Hallo zusammen,
seit vielen Jahren benutze ich einen RaspberryPi zur Überwachung meiner Heizungsanlage. Die Temperaturfühler sind mittel 1-wire-Technik an den Raspberry angeschlossen. Die Daten werden grafisch aufbereitet und die Diagramme können als png-Bilder über einem Webserver, der auch auf dem Raspberry läuft, angesehen werden. Der Raspberry hat eine feste interne IP-Adresse. In dem Netz ist neben dem Temperatur-Raspberry der Router, 2 PCs und 2 Außenkameras.
Die Abfrage der Temperaturwerte, die Aufbereitung der Bilder und ihre Verschiebung in das Webverzeichnis wird durch einen Cronjob gesteuert. Damit ich auch von außen den Webserver aufrufen kann, hatte ich eine Port-Weiterleitung auf dem Router eingerichtet.
Ich habe mir die Bilder nur relativ selten angesehen. Als ich es jetzt mal wieder tat, Anfang Januar, stellte ich fest, dass die letzte Bilderserie vom 30. Dezember stammte, also nicht aktuell war. Weitere Untersuchungen ergaben, dass der Cronjob nicht mehr lief. Weil ich vermutete, dass von außen eingegriffen sein könnte habe ich mir unter /var/log die Datei auth.log (bzw. auth.log.4.gz) angesehen und dort verdächtige Einträge gefunden:
Dec 30 08:45:01 raspberrytemp CRON[23676]: pam_unix(cron:session): session closed for user pi
Dec 30 08:45:03 raspberrytemp CRON[23677]: pam_unix(cron:session): session closed for user pi
Dec 30 08:45:12 raspberrytemp CRON[23678]: pam_unix(cron:session): session closed for user pi
Dec 30 08:45:38 raspberrytemp sshd[23720]: Invalid user default from 4X.1XX.1XX.XX
Dec 30 08:45:38 raspberrytemp sshd[23720]: input_userauth_request: invalid user default [preauth]
Dec 30 08:45:38 raspberrytemp sshd[23720]: pam_unix(sshd:auth): check pass; user unknown
Dec 30 08:45:38 raspberrytemp sshd[23720]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=4X.1XX.1XX.XX
Dec 30 08:45:39 raspberrytemp sshd[23722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=4X.1XX.1XX.XX user=root
Dec 30 08:45:41 raspberrytemp sshd[23720]: Failed password for invalid user default from 4X.1XX.1XX.XX port 33084 ssh2
Dec 30 08:45:41 raspberrytemp sshd[23720]: Connection closed by 4X.1XX.1XX.XX [preauth]
Dec 30 08:45:41 raspberrytemp sshd[23724]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=4X.1XX.1XX.XX user=root
Dec 30 08:45:41 raspberrytemp sshd[23722]: Failed password for root from 4X.1XX.1XX.XX port 34470 ssh2
Dec 30 08:45:41 raspberrytemp sshd[23722]: Connection closed by 4X.1XX.1XX.XX [preauth]
Dec 30 08:45:42 raspberrytemp sshd[23730]: Invalid user sobi from 4X.1XX.1XX.XX
Dec 30 08:45:42 raspberrytemp sshd[23730]: input_userauth_request: invalid user sobi [preauth]
Dec 30 08:45:42 raspberrytemp sshd[23730]: pam_unix(sshd:auth): check pass; user unknown
Dec 30 08:45:42 raspberrytemp sshd[23730]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=4X.1XX.1XX.XX
Die Passage "Failed password ..." taucht in der Folgezeit ständig auf. Kann es sein, dass das der Versuch ist, sich einen Zugang zu verschaffen, das Gerät also zu hacken. Besonders wundert es mich, dass in meinem internen Netz eine externe IP-Adresse (4X.1XX.1XX.XX <- unkenntlich gemacht) auftaucht.. Ich meinte, dass bei der Port-Weiterleitung über NAT die externe Adresse gegen eine interne ausgetauscht wird.
Außerdem frage ich mich, warum Cron nicht mehr funktioniert. In der Crontab fehlen alle Einträge. Vom Dateidatum her wurde die Crontab aber nicht neu geschrieben.
PRETTY_NAME="Raspbian GNU/Linux 8 (jessie)"
NAME="Raspbian GNU/Linux"
VERSION_ID="8"
VERSION="8 (jessie)"
ID=raspbian
ID_LIKE=debian
Ich habe erst mal den Raspberry abgeschaltet und die Portweiterleitung gelöscht.
Viele Grüße
seyd