Verdächtiger Netzwerkverkehr

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo zusammen,

    seit vielen Jahren benutze ich einen RaspberryPi zur Überwachung meiner Heizungsanlage. Die Temperaturfühler sind mittel 1-wire-Technik an den Raspberry angeschlossen. Die Daten werden grafisch aufbereitet und die Diagramme können als png-Bilder über einem Webserver, der auch auf dem Raspberry läuft, angesehen werden. Der Raspberry hat eine feste interne IP-Adresse. In dem Netz ist neben dem Temperatur-Raspberry der Router, 2 PCs und 2 Außenkameras.

    Die Abfrage der Temperaturwerte, die Aufbereitung der Bilder und ihre Verschiebung in das Webverzeichnis wird durch einen Cronjob gesteuert. Damit ich auch von außen den Webserver aufrufen kann, hatte ich eine Port-Weiterleitung auf dem Router eingerichtet.

    Ich habe mir die Bilder nur relativ selten angesehen. Als ich es jetzt mal wieder tat, Anfang Januar, stellte ich fest, dass die letzte Bilderserie vom 30. Dezember stammte, also nicht aktuell war. Weitere Untersuchungen ergaben, dass der Cronjob nicht mehr lief. Weil ich vermutete, dass von außen eingegriffen sein könnte habe ich mir unter /var/log die Datei auth.log (bzw. auth.log.4.gz) angesehen und dort verdächtige Einträge gefunden:

    Dec 30 08:45:01 raspberrytemp CRON[23676]: pam_unix(cron:session): session closed for user pi

    Dec 30 08:45:03 raspberrytemp CRON[23677]: pam_unix(cron:session): session closed for user pi

    Dec 30 08:45:12 raspberrytemp CRON[23678]: pam_unix(cron:session): session closed for user pi

    Dec 30 08:45:38 raspberrytemp sshd[23720]: Invalid user default from 4X.1XX.1XX.XX

    Dec 30 08:45:38 raspberrytemp sshd[23720]: input_userauth_request: invalid user default [preauth]

    Dec 30 08:45:38 raspberrytemp sshd[23720]: pam_unix(sshd:auth): check pass; user unknown

    Dec 30 08:45:38 raspberrytemp sshd[23720]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=4X.1XX.1XX.XX

    Dec 30 08:45:39 raspberrytemp sshd[23722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=4X.1XX.1XX.XX user=root

    Dec 30 08:45:41 raspberrytemp sshd[23720]: Failed password for invalid user default from 4X.1XX.1XX.XX port 33084 ssh2

    Dec 30 08:45:41 raspberrytemp sshd[23720]: Connection closed by 4X.1XX.1XX.XX [preauth]

    Dec 30 08:45:41 raspberrytemp sshd[23724]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=4X.1XX.1XX.XX user=root

    Dec 30 08:45:41 raspberrytemp sshd[23722]: Failed password for root from 4X.1XX.1XX.XX port 34470 ssh2

    Dec 30 08:45:41 raspberrytemp sshd[23722]: Connection closed by 4X.1XX.1XX.XX [preauth]

    Dec 30 08:45:42 raspberrytemp sshd[23730]: Invalid user sobi from 4X.1XX.1XX.XX

    Dec 30 08:45:42 raspberrytemp sshd[23730]: input_userauth_request: invalid user sobi [preauth]

    Dec 30 08:45:42 raspberrytemp sshd[23730]: pam_unix(sshd:auth): check pass; user unknown

    Dec 30 08:45:42 raspberrytemp sshd[23730]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=4X.1XX.1XX.XX

    Die Passage "Failed password ..." taucht in der Folgezeit ständig auf. Kann es sein, dass das der Versuch ist, sich einen Zugang zu verschaffen, das Gerät also zu hacken. Besonders wundert es mich, dass in meinem internen Netz eine externe IP-Adresse (4X.1XX.1XX.XX <- unkenntlich gemacht) auftaucht.. Ich meinte, dass bei der Port-Weiterleitung über NAT die externe Adresse gegen eine interne ausgetauscht wird.

    Außerdem frage ich mich, warum Cron nicht mehr funktioniert. In der Crontab fehlen alle Einträge. Vom Dateidatum her wurde die Crontab aber nicht neu geschrieben.

    PRETTY_NAME="Raspbian GNU/Linux 8 (jessie)"

    NAME="Raspbian GNU/Linux"

    VERSION_ID="8"

    VERSION="8 (jessie)"

    ID=raspbian

    ID_LIKE=debian

    Ich habe erst mal den Raspberry abgeschaltet und die Portweiterleitung gelöscht.

    Viele Grüße

    seyd

  • Die Passage "Failed password ..." taucht in der Folgezeit ständig auf. Kann es sein, dass das der Versuch ist, sich einen Zugang zu verschaffen, das Gerät also zu hacken

    Ja

    Besonders wundert es mich, dass in meinem internen Netz eine externe IP-Adresse (4X.1XX.1XX.XX <- unkenntlich gemacht) auftaucht.

    Mit whois <ip> kannst Du nachsehen von wo der Besucher kommt.

    Ich meinte, dass bei der Port-Weiterleitung über NAT die externe Adresse gegen eine interne ausgetauscht wird.

    Wie Du siehst - nein.

    Außerdem frage ich mich, warum Cron nicht mehr funktioniert. In der Crontab fehlen alle Einträge. Vom Dateidatum her wurde die Crontab aber nicht neu geschrieben.

    Klingt nicht gut. Ich wuerde erst einmal das Portforwarding ausschalten. Dann mal auf der Raspi mit last nachsehen ob der Besucher erfolgreich war.

  • Hallo seyd,

    willkommen im Forum! :)

    Du hast offensichtlich den Port 22 (insofern der von Dir nicht geändert wurde) für SSH nach draußen offen. Da ist es kein Wunder, dass Du früher oder später Besuch von neugierigen Bots oder unliebsamen Usern bekommst.

    Außerdem frage ich mich, warum Cron nicht mehr funktioniert. In der Crontab fehlen alle Einträge.

    You're hacked! ;( Damit musst Du Dein komplettes internes Netzwerk als korrumpiert betrachten und verdammt vorsichtig sein, vor allem was mit Geld (Paypal / Onlinebanking etc.) zu tun hat. Das ist eine wirklich blöde Situation. Im "besten" Fall braucht der Angreifer "nur" einen weiteren Bot im I-Net.

  • Vom Dateidatum her wurde die Crontab aber nicht neu geschrieben.

    schon das normale Programm 'touch' kann das Datum setzten, wenn man eine Datei (fast) unbemerkt ändern will, speichert man das Datum, ändert die Datei und touched es dann zurück

    https://de.wikipedia.org/wiki/Touch_(Unix)

    Zitat

    -d, --date=STRING

    analysiert STRING und nutzt es anstelle der aktuellen Zeit

    Computer ..... grrrrrr

    Einmal editiert, zuletzt von Rasp-Berlin (26. Januar 2023 um 19:18)

  • You're hacked! ;( Damit musst Du Dein komplettes internes Netzwerk als korrumpiert betrachten und verdammt vorsichtig sein, vor allem was mit Geld (Paypal / Onlinebanking etc.) zu tun hat. Das ist eine wirklich blöde Situation. Im "besten" Fall braucht der Angreifer "nur" einen weiteren Bot im I-Net.

    Schon mal danke für eure Hinweise! Ich habe die Portweiterleitung gelöscht und den Raspberry shutdowned.

    Wie würdet ihr weiter vorgehen?

  • Du musst Dein ganzes Netzwerk, sämtliche PCs, auf Schadsoftware untersuchen!

    Evtl. ist es sogar angeraten, hier professionelle Unterstützung anzufragen.

    Um ehrlich zu sein: wäre es mein Netzwerk, würde ich so ziemlich alles plattmachen und komplett neu aufsetzen, d.h. sämtliche Festplatten löschen und komplett von vorne beginnen.

    Ich würde in so einem Fall vom Super GAU ausgehen.

    Hoffentlich gibt es vernünftige Backups für die Daten.

    Wenn Du auch wie o.a. irgendwelche Apps zum Onlinebanking benutzt: sofort alle Passwörter ändern, aber nicht von einem der jetzt im Betrieb befindlichen PCs.

    Man kann nur raten, was alles manipuliert wurde. Wenn Keylogger installiert wurden, dann hat der Hacker gleich die neuen Kennwörter.

    Niemals irgendwelche offenen Ports vom Internet her zugänglich machen!

    Gruss

  • Niemals irgendwelche offenen Ports vom Internet her zugänglich machen!

    Jetzt übertreibst du aber, ich habe auch Ports freigegeben, aber halt für VPN, ftp, smtp, pop3 und httpd.

    Aber ja, in dem Fall würde ich auch erst mal die log-Dateien durchstöbern, welcher Angriff denn erfolgreich war.

    Wurden auf dem Pi Benutzernamen und Passwörter eingegeben, die auch anderweitig genutzt wurden ?

    Wurden Benutzernamen und Passwörter auf dem Pi gespeichert, die den Zugriff auf andere Geräte oder Dienste (wie z.B. Emails) ermöglichen ?

    Welche Geräte stehen noch im Netzwerk, die infiltriert sein könnten ?

  • Jetzt übertreibst du aber, ich habe auch Ports freigegeben, aber halt für VPN, ftp, smtp, pop3 und httpd.

    Aber ja, in dem Fall würde ich auch erst mal die log-Dateien durchstöbern, welcher Angriff denn erfolgreich war.

    Wurden auf dem Pi Benutzernamen und Passwörter eingegeben, die auch anderweitig genutzt wurden ?

    Wurden Benutzernamen und Passwörter auf dem Pi gespeichert, die den Zugriff auf andere Geräte oder Dienste (wie z.B. Emails) ermöglichen ?

    Welche Geräte stehen noch im Netzwerk, die infiltriert sein könnten ?

    In der auth.log habe ich gefühlt 100 Versuche gesehen über mehrere Tage. Wie stelle ich fest, ob einer erfolgreich war? Ich könnte es ja auch selbst gewesen sein, der sich eingeloggt hat. In welchen log-Dateien finden sich sonst noch Hinweise?

    Mir bekannte Benutzernamen und Passwörter habe ich nicht gesehen. Benutzernamen und Passwörter für andere Geräte sind nicht gespeichert.

    Im Netz gibt es noch 2 Außenkameras und leider 2 PCs, mit denen ich die üblichen Arbeiten erledige.

  • Auffälligkeiten sind z.B. fehlende Einträge in den Logs zu Zeiten, in denen der RPi definitiv lief. Da würde ich die /var/log/syslog(s) mal danach absuchen.

    Weiterhin kannst Du den RPi an einen Moni mit Maus und Tastatur anschließen, das WLAN deaktivieren, LAN-Kabel auch raus und mit

    Code
    netstat -tulpen

    nachsehen, was auf den Ports lauscht. Bin gerade nicht sicher, ob das als User ausreicht oder ggf. ein sudo vorangestellt werden muss.

  • Bin gerade nicht sicher, ob das als User ausreicht oder ggf. ein sudo vorangestellt werden muss.

    Mit sudo siehst Du noch welcher Task den Port geoeffnet hat.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!