Posts by botswanabub

Hallo mal ein kurzes Feedback nach ein paar Tagen. Scheinbar scheint das Problem eben einfach die mangelnde "Sicherheit" zu sein.

Mit neuem System, geänderten Usern und Ports läuft das System bis dato ohne Probleme. Auch die anfangs von mir vermuteten Stromausfälle (es gab def. 2 davon, mehr weiß ich nicht) haben dem System erwartungsgemäß nichts angetan.

Rätselhaft bleibt, wie mein geändertes PI Passwort "erraten" worden sein soll oder wie auch immer da wohl Jemand "eingebrochen" ist.

Danke an alle die mir geholfen haben und mich schlauer gemacht haben !!!

wieso nicht konkret? Welche Infos fehlt denn? Hab alles beschrieben was läuft.

Quote from rpi444

Wenn dein System nicht richtig konfiguriert ist, kann das passieren.

heißt konkret?

kurzes aktuelles Feedback: user gewechselt, pw sowieso, port gewechselt und seit ein her ist bis dato ruhe ... mal sehen wann se den finden.

Interessant ist das Einfallsreichtum mit dem Versucht wird da einzudringen. Nun eine Frage, könnte es sein, dass durch die permanenten Logins das System einfach sperrt und ich daher nicht mehr rein komme?

Anbei lastb Auszug

RTFM sorry, aber das macht doch keinen Sinn. Ersten ist mein Windows PC definitiv sauber (kannst mir glauben, dass ist meine Domäne). Zweits ist da nirgends das Passwort hinterlegt welches am RPI genutzt wird. Das schließe ich aus.

Das mit irgend nem Schadprogramm wäre denkbar, aber dann werde ich das ja sehen. Kaputt machen kann mir da keiner was. Daten klauen auch nicht ...

was mir noch aufgefallen ist, was ist das?
CRON[3911]: pam_unix(cron:session): session opened for user root by (uid=0)

FSC830 die Software ist RPI OS mit MagicMirror darauf, mehr nicht. Mir ist nix in MM bekannt, zumindest was ich recherchieren konnte und gut wenns ein problem mit ROS gibt ... dann blöd

ach ja, und alles immer up2date gehalten.

bin ich voll bei dir hyle, ergo bleibt ja nur noch ein einbruch ...

dann aber wäre ich erstaunt, dass sie ein 10 Stelliges PW meines Users geknackt haben ... in so kurzer Zeit.

Nun mal sehen wie lange es nun läuft: neuer user, neuer port, neue URL und andere PWs. Zumindest von gestern bis heute keine Anmeldeversuche und ein noch funktionierendes PW

zugegeben, zunächst war er das (also 22). nun habe ich das geändert. zumal ist es letztlich nicht egal, wenn die IP nach offenen ports scannen kommen se irgendwann auf jeden?

normal melde ich mich über putty an, dann steht da login as:

nun mal aus Linux heraus mit ssh USER@HOST -p xxxx -v:

ja es ist kein anderer PC/PI in diesem Netzwerk angeschlossen, ich habe bei den beiden Problem PI folgende Konfiguration:

1. ROUTER (Standort 1):

-> PI

-> SAT

-> TV

-> hin und wieder ein Handy

2. ROUTER (Standort 2):

-> PI

-> ARLO Basis

daher ist das Einloggen auf einem falschen PI nicht möglich. Zumal, zugegebener weise fahrlässig, ich im ersten Augenblick bei beiden die gleichen Zugangsdaten hatte. Selbst wenn ich am falschen PI gewesen sein möchte, dann müsste der Login klappen.

also mit einem anderen Rechner bin ich/war ich definitiv nicht verbunden, mag sein, dass dies eine Fehlerquelle per se ist, aber in dem Fall nicht zutreffend.

30 Jan könnte der Tag sein, an dem ich das System aufgesetzt habe, somit klar anfangs mit "pi" angemeldet.
Das Problem gibts erst seit 1-2 Tagen.

Quote from framp

und das pi nicht auftaucht denke ich dass der nicht mehr existiert.

das verstehe ich nicht? Ist auch irgendwie doppelt verneint.

aber der Standardaccount war ja gar nicht mehr vorhanden, ist gelöscht und das PW für den User ja auch nicht gerade 1234. Zumal es aus meiner Sicht keinen Login gab, den ich nicht zuordnen kann. Lediglich Versuche.

Es steht ja auch nach wie vor im Raum, ob das was mit dem Stromausfall zu tun hat. Dazu werde ich das ding aus dem Inet nehmen und mal beobachten ob das Problem weiterhin auftritt.

Dennoch bin ich natürlich interessiert, wenn jmd etwas rauslesen kann aus den Infos, dass zu erfahren!!! Also ein großes Danke an alle.

nun ja, weil kein anderer Rechner an dem Netz hängt. Oder was meinst du?
Zumal ich mich ja wieder einloggen kann, sobald ich das PW wiederhergestellt habe.

stat -c '%y' /etc/{passwd,shadow}:

2021-01-30 14:21:33.355626169 +0100
2021-02-09 21:16:19.645990433 +0100

wend es laufen keine anderen Rechner an dem Anschluss. Ein Sat-Receiver, ein TV und hin und wieder das ein oder andere Handy, sonst nix.

Quote from framp

So ganz verstehe ich Eure Hecktik nicht. Das ist doch normales Grundrauschen wenn man einen ssh Server im Internet hat. Login Versuch und 1 Sekunde wieder weg. Das bedeutet nun absolut nicht dass sich jemand auf der Raspi erfolgreich anmelden konnte

botswanabub Was bekommst Du denn fuer eine Ausgabe von last  und lastlog?

anbei, für mein Verständnis nix auffälliges.

Noch mal eben zur Klarstellung: Grundsätzlich hatte ich das Phänomen an zwei Standorten mit unterschiedlichen PI's (jeweils mit RPI OS) und unterschiedlicher Anwendersoftware (MagicMirror und mosquitto).

Beide allerdings per DDNS erreichbar gemacht. SSH Port und ein weitere Anwendungsspezifischer Port freigegeben. Mehr eigentlich nicht.

Es dauerte dann immer eine Zeit X (unbestimmt, aber wir reden von Tag(en)), bis der Zugang per SSH nicht mehr möglich war.

ohne die log genau zu kennen sehe ich auch, dass dies böse ausschaut.
Gefahr direkt besteht aber keine. Zwar ist das über einen dyndns Account angesteuert, aber er Pi hängt nur mit MagicMirror dran als Display.

Sonst nichts relevantes.

Frage ist, liegt das an der DDNS oder einfach zufälliges Opfer? Denn zufällig an zwei unterschiedlichen PI an unterschiedlichen Standorten (den zweiten komme ich erst die Tage dazu aus zulesen).

kleiner Auszug, mir schwant böses:

hyle ok, sorry ist mir entgangen ... liefere ich morgen nach!

late response ... kam was familiäres dazwischen.

aktueller Stand: rpi3, neu aufgesetzt, usb stick, standarduser geändert und pi gelöscht.

lief ein paar Tage, wie lange genau weiß ich nicht. Heute komm ich nicht der drauf per SSH -> access denied!

gut möglich, dass es wieder Stromausfälle gab. aber das System kann doch nicht so instabil sein? gibt es irgend eine brauchbare LOG, aus der man u.U. was lesen kann?
ckfs, werde ich noch machen uns nachliefern.