CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...

Einrichtung, Anschluss und Programmierung der HomeMatic CCU

Moderator: Co-Administratoren

Jowi78
Beiträge: 16
Registriert: 16.01.2023, 20:51
System: CCU
Hat sich bedankt: 4 Mal
Danksagung erhalten: 3 Mal

CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...

Beitrag von Jowi78 » 17.01.2023, 22:01

Hallo zusammen,
Bei mir wurde gestern Vormittag unsere CCU3 gehackt. Wir haben die Hausautomation mit HomeMatic schon mehrere Jahre, aber ich habe vor einigen Wochen die Fernsteuerung über Cloudmatic eingerichtet und dabei fälschlicherweise die Portweiterleitung im Router eingestellt und vergessen, diese rauszunehmen, jetzt habe ich den Salat… die Weiterleitung habe ich sofort gelöscht.
Ich kann zwar über die App Smartha noch auf die Geräte etc. zugreifen, aber Temperatureinstellungen über Wandthermometer, die Programme und Schalter gehen aber alle nicht mehr…
Ich habe die entsprechenden Posts zu dem Thema gelesen und folgende Themen schonmal vorbereitet:

1. Anzeige stellen. Hier frage ich mich, ob ich diese gegen Unbekannt oder bezogen auf Aktivitäten von Doci1989 stellen soll, da ich zugegebenerweise bei mir keine Möglchkeit finde, festzustellen, wer den Angriff verübt hat. Gibt es da eine Möglichkeit, dies rauszufinden? Ansonsten stelle ich die die Anzeige gegen Unbekannt.
2. Seriennummer der CCU liegt vor
3. Lokale IP, beginnend mit 192.168.xxx.xx liegt vor
4. Das letzte Backup ist vom November 2022, dies habe ich (vermutlich) gezogen, bevor ich das letzte mal die Firmware upgedated habe. Ich gehe davon aus, dass die neuste Firmware aufgespielt ist, kann das aber nicht garantieren
5. Es hängen insgesamt 3 Universalsteckdosen, 4 Fußbodenheizungsaktuatoren (10, 10, 6, 6), 20 Wandthermostate, 3 Rolladensteuerungen, zwei Markisensteuerungen sowie ein Unterputzschalter an der CCU3

Gibt es sonst noch Informationen, die benötigt werden?
@Black: Könntest du mir bitte auf Basis dieser Angaben weiterhelfen? Seriennummer, lokale IP und Bestätigung der Anzeige schicke ich über PN zu, falls für dich OK.

Schöne Grüße und herzlichen Dank für eure Hilfe, Jochen

Benutzeravatar
Black
Beiträge: 5463
Registriert: 12.09.2015, 22:31
System: Alternative CCU (auf Basis OCCU)
Wohnort: Wegberg
Hat sich bedankt: 418 Mal
Danksagung erhalten: 1069 Mal
Kontaktdaten:

Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...

Beitrag von Black » 17.01.2023, 22:03

erst die ANzeige....
Wenn das Fernsehprogramm immer mehr durch nervende Werbung unterbrochen wird und der Radiomoderator nur noch Müll erzählt, ist es besser, die Zeit für sinnvolle Dinge zu nutzen -
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg

Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann

Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W

technical contribution against annoying advertising

Jowi78
Beiträge: 16
Registriert: 16.01.2023, 20:51
System: CCU
Hat sich bedankt: 4 Mal
Danksagung erhalten: 3 Mal

Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...

Beitrag von Jowi78 » 17.01.2023, 22:35

Habs grade zusammen mit den m.E. notwendigen weiteren Infos geschickt. Hoffe, es kommt bald an, es scheint länger zu dauern, bis die Nachrichten rausgehen... Vielen Dank!!!

Jowi78
Beiträge: 16
Registriert: 16.01.2023, 20:51
System: CCU
Hat sich bedankt: 4 Mal
Danksagung erhalten: 3 Mal

Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...

Beitrag von Jowi78 » 17.01.2023, 22:45

Muss ich beim Versenden PN mit Anhang bzw. Ergebnis des Codes "http://192.168.178.34:8181/black.exe?x= ... (950).Name()" irgendwas spezielles beachten, die Nachricht geht nicht aus dem Postausgang raus?

Benutzeravatar
Baxxy
Beiträge: 10646
Registriert: 18.12.2018, 15:45
System: Alternative CCU (auf Basis OCCU)
Hat sich bedankt: 596 Mal
Danksagung erhalten: 2180 Mal

Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...

Beitrag von Baxxy » 17.01.2023, 22:56

Wenn Black sein Weizen ausgezischt hat wird er bestimmt die Nachricht lesen. :P
Dann ist sie auch "abgeholt" und aus deinem Postausgang verschwunden.

Ruhe bewahren, nicht nervös werden und vor allem nichts überstürzen.

Benutzeravatar
Black
Beiträge: 5463
Registriert: 12.09.2015, 22:31
System: Alternative CCU (auf Basis OCCU)
Wohnort: Wegberg
Hat sich bedankt: 418 Mal
Danksagung erhalten: 1069 Mal
Kontaktdaten:

Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...

Beitrag von Black » 18.01.2023, 06:08

Scheint soweit alles zu passen.
Antwort auf die testurl ist auch passig.

Heute nachmittag komm ich dazu, dir das 'wieder Zugriff beschaffen programm" zu compilieren.

@baxxy
Seriennummer einer ccu3 die letzten 10 Zeichen der stgin ?

Black

edit:
mal eben schnell mit kaffee in der hand vor der arbeit noch compiliert:

Ich hab da was vorbereitet.

Programm aus der PN entpacken.
starten, wenn alles ok ist und die Vorbedingungen passen:

hast du Seriennummer in Grün
und Taste Generate new admin
diese drücken

dann hat dir das programm einen neuen Admin mit dem Namen Admin_xxxxx wobei x eine zufällige zahl ist und dem Passwort 0000 (viermal die null) angelegt)
damit einloggen

als erstes: den ursprungsadmin wieder herrichten
sonstige User von dem Spackenkind löschen
den vom programm angelegten Admin löschen
dieses Programm löschen

Und bevor du weitermachst oder irgendwas unüberlegtes machst:
DU kannst imme rnoch deine Installation in Elektroschrott verwandeln

Gehe davon aus, das das Spackenkind DVs gelöscht, Programme gelöscht, Geräte gesperrt, Sonstiges verwüstet und einen SIcherheitsschlüssel gesetzt hat.

bringe in Erfahrung: habe ich einen Sicherheitsschlüssel im System gesetzt bekommen ?
jeden schritt hier im Forum lieber diskutieren wenn falschen schritt als schnellschuss machst; siehe Elektroschrott

halte dein letztes, nicht kompromittiertes backup griffbereit. auf keinen fall jetzt schon einspielen, nur griffbereit haben

das wieder aufmachen ist nur der kleinste Teil, die Arbeit kommt, je nach Destructiven Vorgehen deines Besuchers, jetzt erst.


Black
Wenn das Fernsehprogramm immer mehr durch nervende Werbung unterbrochen wird und der Radiomoderator nur noch Müll erzählt, ist es besser, die Zeit für sinnvolle Dinge zu nutzen -
mal aufs Klo zu gehen, ein Bier zu holen oder einfach mal den roten AUS-Knopf zu drücken. Klick - und weg

Script Time Scheduler V1.3
AstroSteuerung über Zeitmodul flexibel mit Offset / spätestens, frühestens
SDV 5.03.01 Das umfassende Entwicklungs und Diagnosetool für Homematik
Selektive Backups - Nützliche Dinge, die die WebUI nicht kann

Intel NUC6 Celeron 16GB mit 512GB SSD unter Proxxmox mit insgesamt 5 VM: 2 x bloatwarebefreiter Raspberrymatik, 2 x IOBroker als Middleware und einer MariaDB zur Archivierung. Verbrauch: 6W

technical contribution against annoying advertising

Jowi78
Beiträge: 16
Registriert: 16.01.2023, 20:51
System: CCU
Hat sich bedankt: 4 Mal
Danksagung erhalten: 3 Mal

Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...

Beitrag von Jowi78 » 18.01.2023, 08:05

Bevor ich heute Abend zu Hause anfange, kurze weitere Frage: wie kann ich herausfinden, ob ein Sicherheitsschlüssel bei mir gesetzt wurde? Ist das das Passwort des Hack-Admin??
Ich werd mich Schritt für Schritt hier melden 😁
Vielen Dank euch allen und insbesondere Black!!
Jowi78

Benutzeravatar
Baxxy
Beiträge: 10646
Registriert: 18.12.2018, 15:45
System: Alternative CCU (auf Basis OCCU)
Hat sich bedankt: 596 Mal
Danksagung erhalten: 2180 Mal

Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...

Beitrag von Baxxy » 18.01.2023, 08:16

Jowi78 hat geschrieben:
18.01.2023, 08:05
wie kann ich herausfinden, ob ein Sicherheitsschlüssel bei mir gesetzt wurde?
> Einstellungen > Systemsteuerung > Sicherheit --> System-Sicherheitsschlüssel
Oder auch per Script. (z.B. mein Analysescript, 2. Link in meiner Signatur)
Jowi78 hat geschrieben:
18.01.2023, 08:05
Ist das das Passwort des Hack-Admin??
Kann man nicht sagen.

Benutzeravatar
jmaus
Beiträge: 9818
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 459 Mal
Danksagung erhalten: 1855 Mal
Kontaktdaten:

Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...

Beitrag von jmaus » 18.01.2023, 09:26

Was mir übrigens zumindest bzgl. Entwicklung rund um RaspberryMatic noch zu dieser immer wieder aufkommenden Problematik des Hackens einer Zentrale einfällt:

Was haltet Ihr von der prinzipiellen Idee das Recovery System dahingehend zu erweitern das man dort etwas einbaut um es zu ermöglichen die Credentials des Admin users, etc. zurückzusetzen um so wieder auf die Zentrale zu gelangen? Das sollte es jedem Nutzer der entweder so gehackt wurde oder sein Passwort vergessen hat ermöglichen das Passwort auf einen default wert zurückzusetzen um so wieder in die WebUI zu gelangen. Weil in das Recovery System kommt man ja dann via drücken des Tasters auf dem RPI-RF-MOD jederzeit rein und so könnte Otto-Normal-Verbraucher sich dann eben entsprechend selbst behelfen.
RaspberryMatic 3.75.6.20240316 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal / ☕️

MichaelN
Beiträge: 9561
Registriert: 27.04.2020, 10:34
System: CCU
Hat sich bedankt: 696 Mal
Danksagung erhalten: 1608 Mal

Re: CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...

Beitrag von MichaelN » 18.01.2023, 09:49

hört sich nach einer interessanten Idee an
LG, Michael.

Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.

Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++

Antworten

Zurück zu „HomeMatic Zentrale (CCU / CCU2 / CCU3 / Charly)“