CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...
Moderator: Co-Administratoren
-
- Beiträge: 16
- Registriert: 16.01.2023, 20:51
- System: CCU
- Hat sich bedankt: 4 Mal
- Danksagung erhalten: 3 Mal
CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...
Hallo zusammen,
Bei mir wurde gestern Vormittag unsere CCU3 gehackt. Wir haben die Hausautomation mit HomeMatic schon mehrere Jahre, aber ich habe vor einigen Wochen die Fernsteuerung über Cloudmatic eingerichtet und dabei fälschlicherweise die Portweiterleitung im Router eingestellt und vergessen, diese rauszunehmen, jetzt habe ich den Salat… die Weiterleitung habe ich sofort gelöscht.
Ich kann zwar über die App Smartha noch auf die Geräte etc. zugreifen, aber Temperatureinstellungen über Wandthermometer, die Programme und Schalter gehen aber alle nicht mehr…
Ich habe die entsprechenden Posts zu dem Thema gelesen und folgende Themen schonmal vorbereitet:
1. Anzeige stellen. Hier frage ich mich, ob ich diese gegen Unbekannt oder bezogen auf Aktivitäten von Doci1989 stellen soll, da ich zugegebenerweise bei mir keine Möglchkeit finde, festzustellen, wer den Angriff verübt hat. Gibt es da eine Möglichkeit, dies rauszufinden? Ansonsten stelle ich die die Anzeige gegen Unbekannt.
2. Seriennummer der CCU liegt vor
3. Lokale IP, beginnend mit 192.168.xxx.xx liegt vor
4. Das letzte Backup ist vom November 2022, dies habe ich (vermutlich) gezogen, bevor ich das letzte mal die Firmware upgedated habe. Ich gehe davon aus, dass die neuste Firmware aufgespielt ist, kann das aber nicht garantieren
5. Es hängen insgesamt 3 Universalsteckdosen, 4 Fußbodenheizungsaktuatoren (10, 10, 6, 6), 20 Wandthermostate, 3 Rolladensteuerungen, zwei Markisensteuerungen sowie ein Unterputzschalter an der CCU3
Gibt es sonst noch Informationen, die benötigt werden?
@Black: Könntest du mir bitte auf Basis dieser Angaben weiterhelfen? Seriennummer, lokale IP und Bestätigung der Anzeige schicke ich über PN zu, falls für dich OK.
Schöne Grüße und herzlichen Dank für eure Hilfe, Jochen
Bei mir wurde gestern Vormittag unsere CCU3 gehackt. Wir haben die Hausautomation mit HomeMatic schon mehrere Jahre, aber ich habe vor einigen Wochen die Fernsteuerung über Cloudmatic eingerichtet und dabei fälschlicherweise die Portweiterleitung im Router eingestellt und vergessen, diese rauszunehmen, jetzt habe ich den Salat… die Weiterleitung habe ich sofort gelöscht.
Ich kann zwar über die App Smartha noch auf die Geräte etc. zugreifen, aber Temperatureinstellungen über Wandthermometer, die Programme und Schalter gehen aber alle nicht mehr…
Ich habe die entsprechenden Posts zu dem Thema gelesen und folgende Themen schonmal vorbereitet:
1. Anzeige stellen. Hier frage ich mich, ob ich diese gegen Unbekannt oder bezogen auf Aktivitäten von Doci1989 stellen soll, da ich zugegebenerweise bei mir keine Möglchkeit finde, festzustellen, wer den Angriff verübt hat. Gibt es da eine Möglichkeit, dies rauszufinden? Ansonsten stelle ich die die Anzeige gegen Unbekannt.
2. Seriennummer der CCU liegt vor
3. Lokale IP, beginnend mit 192.168.xxx.xx liegt vor
4. Das letzte Backup ist vom November 2022, dies habe ich (vermutlich) gezogen, bevor ich das letzte mal die Firmware upgedated habe. Ich gehe davon aus, dass die neuste Firmware aufgespielt ist, kann das aber nicht garantieren
5. Es hängen insgesamt 3 Universalsteckdosen, 4 Fußbodenheizungsaktuatoren (10, 10, 6, 6), 20 Wandthermostate, 3 Rolladensteuerungen, zwei Markisensteuerungen sowie ein Unterputzschalter an der CCU3
Gibt es sonst noch Informationen, die benötigt werden?
@Black: Könntest du mir bitte auf Basis dieser Angaben weiterhelfen? Seriennummer, lokale IP und Bestätigung der Anzeige schicke ich über PN zu, falls für dich OK.
Schöne Grüße und herzlichen Dank für eure Hilfe, Jochen
- Black
- Beiträge: 5463
- Registriert: 12.09.2015, 22:31
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Wegberg
- Hat sich bedankt: 418 Mal
- Danksagung erhalten: 1069 Mal
- Kontaktdaten:
Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...
erst die ANzeige....
Wenn das Fernsehprogramm immer mehr durch nervende Werbung unterbrochen wird und der Radiomoderator nur noch Müll erzählt, ist es besser, die Zeit für sinnvolle Dinge zu nutzen -
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg
Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann
Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W
technical contribution against annoying advertising
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg
Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann
Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W
technical contribution against annoying advertising
-
- Beiträge: 16
- Registriert: 16.01.2023, 20:51
- System: CCU
- Hat sich bedankt: 4 Mal
- Danksagung erhalten: 3 Mal
Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...
Habs grade zusammen mit den m.E. notwendigen weiteren Infos geschickt. Hoffe, es kommt bald an, es scheint länger zu dauern, bis die Nachrichten rausgehen... Vielen Dank!!!
-
- Beiträge: 16
- Registriert: 16.01.2023, 20:51
- System: CCU
- Hat sich bedankt: 4 Mal
- Danksagung erhalten: 3 Mal
Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...
Muss ich beim Versenden PN mit Anhang bzw. Ergebnis des Codes "http://192.168.178.34:8181/black.exe?x= ... (950).Name()" irgendwas spezielles beachten, die Nachricht geht nicht aus dem Postausgang raus?
- Baxxy
- Beiträge: 10648
- Registriert: 18.12.2018, 15:45
- System: Alternative CCU (auf Basis OCCU)
- Hat sich bedankt: 597 Mal
- Danksagung erhalten: 2180 Mal
Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...
Wenn Black sein Weizen ausgezischt hat wird er bestimmt die Nachricht lesen.
Dann ist sie auch "abgeholt" und aus deinem Postausgang verschwunden.
Ruhe bewahren, nicht nervös werden und vor allem nichts überstürzen.
Dann ist sie auch "abgeholt" und aus deinem Postausgang verschwunden.
Ruhe bewahren, nicht nervös werden und vor allem nichts überstürzen.
Grüße... Baxxy
- Raspberry Pi 4 als Homematic-Zentrale - Tipps und Informationen
- Analysescript für genutzte Funk-Adressen, Funkmodul-Hardware und Zentralen Hardware
- NANO CUL 868MHz - Stick zum AskSin Analyzer XS umflashen (Anleitung für ArduinoIDE unter Windows)
- Firmware Updates für IP-Aktoren / Sensoren... Info's, Tipps und Sonstiges
- CCU funkt nicht - CarrierSense (CS) Probleme erkennen und lösen
- Black
- Beiträge: 5463
- Registriert: 12.09.2015, 22:31
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Wegberg
- Hat sich bedankt: 418 Mal
- Danksagung erhalten: 1069 Mal
- Kontaktdaten:
Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...
Scheint soweit alles zu passen.
Antwort auf die testurl ist auch passig.
Heute nachmittag komm ich dazu, dir das 'wieder Zugriff beschaffen programm" zu compilieren.
@baxxy
Seriennummer einer ccu3 die letzten 10 Zeichen der stgin ?
Black
edit:
mal eben schnell mit kaffee in der hand vor der arbeit noch compiliert:
Ich hab da was vorbereitet.
Programm aus der PN entpacken.
starten, wenn alles ok ist und die Vorbedingungen passen:
hast du Seriennummer in Grün
und Taste Generate new admin
diese drücken
dann hat dir das programm einen neuen Admin mit dem Namen Admin_xxxxx wobei x eine zufällige zahl ist und dem Passwort 0000 (viermal die null) angelegt)
damit einloggen
als erstes: den ursprungsadmin wieder herrichten
sonstige User von dem Spackenkind löschen
den vom programm angelegten Admin löschen
dieses Programm löschen
Und bevor du weitermachst oder irgendwas unüberlegtes machst:
DU kannst imme rnoch deine Installation in Elektroschrott verwandeln
Gehe davon aus, das das Spackenkind DVs gelöscht, Programme gelöscht, Geräte gesperrt, Sonstiges verwüstet und einen SIcherheitsschlüssel gesetzt hat.
bringe in Erfahrung: habe ich einen Sicherheitsschlüssel im System gesetzt bekommen ?
jeden schritt hier im Forum lieber diskutieren wenn falschen schritt als schnellschuss machst; siehe Elektroschrott
halte dein letztes, nicht kompromittiertes backup griffbereit. auf keinen fall jetzt schon einspielen, nur griffbereit haben
das wieder aufmachen ist nur der kleinste Teil, die Arbeit kommt, je nach Destructiven Vorgehen deines Besuchers, jetzt erst.
Black
Antwort auf die testurl ist auch passig.
Heute nachmittag komm ich dazu, dir das 'wieder Zugriff beschaffen programm" zu compilieren.
@baxxy
Seriennummer einer ccu3 die letzten 10 Zeichen der stgin ?
Black
edit:
mal eben schnell mit kaffee in der hand vor der arbeit noch compiliert:
Ich hab da was vorbereitet.
Programm aus der PN entpacken.
starten, wenn alles ok ist und die Vorbedingungen passen:
hast du Seriennummer in Grün
und Taste Generate new admin
diese drücken
dann hat dir das programm einen neuen Admin mit dem Namen Admin_xxxxx wobei x eine zufällige zahl ist und dem Passwort 0000 (viermal die null) angelegt)
damit einloggen
als erstes: den ursprungsadmin wieder herrichten
sonstige User von dem Spackenkind löschen
den vom programm angelegten Admin löschen
dieses Programm löschen
Und bevor du weitermachst oder irgendwas unüberlegtes machst:
DU kannst imme rnoch deine Installation in Elektroschrott verwandeln
Gehe davon aus, das das Spackenkind DVs gelöscht, Programme gelöscht, Geräte gesperrt, Sonstiges verwüstet und einen SIcherheitsschlüssel gesetzt hat.
bringe in Erfahrung: habe ich einen Sicherheitsschlüssel im System gesetzt bekommen ?
jeden schritt hier im Forum lieber diskutieren wenn falschen schritt als schnellschuss machst; siehe Elektroschrott
halte dein letztes, nicht kompromittiertes backup griffbereit. auf keinen fall jetzt schon einspielen, nur griffbereit haben
das wieder aufmachen ist nur der kleinste Teil, die Arbeit kommt, je nach Destructiven Vorgehen deines Besuchers, jetzt erst.
Black
Wenn das Fernsehprogramm immer mehr durch nervende Werbung unterbrochen wird und der Radiomoderator nur noch Müll erzählt, ist es besser, die Zeit für sinnvolle Dinge zu nutzen -
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg
Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann
Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W
technical contribution against annoying advertising
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg
Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann
Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W
technical contribution against annoying advertising
-
- Beiträge: 16
- Registriert: 16.01.2023, 20:51
- System: CCU
- Hat sich bedankt: 4 Mal
- Danksagung erhalten: 3 Mal
Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...
Bevor ich heute Abend zu Hause anfange, kurze weitere Frage: wie kann ich herausfinden, ob ein Sicherheitsschlüssel bei mir gesetzt wurde? Ist das das Passwort des Hack-Admin??
Ich werd mich Schritt für Schritt hier melden
Vielen Dank euch allen und insbesondere Black!!
Jowi78
Ich werd mich Schritt für Schritt hier melden
Vielen Dank euch allen und insbesondere Black!!
Jowi78
- Baxxy
- Beiträge: 10648
- Registriert: 18.12.2018, 15:45
- System: Alternative CCU (auf Basis OCCU)
- Hat sich bedankt: 597 Mal
- Danksagung erhalten: 2180 Mal
Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...
> Einstellungen > Systemsteuerung > Sicherheit --> System-Sicherheitsschlüssel
Oder auch per Script. (z.B. mein Analysescript, 2. Link in meiner Signatur)
Kann man nicht sagen.
Grüße... Baxxy
- Raspberry Pi 4 als Homematic-Zentrale - Tipps und Informationen
- Analysescript für genutzte Funk-Adressen, Funkmodul-Hardware und Zentralen Hardware
- NANO CUL 868MHz - Stick zum AskSin Analyzer XS umflashen (Anleitung für ArduinoIDE unter Windows)
- Firmware Updates für IP-Aktoren / Sensoren... Info's, Tipps und Sonstiges
- CCU funkt nicht - CarrierSense (CS) Probleme erkennen und lösen
- jmaus
- Beiträge: 9819
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 459 Mal
- Danksagung erhalten: 1856 Mal
- Kontaktdaten:
Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...
Was mir übrigens zumindest bzgl. Entwicklung rund um RaspberryMatic noch zu dieser immer wieder aufkommenden Problematik des Hackens einer Zentrale einfällt:
Was haltet Ihr von der prinzipiellen Idee das Recovery System dahingehend zu erweitern das man dort etwas einbaut um es zu ermöglichen die Credentials des Admin users, etc. zurückzusetzen um so wieder auf die Zentrale zu gelangen? Das sollte es jedem Nutzer der entweder so gehackt wurde oder sein Passwort vergessen hat ermöglichen das Passwort auf einen default wert zurückzusetzen um so wieder in die WebUI zu gelangen. Weil in das Recovery System kommt man ja dann via drücken des Tasters auf dem RPI-RF-MOD jederzeit rein und so könnte Otto-Normal-Verbraucher sich dann eben entsprechend selbst behelfen.
Was haltet Ihr von der prinzipiellen Idee das Recovery System dahingehend zu erweitern das man dort etwas einbaut um es zu ermöglichen die Credentials des Admin users, etc. zurückzusetzen um so wieder auf die Zentrale zu gelangen? Das sollte es jedem Nutzer der entweder so gehackt wurde oder sein Passwort vergessen hat ermöglichen das Passwort auf einen default wert zurückzusetzen um so wieder in die WebUI zu gelangen. Weil in das Recovery System kommt man ja dann via drücken des Tasters auf dem RPI-RF-MOD jederzeit rein und so könnte Otto-Normal-Verbraucher sich dann eben entsprechend selbst behelfen.
RaspberryMatic 3.75.6.20240316 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal /
-
- Beiträge: 9562
- Registriert: 27.04.2020, 10:34
- System: CCU
- Hat sich bedankt: 696 Mal
- Danksagung erhalten: 1608 Mal
Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...
hört sich nach einer interessanten Idee an
LG, Michael.
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++