Hacker Doci1989 zu Ostern zu Besuch

[frank0312]

Hallo liebe Gemeinde,

ich hatte diese Nacht um 2:30 Besuch von Doci1989 in meinem System. Nun komme ich nicht mehr in die CCU3 !!

1. Es wurden die Benutzer samt Passwort geändert
2. Verdatete Aktoren lassen sich nicht mehr bedienen
3. Rauchmelder auf Daueralarm (was uns gleich geweckt hat beim Angriff)
4. Alle Bewässungsventile in der Garage über die Multi I/O Box geöffnet, lassen sich nicht mehr schließen
5. Garagensteuerung fährt immer wider das Tor auf
6. Rolladen blockiert und lassen sich nicht öffnen
7. SSH ist ausgesperrt
8. wohl noch mehr was noch nicht bekannt ist !!

Ich habe ein echt aktuelles Backup hier, es läuft CuxD auf der CCU3.

Wir komme ich nun wieder in die WebUI? Würde eine neue Speicherkarte mit frischem System und eingespieltem Backup helfen?

Der Angriffspunkt ist schon diese Nacht um 2:30 geschlossen worden!!

Anzeige gegen Doci1989 wurde gestellt

Polizei Nordrhein-Westfalen _ Portal für Onlineanzeigen und Hinweise.pdf

(36.77 KiB) 208-mal heruntergeladen

[robbi77]

Ist ja nicht das erste mal:
search.php?keywords=Doci1989&terms=all& ... bmit=Suche

Warum ignoriert man auch die Hinweise, keine Portweiterleitung einzurichten.

[MichaelN]

Na dann, frohe Ostern. Wenn du nach dem "Hacker" hier im Forum suchst findest du reichlich Hinweise zum richtigen Vorgehen.

Hacker deswegen in ", weil eine Portweiterleitung sowas wie eine Einladung ist und weniger ein Hack.

[Black]

1. Angriffvektoren beseitigen.
2. Davon ausgehen, das zumindest Sicherheitsschlüssel gesetzt wurden bzw Vandalismus tätigkeiten gemacht wurden (Löschen von DV, sperren von Bedienebenen, löschen der Programme)

3. Strafanzeige gegen den Wichs.r stellen (Ohne das ich eine Strafanzeigen gegen den gesehen habe, helfe ich hier nicht weiter(und nein, ich mache da keine Aausnahmen mehr)

4. Im Vorfeld schon mal test machen:
was ergibt folgene Zeile in deinem Browser

Code: Alles auswählen

http://IPdeinerCCU:8181/black.exe?x=dom.GetObject(950).Name()

5. rote Farbe und Pinsel suchen (siehe auch: romanes eunt domus)

6. Blinder Aktionismus wird dir absoluter Sicherheit Elektro Schrott erzeugen



Black

[Roland M.]

Hallo!

ich hatte diese Nacht um 2:30 Besuch von Doci1989 in meinem System. Nun komme ich nicht mehr in die CCU3 !!

Ganz wichtig! Keine voreiligen Aktionen setzen!
Im schlimmsten Fall produziert du dann selbst Elektronikschrott!
Das kompromittierte System muss derzeit noch weiter funktionsfähig bleiben!

1. Schritt: Portweiterleitung im Router löschen!

Ich habe ein echt aktuelles Backup hier,

Das bringt dir (noch) nichts, da mit größter Wahrscheinlichkeit auch ein Systemschlüssel gesetzt wurde (hast du klassische HM-Geräte?).


Roland

[frank0312]

4. Im Vorfeld schon mal test machen:
was ergibt folgene Zeile in deinem Browser

Code: Alles auswählen

http://IPdeinerCCU:8181/black.exe?x=dom.GetObject(950).Name()

Code: Alles auswählen

<xml>
<exec>/black.exe</exec>
<sessionId/>
<httpUserAgent>User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.75 Safari/537.36 Edg/100.0.1185.39</httpUserAgent>
<x>Anwesenheit</x>
</xml>

[Black]

pdf mit der ANzeige hab ich gesehen... gut.

die Anwort deiner CCU sieht auch gut aus, damit kann man ein Gegenmittel zusammenrühren.

Ich brauche von dir (per PN)
die Seriennummer deiner CCU (Sollte hinten auf der CCU3 stehen, vllt kann einer der kollegen das dagen, ich selber hab eine OVA)
die IP deiner CCU

damit kann ich dir das Öffnungsprogramm von mir Konfigurieren.

Dein Problem ist, ist Ostern, ich bin bei meiner Tochter und immo nur mit dem Handy online. Und über Handy und VPN auf meinem Server Pascal programme ändern und und compilieren ist extrem unspassig.

Black

[frank0312]

Hallo!

ich hatte diese Nacht um 2:30 Besuch von Doci1989 in meinem System. Nun komme ich nicht mehr in die CCU3 !!

Ganz wichtig! Keine voreiligen Aktionen setzen!
Im schlimmsten Fall produziert du dann selbst Elektronikschrott!
Das kompromittierte System muss derzeit noch weiter funktionsfähig bleiben!


1. Schritt: Portweiterleitung im Router löschen!

Ich habe ein echt aktuelles Backup hier,

Das bringt dir (noch) nichts, da mit größter Wahrscheinlichkeit auch ein Systemschlüssel gesetzt wurde (hast du klassische HM-Geräte?).


Roland

Port gleich in der Nacht geschlossen, möchte auch keine voreiligen Aktionen ausführen.
Klassische HM glaub hab ich keine bzw wenn nur 2

[Black]

könnte einer dem kollegen helfen und sagen, wie er an die Seriennummer der CCU3 kommt ? (von Aussen)

ich hab selber nur eine OVA und kann da nicht weiterhelfen.

Black

[Roland M.]

Hallo!

könnte einer dem kollegen helfen und sagen, wie er an die Seriennummer der CCU3 kommt ? (von Aussen)

Sorry, sitze auch gerade 1000 km von meiner CCU entfernt... bzw. je nach Sichtweise.


Roland