Hacker Doci1989 zu Ostern zu Besuch
Moderator: Co-Administratoren
Hacker Doci1989 zu Ostern zu Besuch
Hallo liebe Gemeinde,
ich hatte diese Nacht um 2:30 Besuch von Doci1989 in meinem System. Nun komme ich nicht mehr in die CCU3 !!
1. Es wurden die Benutzer samt Passwort geändert
2. Verdatete Aktoren lassen sich nicht mehr bedienen
3. Rauchmelder auf Daueralarm (was uns gleich geweckt hat beim Angriff)
4. Alle Bewässungsventile in der Garage über die Multi I/O Box geöffnet, lassen sich nicht mehr schließen
5. Garagensteuerung fährt immer wider das Tor auf
6. Rolladen blockiert und lassen sich nicht öffnen
7. SSH ist ausgesperrt
8. wohl noch mehr was noch nicht bekannt ist !!
Ich habe ein echt aktuelles Backup hier, es läuft CuxD auf der CCU3.
Wir komme ich nun wieder in die WebUI? Würde eine neue Speicherkarte mit frischem System und eingespieltem Backup helfen?
Der Angriffspunkt ist schon diese Nacht um 2:30 geschlossen worden!!
Anzeige gegen Doci1989 wurde gestellt
ich hatte diese Nacht um 2:30 Besuch von Doci1989 in meinem System. Nun komme ich nicht mehr in die CCU3 !!
1. Es wurden die Benutzer samt Passwort geändert
2. Verdatete Aktoren lassen sich nicht mehr bedienen
3. Rauchmelder auf Daueralarm (was uns gleich geweckt hat beim Angriff)
4. Alle Bewässungsventile in der Garage über die Multi I/O Box geöffnet, lassen sich nicht mehr schließen
5. Garagensteuerung fährt immer wider das Tor auf
6. Rolladen blockiert und lassen sich nicht öffnen
7. SSH ist ausgesperrt
8. wohl noch mehr was noch nicht bekannt ist !!
Ich habe ein echt aktuelles Backup hier, es läuft CuxD auf der CCU3.
Wir komme ich nun wieder in die WebUI? Würde eine neue Speicherkarte mit frischem System und eingespieltem Backup helfen?
Der Angriffspunkt ist schon diese Nacht um 2:30 geschlossen worden!!
Anzeige gegen Doci1989 wurde gestellt
Zuletzt geändert von frank0312 am 17.04.2022, 12:09, insgesamt 1-mal geändert.
- robbi77
- Beiträge: 13860
- Registriert: 19.01.2011, 19:15
- System: CCU
- Wohnort: Landau
- Hat sich bedankt: 182 Mal
- Danksagung erhalten: 739 Mal
Re: Hacker Doci1989 zu Ostern zu Besuch
Ist ja nicht das erste mal:
search.php?keywords=Doci1989&terms=all& ... bmit=Suche
Warum ignoriert man auch die Hinweise, keine Portweiterleitung einzurichten.
search.php?keywords=Doci1989&terms=all& ... bmit=Suche
Warum ignoriert man auch die Hinweise, keine Portweiterleitung einzurichten.
-
- Beiträge: 9679
- Registriert: 27.04.2020, 10:34
- System: CCU
- Hat sich bedankt: 700 Mal
- Danksagung erhalten: 1626 Mal
Re: Hacker Doci1989 zu Ostern zu Besuch
Na dann, frohe Ostern. Wenn du nach dem "Hacker" hier im Forum suchst findest du reichlich Hinweise zum richtigen Vorgehen.
Hacker deswegen in ", weil eine Portweiterleitung sowas wie eine Einladung ist und weniger ein Hack.
Hacker deswegen in ", weil eine Portweiterleitung sowas wie eine Einladung ist und weniger ein Hack.
LG, Michael.
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++
- Black
- Beiträge: 5483
- Registriert: 12.09.2015, 22:31
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Wegberg
- Hat sich bedankt: 424 Mal
- Danksagung erhalten: 1074 Mal
- Kontaktdaten:
Re: Hacker Doci1989 zu Ostern zu Besuch
1. Angriffvektoren beseitigen.
2. Davon ausgehen, das zumindest Sicherheitsschlüssel gesetzt wurden bzw Vandalismus tätigkeiten gemacht wurden (Löschen von DV, sperren von Bedienebenen, löschen der Programme)
3. Strafanzeige gegen den Wichs.r stellen (Ohne das ich eine Strafanzeigen gegen den gesehen habe, helfe ich hier nicht weiter(und nein, ich mache da keine Aausnahmen mehr)
4. Im Vorfeld schon mal test machen:
was ergibt folgene Zeile in deinem Browser
5. rote Farbe und Pinsel suchen (siehe auch: romanes eunt domus)
6. Blinder Aktionismus wird dir absoluter Sicherheit Elektro Schrott erzeugen
Black
2. Davon ausgehen, das zumindest Sicherheitsschlüssel gesetzt wurden bzw Vandalismus tätigkeiten gemacht wurden (Löschen von DV, sperren von Bedienebenen, löschen der Programme)
3. Strafanzeige gegen den Wichs.r stellen (Ohne das ich eine Strafanzeigen gegen den gesehen habe, helfe ich hier nicht weiter(und nein, ich mache da keine Aausnahmen mehr)
4. Im Vorfeld schon mal test machen:
was ergibt folgene Zeile in deinem Browser
Code: Alles auswählen
http://IPdeinerCCU:8181/black.exe?x=dom.GetObject(950).Name()
6. Blinder Aktionismus wird dir absoluter Sicherheit Elektro Schrott erzeugen
Black
Wenn das Fernsehprogramm immer mehr durch nervende Werbung unterbrochen wird und der Radiomoderator nur noch Müll erzählt, ist es besser, die Zeit für sinnvolle Dinge zu nutzen -
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg
Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann
Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W
technical contribution against annoying advertising
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg
Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann
Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W
technical contribution against annoying advertising
- Roland M.
- Beiträge: 9804
- Registriert: 08.12.2012, 15:53
- System: CCU
- Wohnort: Graz, Österreich
- Hat sich bedankt: 252 Mal
- Danksagung erhalten: 1381 Mal
Re: Hacker Doci1989 zu Ostern zu Besuch
Hallo!
Im schlimmsten Fall produziert du dann selbst Elektronikschrott!
Das kompromittierte System muss derzeit noch weiter funktionsfähig bleiben!
1. Schritt: Portweiterleitung im Router löschen!
Roland
Ganz wichtig! Keine voreiligen Aktionen setzen!
Im schlimmsten Fall produziert du dann selbst Elektronikschrott!
Das kompromittierte System muss derzeit noch weiter funktionsfähig bleiben!
1. Schritt: Portweiterleitung im Router löschen!
Das bringt dir (noch) nichts, da mit größter Wahrscheinlichkeit auch ein Systemschlüssel gesetzt wurde (hast du klassische HM-Geräte?).Ich habe ein echt aktuelles Backup hier,
Roland
Zur leichteren Hilfestellung bitte unbedingt beachten:
-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...
- Bezeichnung (HM-... bzw. HmIP-...) der betroffenen Geräte angeben (nicht Artikelnummer)
- Kurzbeschreibung des Soll-Zustandes (Was soll erreicht werden?)
- Kurzbeschreibung des Ist-Zustandes (Was funktioniert nicht?)
- Fehlermeldungen genau abschreiben, besser noch...
- Screenshots von Programmen, Geräteeinstellungen und Fehlermeldungen (direkt als jpg/png) einstellen!
-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...
Re: Hacker Doci1989 zu Ostern zu Besuch
Black hat geschrieben: ↑17.04.2022, 12:05
4. Im Vorfeld schon mal test machen:
was ergibt folgene Zeile in deinem Browser
Code: Alles auswählen
http://IPdeinerCCU:8181/black.exe?x=dom.GetObject(950).Name()
Code: Alles auswählen
<xml>
<exec>/black.exe</exec>
<sessionId/>
<httpUserAgent>User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.75 Safari/537.36 Edg/100.0.1185.39</httpUserAgent>
<x>Anwesenheit</x>
</xml>
Zuletzt geändert von alchy am 17.04.2022, 12:19, insgesamt 2-mal geändert.
Grund: sinnloses Fullquote entfernt & Code in Codetags
Grund: sinnloses Fullquote entfernt & Code in Codetags
- Black
- Beiträge: 5483
- Registriert: 12.09.2015, 22:31
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Wegberg
- Hat sich bedankt: 424 Mal
- Danksagung erhalten: 1074 Mal
- Kontaktdaten:
Re: Hacker Doci1989 zu Ostern zu Besuch
pdf mit der ANzeige hab ich gesehen... gut.
die Anwort deiner CCU sieht auch gut aus, damit kann man ein Gegenmittel zusammenrühren.
Ich brauche von dir (per PN)
die Seriennummer deiner CCU (Sollte hinten auf der CCU3 stehen, vllt kann einer der kollegen das dagen, ich selber hab eine OVA)
die IP deiner CCU
damit kann ich dir das Öffnungsprogramm von mir Konfigurieren.
Dein Problem ist, ist Ostern, ich bin bei meiner Tochter und immo nur mit dem Handy online. Und über Handy und VPN auf meinem Server Pascal programme ändern und und compilieren ist extrem unspassig.
Black
die Anwort deiner CCU sieht auch gut aus, damit kann man ein Gegenmittel zusammenrühren.
Ich brauche von dir (per PN)
die Seriennummer deiner CCU (Sollte hinten auf der CCU3 stehen, vllt kann einer der kollegen das dagen, ich selber hab eine OVA)
die IP deiner CCU
damit kann ich dir das Öffnungsprogramm von mir Konfigurieren.
Dein Problem ist, ist Ostern, ich bin bei meiner Tochter und immo nur mit dem Handy online. Und über Handy und VPN auf meinem Server Pascal programme ändern und und compilieren ist extrem unspassig.
Black
Wenn das Fernsehprogramm immer mehr durch nervende Werbung unterbrochen wird und der Radiomoderator nur noch Müll erzählt, ist es besser, die Zeit für sinnvolle Dinge zu nutzen -
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg
Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann
Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W
technical contribution against annoying advertising
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg
Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann
Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W
technical contribution against annoying advertising
Re: Hacker Doci1989 zu Ostern zu Besuch
Port gleich in der Nacht geschlossen, möchte auch keine voreiligen Aktionen ausführen.Roland M. hat geschrieben: ↑17.04.2022, 12:08Hallo!
Ganz wichtig! Keine voreiligen Aktionen setzen!
Im schlimmsten Fall produziert du dann selbst Elektronikschrott!
Das kompromittierte System muss derzeit noch weiter funktionsfähig bleiben!
1. Schritt: Portweiterleitung im Router löschen!
Das bringt dir (noch) nichts, da mit größter Wahrscheinlichkeit auch ein Systemschlüssel gesetzt wurde (hast du klassische HM-Geräte?).Ich habe ein echt aktuelles Backup hier,
Roland
Klassische HM glaub hab ich keine bzw wenn nur 2
- Black
- Beiträge: 5483
- Registriert: 12.09.2015, 22:31
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Wegberg
- Hat sich bedankt: 424 Mal
- Danksagung erhalten: 1074 Mal
- Kontaktdaten:
Re: Hacker Doci1989 zu Ostern zu Besuch
könnte einer dem kollegen helfen und sagen, wie er an die Seriennummer der CCU3 kommt ? (von Aussen)
ich hab selber nur eine OVA und kann da nicht weiterhelfen.
Black
ich hab selber nur eine OVA und kann da nicht weiterhelfen.
Black
Wenn das Fernsehprogramm immer mehr durch nervende Werbung unterbrochen wird und der Radiomoderator nur noch Müll erzählt, ist es besser, die Zeit für sinnvolle Dinge zu nutzen -
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg
Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann
Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W
technical contribution against annoying advertising
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg
Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann
Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W
technical contribution against annoying advertising
- Roland M.
- Beiträge: 9804
- Registriert: 08.12.2012, 15:53
- System: CCU
- Wohnort: Graz, Österreich
- Hat sich bedankt: 252 Mal
- Danksagung erhalten: 1381 Mal
Re: Hacker Doci1989 zu Ostern zu Besuch
Hallo!
Roland
Sorry, sitze auch gerade 1000 km von meiner CCU entfernt... bzw. je nach Sichtweise.
Roland
Zur leichteren Hilfestellung bitte unbedingt beachten:
-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...
- Bezeichnung (HM-... bzw. HmIP-...) der betroffenen Geräte angeben (nicht Artikelnummer)
- Kurzbeschreibung des Soll-Zustandes (Was soll erreicht werden?)
- Kurzbeschreibung des Ist-Zustandes (Was funktioniert nicht?)
- Fehlermeldungen genau abschreiben, besser noch...
- Screenshots von Programmen, Geräteeinstellungen und Fehlermeldungen (direkt als jpg/png) einstellen!
-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...