (und auch das teste ich)
    • LOG liefere ich später nach
    • i.d.R. verwende ich PUTTY, aber von einem andern PI3 aus (auf dem ist das Problem nicht habe) ergibt ssh -v <user>@<IP-Adresse>:
    • und scanssh -s ssh -i eth0 87.230.104.###:
    • ..., aber von einem andern PI3 aus (auf dem ist das Problem nicht habe) ergibt ssh -v <user>@<IP-Adresse>:
    • und scanssh -s ssh -i eth0 8#.###.###.###:
    Code
    debug1: Authenticating to IP-ADRESS:22 as 'pi'
    ...
    debug1: Next authentication method: password
    pi@xyxyxyxyxyxyx's password:
    debug1: Authentications that can continue: publickey,password
    Permission denied, please try again.

    Wenn das gestern abend aus dem Internet, d. h. mit dieser IP-Adresse, mit diesem user und mit diesem Passwort funktioniert hat und jetzt nicht mehr, kann es m. E. nur am Passwort liegen.

    Hast Du Sonderzeichen im Passwort, hast Du auf deinem Server-PI (mit dem sshd) evtl. eine verschlüsselte Partition? Wird an irgendeiner Stelle evtl. QoS gemacht?


    EDIT:


    Im schlimmsten Fall, hast Du Besuch auf deinem PI gehabt und das Passwort ist geändert worden.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Edited 3 times, last by rpi444 ().

  • rpi444 bitte löschen/editieren, ...

    Verstehe nicht, ... was genau soll ich löschen?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • #43: pi@ HIER STEHT NOCH DER SERVER's password:

    OK, erledigt. D. h. dein PI ist "border device" und damit direkt im Internet.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • late response ... kam was familiäres dazwischen.


    aktueller Stand: rpi3, neu aufgesetzt, usb stick, standarduser geändert und pi gelöscht.

    lief ein paar Tage, wie lange genau weiß ich nicht. Heute komm ich nicht der drauf per SSH -> access denied!

    gut möglich, dass es wieder Stromausfälle gab. aber das System kann doch nicht so instabil sein? gibt es irgend eine brauchbare LOG, aus der man u.U. was lesen kann?
    ckfs, werde ich noch machen uns nachliefern.

  • kleiner Auszug, mir schwant böses:

  • Schön, hast Du den Gästen auch schon Bier kaltgestellt und den Grill angeworfen? 8o

    Sieht nach uneingeladenen Besuchern aus.

    Wie ist der Pi denn mit dem Internet verbunden?

    Diese Verbindung würde ich ganz schnell trennen und ggf. auch erst mal das übrige LAN gründlich scannen!


    Gruss

  • Sehr viel interessanter ist das Einfallstor!

    Ich vermute, Du wirst keine feste IP haben, oder?

    Dann evtl. eine Domain, die über DDNS und einen Dienst oder eine Web-Anwendung den Pi erreichbar macht?


    Und da der Thread nun zwei Monate alt ist, ist es natürlich wahrscheinlich, das vom Pi aus weitere Hackversuche unternommen wurden.

    Mit welchem Erfolg, darüber kann man nur spekulieren.


    Für mich wäre das ein Fall um Geld in die Hand zu nehmen und professionelle Hilfe zu suchen, je nachdem, was alles für Daten noch kompromittiert sein könnten.


    Gruss

  • ohne die log genau zu kennen sehe ich auch, dass dies böse ausschaut.
    Gefahr direkt besteht aber keine. Zwar ist das über einen dyndns Account angesteuert, aber er Pi hängt nur mit MagicMirror dran als Display.

    Sonst nichts relevantes.


    Frage ist, liegt das an der DDNS oder einfach zufälliges Opfer? Denn zufällig an zwei unterschiedlichen PI an unterschiedlichen Standorten (den zweiten komme ich erst die Tage dazu aus zulesen).

  • Relevant ist relativ. Wenn da jemand Zugriff hat(te) und Dir den Pi als Teil eines Bot-Netzes einrichtet, dann ist das u.U. nicht lustig.

    Und wie sieht es mit dem Rechner aus, von dem Du auf den Pi zugreifst? Kannst Du ausschliessen, das der infiziert wurde?


    Gruss

    • Official Post

    Sonst nichts relevantes.

    Das stimmt so nicht, denn sonst würde der SSH-Server nicht reagieren, bzw. hättest Du diese Einräge nicht in der auth.log.


    Du hast in Deinem Router eine Portfreigabe erstellt und die muss so schnell wie es geht wieder raus!


    Kannst Du ausschliessen, das der infiziert wurde?

    Das kann man nicht. Ich würde auch hier das gesamte Netzwerk als kompromittiert betrachten.

  • So ganz verstehe ich Eure Hecktik nicht. Das ist doch normales Grundrauschen wenn man einen ssh Server im Internet hat. Login Versuch und 1 Sekunde wieder weg. Das bedeutet nun absolut nicht dass sich jemand auf der Raspi erfolgreich anmelden konnte :no_sad:


    botswanabub Was bekommst Du denn fuer eine Ausgabe von last  und lastlog?

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert :fies: Bei mir tut das raspiBackup automatisch :shy: