Hack von Doci1989- Komm nicht ins WebUI

Einrichtung, Anschluss und Programmierung der HomeMatic CCU

Moderator: Co-Administratoren

Benutzeravatar
Baxxy
Beiträge: 10603
Registriert: 18.12.2018, 15:45
System: Alternative CCU (auf Basis OCCU)
Hat sich bedankt: 594 Mal
Danksagung erhalten: 2173 Mal

Re: Hack von Doci1989- Komm nicht ins WebUI

Beitrag von Baxxy » 29.12.2021, 14:49

Black, die Alternative funktioniert. Hatte ich zu spät gesehen.

Code: Alles auswählen

<xml>
<exec>/black.exe</exec>
<sessionId/>
<httpUserAgent>User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36</httpUserAgent>
<x>Admin Baxxy-Admin Baxxy-Gast Baxxy-User RemoteApi</x>
</xml>

Eichkamp65
Beiträge: 8
Registriert: 28.12.2021, 13:33
System: CCU
Danksagung erhalten: 1 Mal

Re: Hack von Doci1989- Komm nicht ins WebUI

Beitrag von Eichkamp65 » 29.12.2021, 15:35

Black hat geschrieben:
29.12.2021, 14:21
Ich sah in der Antwort eine Apple Maschine. Kannst du eine Windows exe ausführen auf deinem Rechner?

Da wir wahrscheinlich anders ansetzen müssen, poste mir bitte die Ausgabe von

Code: Alles auswählen

 http://IPdeinerCCU:8181/black.exe?x=string s;foreach(s,dom.GetObject(ID_USERS).EnumNames()) {WriteLine(s);}
Black
Hallo- nein ist Windows und Chrome. Kein Apple.
<xml>
<exec>/black.exe</exec>
<sessionId/>
<httpUserAgent>User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36</httpUserAgent>
<x>string</x>
</xml>

Benutzeravatar
Black
Beiträge: 5460
Registriert: 12.09.2015, 22:31
System: Alternative CCU (auf Basis OCCU)
Wohnort: Wegberg
Hat sich bedankt: 417 Mal
Danksagung erhalten: 1069 Mal
Kontaktdaten:

Re: Hack von Doci1989- Komm nicht ins WebUI

Beitrag von Black » 29.12.2021, 16:29

SO, da ich nicht weiss, was unser Honk bei dir getrieben hatte, hab ich dir das gleiche Programm wie damals für den Kollegen fertig gemacht.

es ist aus Sicherheitsgründen gebrandet: es wird also nur eine Verbindung zu der IP aufnehmen, die du mir per PN geschickt hattest und aktiviert sich auch nur, wenn es dort die mir ebenfalls geschickte Seriennummer findet.

wenn du den Anweisungen in der PN gefolgt bist und alle Angaben stimmten, hast du anschliessend einen neuen Admin User mit dem Passwort, was ich dir in der PN geschickt hatte.
Damit loggst du dich bitte ein, räumst den Müll vond dem Honk weg, richtest dir einen Admin Zugang an, danach löschst du bitte den neu angelegten User oder Änderst zumindest umgehend das Passwort. Nach Erfolg vernichte bitte auch die Exe Datei. (ist gebrandet, aber eleminiere die trotzdem !!!)

wenn du wieder zugang hast, dann das gleiche SPiel, was der KOllege damals auch machen musste:

sofort backup machen
prüfen ob der schlüssel geändert wurde, wenn ja, wieder einen eigenen key vergeben und diesen an !!!!alle!!!!! geräte übertragen
nochmal backup machen.

danach zitiere ich cmjay aus dem anderen Tread:
Dann ist jetzt ein guter Zeitpunkt für die versprochene Standpauke gekommen.
Zur Strafe schreibst du jetzt 100x in grossen, roten Lettern an deine Hauswand:
"ICH WERDE NIE WIEDER SO BESCHEUERT SEIN, MEINE CCU (ODER EINEN ANDEREN SERVER) VÖLLIG UNGESICHERT PER PORTWEITERLEITUNG VOM INTERNET AUS ERREICHBAR ZU MACHEN!!!"

und ich helfe genau ein mal... sollte es ein zweites mal geben: keine Einsicht - kein Mitleid

Black
Wenn das Fernsehprogramm immer mehr durch nervende Werbung unterbrochen wird und der Radiomoderator nur noch Müll erzählt, ist es besser, die Zeit für sinnvolle Dinge zu nutzen -
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg

Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann

Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W

technical contribution against annoying advertising

Benutzeravatar
Black
Beiträge: 5460
Registriert: 12.09.2015, 22:31
System: Alternative CCU (auf Basis OCCU)
Wohnort: Wegberg
Hat sich bedankt: 417 Mal
Danksagung erhalten: 1069 Mal
Kontaktdaten:

Re: Hack von Doci1989- Komm nicht ins WebUI

Beitrag von Black » 29.12.2021, 17:47

Die CCU von dem Kollegen ist nun wieder zugänglich. Sein Bericht folgt dann.

Das ganze war wegen CCU1 etwas holperig, der Originalcode von mir ging nicht (Befehlssatz der CCU1 , uralt Rega mit Befehlssatz und so). Es ging dann aber Plan b.
Plan c, die schnell nebenher auf Uralt CCU1 Syntax umgeschriebene Original Syntax hätte ich nun auch noch, der liegt nun auch als Plan C im Giftschrank

Alles weitere ist dann wieder hier im Thread.

Black
Wenn das Fernsehprogramm immer mehr durch nervende Werbung unterbrochen wird und der Radiomoderator nur noch Müll erzählt, ist es besser, die Zeit für sinnvolle Dinge zu nutzen -
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg

Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann

Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W

technical contribution against annoying advertising

cmjay
Beiträge: 2371
Registriert: 19.09.2012, 10:53
System: CCU
Wohnort: Jottweedee
Hat sich bedankt: 249 Mal
Danksagung erhalten: 348 Mal

Re: Hack von Doci1989- Komm nicht ins WebUI

Beitrag von cmjay » 09.01.2022, 15:33

Die CCU von dem Kollegen ist nun wieder zugänglich. Sein Bericht folgt dann.
Tja, oftmals schlagen die Leute nur kurz hier im Forum auf wenn sie dringend Hilfe suchen. Ist das Problem dann durch einen freundlichen Helfer gelöst, geht die Motivation der Nutznießer zur Rückmeldung leider oft gegen null ... :evil:
Es kann leider nicht ganz ausgeschlossen werden, dass ich mich irre.
HmIP muss leider draussen bleiben. in Ausnahmefällen erlaubt
ACHTUNG! Per Portweiterleitung aus dem Internet erreichbare CCU-WebUI ist unsicher! AUCH MIT PASSWORTSCHUTZ! Daher: Portweiterleitung deaktivieren!

Eichkamp65
Beiträge: 8
Registriert: 28.12.2021, 13:33
System: CCU
Danksagung erhalten: 1 Mal

Re: Hack von Doci1989- Komm nicht ins WebUI

Beitrag von Eichkamp65 » 09.01.2022, 22:15

Hallo, der Frust ist berechtigt, aber tatsächlich bin ich erst gestern dazu gekommen den Umzug zur neuen CCU zu machen und zu analysieren was Doci1989 da alles gemacht hat.

Die Analyse ist noch nicht abgechlossen, aber hier die Zusammenfassung:

Zwei neue User eingerichtet und der Autostart ohne User abgeschaltet. Admin Passwort geändert. So kam man nicht rein.
Alle Programme und direkten Verknüpfungen gelöscht.
Ich glaube, ein neuer Systemschlüssel wurde vergeben (habe ich aber nicht im Detail überprüft, aber für alle Geräte standen Konfigurationsbefehle an).
Alle Rolläden hoch, manuelle Benutzung zum Glück nicht gesperrt (also per Taster ging noch). Sirene nicht an (zum Glück), Schaltaktoren waren teilweise an. Systemlog war gelöscht.

Ich konnte jedenfalls alle Sensoren/Aktoren auf die neue CCU bringen- hätte sicher auch die alte weiterbetreiben können, aber ich wollte sowieso umstellen.

Vielen Dank für die Hilfe, sonst hätte ich die ganzen Sensoren/Aktoren wegwerfen können. EQ-3 war nicht sehr hilfreich- die verstehen Datensicherheit so, das die Aktoren/ Sensoren vor Diebstahl geschützt werden :(
Sonst war es natürlich die Portfreigabe, über die er reingekommen ist.

fortunasven
Beiträge: 37
Registriert: 16.01.2022, 17:05
System: CCU
Hat sich bedankt: 1 Mal
Danksagung erhalten: 6 Mal

Re: Hack von Doci1989- Komm nicht ins WebUI

Beitrag von fortunasven » 16.01.2022, 17:16

Guten Abend,
ich habe seit über zwei Jahren meine Lichtsteuerung, sowie die Heizungssteuerung über Homematic realisiert. Hat immer wunderbar funktioniert, doch nun wurde meine CCU3 gehackt. Es wurden 3 Benutzer (Admin, Doci1989, hacked by)angelegt und natürlich Passwörter vergeben. Alle Lampen waren an, alle Heizungen auf Manuel und 30 Grad gestellt. Ich bin leider erst am Mittwoch wieder Zuhause, aber ich konnte per Pocketcontrol aus der Ferne wenigstens die Lampen abstellen, sowie die Heizung runterfahren. Per Cloudmatic...allerdings habe ich in der Fritzbox entdeckt, dass anscheinend noch von meiner Experimentierphase Ports freigeschaltet waren...

Ich habe wie gesagt keinen Zugriff mehr auf die CCU und kann dementsprechend nicht mal eben ein Backup einpflegen. Die CCU ist nun vom Netz getrennt bis ich komme, aber wie muss ich dann vorgehen um mit möglichst wenig Schaden aus der Sache zu kommen?
Ich habe nie gedacht, dass es im Interesse von jemanden sein könnte ein paar Lampen an machen zu wollen, daher muss ich auch zugeben, dass ich mit mit der Absicherung nicht ausreichend beschäftigt habe.
Ich hoffe, dass mir jemand helfen kann, das System wieder ans Laufen zu bekommen. Dafür wäre ich äußerst dankbar.

schlichi
Beiträge: 385
Registriert: 26.08.2016, 19:26
System: Alternative CCU (auf Basis OCCU)
Wohnort: Erding
Hat sich bedankt: 60 Mal
Danksagung erhalten: 26 Mal

Re: Hack von Doci1989- Komm nicht ins WebUI

Beitrag von schlichi » 16.01.2022, 18:56

Hallo an den Leidtragenden,

ich gehe davon aus, daß DIr geholfen wird.

Ich würde aber nicht soweit gehen,
Black hat geschrieben:
29.12.2021, 16:29

Zur Strafe schreibst du jetzt 100x in grossen, roten Lettern an deine Hauswand:
"ICH WERDE NIE WIEDER SO BESCHEUERT SEIN, MEINE CCU (ODER EINEN ANDEREN SERVER) VÖLLIG UNGESICHERT PER PORTWEITERLEITUNG VOM INTERNET AUS ERREICHBAR ZU MACHEN!!!"

Black
aber Strafe muß sein, deshalb wendest Du dich bitte an diese kompetente Adresse. :)

Gruß
schlichi
... inzwischen autodidakter, fortgeschrittener Anfänger mit bestandener Einstiegsprüfung für den Expertenmodus Teil 3 (erfahrener Anwender) :roll:

Benutzeravatar
Black
Beiträge: 5460
Registriert: 12.09.2015, 22:31
System: Alternative CCU (auf Basis OCCU)
Wohnort: Wegberg
Hat sich bedankt: 417 Mal
Danksagung erhalten: 1069 Mal
Kontaktdaten:

Re: Hack von Doci1989- Komm nicht ins WebUI

Beitrag von Black » 16.01.2022, 19:09

Nun ja, das mit den 100 mal in roten Lettern ist eher diesem Filmausschnitt geschuldet ... :mrgreen: :mrgreen:

Link auf YouTube: ROMANES EUNT DOMUS

Aber um dem Doki1989 das Leben vllt bisschen ungemütlicher zu machen, mit
schlichi hat geschrieben:
16.01.2022, 18:56
.... deshalb wendest Du dich bitte an diese kompetente Adresse.
hast du mich darin bestärkt, dass ich ab jetzt da erst helfend tätg werde, wenn der Geschädigte die Strafanzeige gegen Doki1989 nachweist.

Und vllt pinnt @Roland M. den Thread mal an, damit allen "mir passiert nichts" Glauber sehen, was der Honk für ein Chaos auf den Systemen hinterlässt.
Bei geändertem Sicherheitsschlüssel gäbe es, wenn die CCU nicht doch zu öffnen ist, eine Menge teuren Elektroschrott bei den Geschädigten.

Black
Wenn das Fernsehprogramm immer mehr durch nervende Werbung unterbrochen wird und der Radiomoderator nur noch Müll erzählt, ist es besser, die Zeit für sinnvolle Dinge zu nutzen -
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg

Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann

Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W

technical contribution against annoying advertising

Ondas[tm]
Beiträge: 712
Registriert: 09.04.2017, 10:16
System: CCU
Wohnort: Nierstein [D]
Hat sich bedankt: 90 Mal
Danksagung erhalten: 68 Mal

Re: Hack von Doci1989- Komm nicht ins WebUI

Beitrag von Ondas[tm] » 17.01.2022, 15:21

Black hat geschrieben:
16.01.2022, 19:09
Aber um dem Doki1989 das Leben vllt bisschen ungemütlicher zu machen, mit
schlichi hat geschrieben:
16.01.2022, 18:56
.... deshalb wendest Du dich bitte an diese kompetente Adresse.
hast du mich darin bestärkt, dass ich ab jetzt da erst helfend tätg werde, wenn der Geschädigte die Strafanzeige gegen Doki1989 nachweist.
Finde ich gut!
Ich habe den Thread eben mal genutzt, um bei mir nachzusehen... Ich halte mich ja für relativ vorsichtig.
Früher gab es mal die Empfehlung (war, glaube ich, aus dem ELV-Forum) den Port 123 für NTP auch frei zu geben, extern -> intern. Das habe ich damals gemacht, aber vor langem auf die FritzBox! als NTP-Server umgestellt. Allerdings habe ich tatsächlich den Port 123 offen gelassen.
Das habe ich jetzt mal gelöscht. Keine Ahnung. ob man den Port nutzen kann, spielt aber keine Rolle, unnötiges Risiko.

Kann also jeden nur empfehlen, auch ohne aktuellen Auslöser, mal nachzusehen, ob nicht noch Altlasten rumgammeln.

Ralf
Aufgrund wiederholter nerviger Werbung und "product placement" würde ich mein Haus eher entsmarten als Mediola/NEO zu kaufen.

Antworten

Zurück zu „HomeMatic Zentrale (CCU / CCU2 / CCU3 / Charly)“