Freitag der 13. .... und Doci1989

[deimoszero]

Kurzer Zwischenstand: Dank Black habe ich nun wieder Zugriff; Alle Nutzer gelöscht und das Programm auch. Auf den ersten Blick hält sich das Durcheinander in Grenzen. Genauer kann ich erst heute Abend schauen, wenn wieder etwas Ruhe eingekehrt ist.

Auf jedem Fall schon mal vielen Dank!!
Ich berichte was so alles angestellt wurde.

Viele Grüße,
DZ

[inidona]

mich würde ja mal interessieren was bei den Anzeigen rauskommt.

[deimoszero]

Hmm... auf ersten Blick scheint alles gut, auf den zweiten leider nicht mehr so, finde aber nichts.

Code: Alles auswählen

crypttool -g

bringt:

Code: Alles auswählen

Default key = 0
Current user key = 0
Previous user key = 0
Temporary key = 0

und auch sonst nichts auffälliges ABER:
- Die Heizungsgruppen reagieren nicht mehr auf die Fensterkontakte (HmIP), die Kontakte selbst werden aber korrekt angezeigt (offen/geschlossen).
- Die 6-fach Taster übermitteln zwar korrekt, die LED's blinken dabei allerdings nur Orange, eine Rückmeldung (Egal ob Grün für OK oder Rot für NOK) fehlt komplett, Gleiches bei den 2-fach Tastern (alle BidCos).

Hat jemand eine Idee wo er "gespielt" haben könnte?

Viele Grüße,
DZ

[inidona]

ich würde eine neue ccu nehmen und das ganze System neu aufsetzen. Macht zwar Arbeit, aber auch sinn.

[Black]

Ich denke er hat bei dir angefangen gehabt, in den DVs zu löschen. vllt hattest einfach das Glück gehabt, das du ihn eher getrennt hast, bevor er fertig war.
Normalerweise hatte der Spacken bei seinen letzten Aktionen immer einen neuen Sicherheitsschlüssel vergeben.

Nichts desto trotz:
du hast 31 Geräte, das ist überschaubar. DU weisst nicht, ob er dir im Linux der CCU noch ein EI gelegt hat.

Ich an deiner stelle würde folgendes machen:

du hast ein aktuelles, nicht kompromittiertes Backup ? wenn ja

dann:
1. Das system jetzt Backup machen und weglegen.
2. Alle Geräte per Werksreset sauber ablernen,
3. Edit nach Hinweis von Roland und Baxxy.
Bei einer CCU3 bzw RMatik besser neu flashen der SD. Bei einer CCU2 werksreset und drüberbügeln der aktuellen Firmware
4. Das nicht kompromiiterte Backup einspielen
5. Nun der Reihe nach alle Geräte neu ANlernen (Anlernmodus in der CCU aktivieren, das Gerät anlernen, wenn grün quiiert, dann nächstes, die erscheinen nicht im Posteingang, weil sie ja schon da sind. Aber durch das Drüberlernen eines eerksresetteten Gerätes werden die KOnfigurationsdaten (Master und Linksets neu übertragen)
Ok, kostet dich nu vllt 2, 3 Stunden, aber dafür hast du wieder ein sauberes System.
6. Ich würde das System so wies jetzt ist, nicht stehen lassen
7. Wenn 2 bis 6 erfolgreich waren, das Unter 1 erstellte Backup löschen (das ist nur fürs gute Gewissen)

vllt kann einer der anderen dazu auch noch kurz seine Meinung schreiben.

Black

[Gerti]

Hi,

die IP Geräte kannst du neu an die CCU anlernen (nachdem du das Backup eingespielt hast), indem du sie einfach lokal einmal auf Werkseinstellungen zurück setzt. Die melden sich dann automatisch wieder an der CCU an.

Gruß
Gerti

[Roland M.]

Hallo Black!


Danke vorerst einmal für deine erneute Hilfe!

vllt kann einer der anderen dazu auch noch kurz seine Meinung schreiben.

Gerne!

Auch ich würde diesen Weg einschlagen, 31 Geräte sind natürlich ein gewisser Aufwand, aber man "erkauft" sich auch ein ruhiges Gewissen, bei jedem zukünftigen kleinen Fehler denkt man sich sonst "Sind da doch noch Überreste von Doci vorhanden?"

Einzig beim Punkt...

3, danach CCU werksreset machen

... würde ich auch noch den Umweg über eine Neuinstallation des Original-Images (https://github.com/jens-maus/RaspberryM ... stallation) machen, so kann man sich auch sicher sein, dass nichts den Werksreset überlebt.


Ach ja, und ich wünsche mir auch noch, dass dieser Doci einen fetten Bauchfleck in deinem Honigpott macht!


Roland

[Baxxy]

Beim Werksreset wird ja nur das /userfs plattgemacht.
Jedwede Änderungen am /rootfs bleiben somit erhalten.
Ein "drüberbügeln" der aktuellen Firmware über die werksresettete CCU sollte das beheben, richtig sicher ist man aber nur mit dem was Roland schrieb.

Umweg über eine Neuinstallation des Original-Images

[Black]

@RolandM, @Baxxy

Neu flashen nach euren Hinweisen in Punkt 3 geändert.

mich würde ja mal interessieren was bei den Anzeigen rauskommt.

Natürlich ist nicht zu erwarten, dass irgendwelche aktiven Ermittlungen in diese Richtung aufgenommen werden. Da gibt es wahrlich wichtigerer Tatbestände. Es ist mir persönlich auch lieber, wenn vorhandene Kapazitäten zum Trockenlegen von irgendwelchen Abgründen (z.B. pädophile und sonstige weitere kranke Neigungen benutzt werden)
Nur wenn der bei mir oder einem anderen in unserem honeypot versinkt, haben wir erstmal was handfestes und es gibt mehrerer dieser Tatbestände, die ja zur Anzeige gebracht wurden. Also zieht nicht: zufällig offene ccu gefunden, war erstes mal, wollte nur gucken, war rein versehentlich das ich da was kaputt gemacht hab.



Black

[jp112sdl]

wollte nur gucken, war rein versehentlich das ich da was kaputt gemacht hab.

Also immer schön alle Netzwerk-Pakete sammeln und manipulationssicher archivieren, damit "kaputt machen" auch eindeutig der "wollte nur gucken" IP zugeschrieben werden kann.

die ja zur Anzeige gebracht wurden

Das Problem ist leider immer noch das selbe wie eh und je... Wenn in Flensburg einer zur Polizei rennt und eine Anzeige "gegen Unbekannt wegen kaputt machen von Smarthome" erstellt, weiß der Ermittler einer gleichartigen Anzeige in Köln nix davon und somit ist es jedes Mal nur ein "Einzelfall" von nicht gerade großem Interesse.
Sieht man auch schön bei der Meldestelle Cybercrime, bei der man zunächst erst sein Bundesland auswählen muss.

Es müssten sich also wohl alle Geschädigten mal irgendwo in einem (virtuellen) Raum zusammenfinden, ihre Aktenzeichen zusammentragen und jeweils den eigenen zuständigen Behörden wiederum mitteilen, damit auch länderübergreifend bekannt wird, dass es sich nicht nur um 1-2 Fälle handelt.