Fremder SSH Zugriff im Log protokolliert

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Fremder SSH Zugriff im Log protokolliert

      Hallo,

      ich habe mehrere erfolgreiche fremde Zugriffe seit Gestern im Log gefunden. Diverse aus China, einen aus Venezuela, Frankfurt. User ist Root, das Passwort ist komplex, Bruteforce schließe ich daher aus. Gibt es in der 4.0.12 evtl. Bugs oder Schwachstellen die den Zugriff ermöglichen? Oder kann ich bei der Konfigurtion was falsch machen?

      Hier ein Auszug:
      Mar 18 01:56:48 dm7020hd authpriv.notice dropbear[28475]: Password auth succeeded for 'root' from 50.7.159.178:59558
      Mar 18 04:37:19 dm7020hd authpriv.notice dropbear[6742]: Password auth succeeded for 'root' from 190.248.61.189:43687
      Mar 18 04:37:27 dm7020hd authpriv.notice dropbear[6751]: Password auth succeeded for 'root' from 59.188.237.12:3194
      Mar 18 04:37:28 dm7020hd authpriv.notice dropbear[6754]: Password auth succeeded for 'root' from 59.188.237.12:3199
      Mar 18 04:37:28 dm7020hd authpriv.notice dropbear[6755]: Password auth succeeded for 'root' from 59.188.237.12:3203

      Ich habe vorerst die Weiterleitung deaktiviert. Werde auch kpl. neu installieren. Kann ich irgendwo sehen was dort gemacht wurde?

      [update]
      Es ist kein Passwort gesetzt, ich kann alles eingeben und komme drauf. Es war aber definitiv ein komplexes Passwort hinterlegt. Frage ist ob ich es aus versehen gelöscht habe oder ob das bereits eine Aktion eines fremden Zgriffs war.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Icke17 () aus folgendem Grund: update

    • Moin,

      warum hast du überhaupt solche Ports offen?
      Keine Ahnung was du machst, aber wenn dann nur den Port für den Cam öffnen und sonst nix.

      Außerdem solltest Du dich mal hinterfragen, woher sie deine IP/DNS-Namen haben und da ne Box suchen?

      Wenn Du zB ne Fritzbox benutzt kannst du mit ganz kleinen Schritten ein VPN einrichten und dann darüber deine Box fernadministrieren

      Gruß

    • Icke17 schrieb:


      Es ist kein Passwort gesetzt, ich kann alles eingeben und komme drauf. Es war aber definitiv ein komplexes Passwort hinterlegt. Frage ist ob ich es aus versehen gelöscht habe oder ob das bereits eine Aktion eines fremden Zgriffs war.


      Das ist mir auch mal vor vielen Jahren passiert. Ich hatte kein Passwort gesetzt da ich nur intern drauf zugegriffen habe -> Fehler. Irgendwann habe ich mal temporär aus der Ferne administriert und den Telnet Port im Router freigegeben und anschließend vergessen den Port zu schließen. Das Ende vom Lied: gehackt. Es gibt genügende Bots die Telnet und ftp Ports scannen, da wird man immer gehackt werden. Nur eine Frage der Zeit. Und Telnet oder ftp sind sowieso nicht gerade sicher, Passwörter werden im Klartext übertragen. Aus Sicherheitsgründen habe ich anschließend sowohl Dreambox als auch Fritzbox neu geflasht und andere Passwörter vergeben.

      Seit dem verwende ich nur noch VPN, gebe nur noch evtl. ein Port für cccam frei wenn nötig. Alle Aktionen darüber hinaus sind immer mit VPN vereinbar, egal ob Zugriff über Rechner, Tablet oder Smartphone. Selbst zum Streamen verwende ich VPN. Jeder der Sicherheit haben möchte sollte sich zumindest eine Fritzbox gönnen (7390 aufwärts würde ich sagen). Die gibt es oft günstig bei ebay aus Vertragsverlängerungen. Und seit FritzOS 6.20 ist VPN einrichten wirklich zum Kinderspiel geworden. Auch Fernwartung im Router sollte man deaktivieren, mit VPN braucht man das alles nicht.

      Edit:
      Ach ja, zu deiner Frage: die Wahrscheinlichkeit dass du selber das Passwort aus versehen gelöscht hast sehe ich sehr viel höher ein als das Ausnutzen einer unbekannten Sicherheitslücke. Aber ausschließen kann man das natürlich auch nie.

    • Ich habe vorerst die Weiterleitung deaktiviert. Werde auch kpl. neu installieren. Kann ich irgendwo sehen was dort gemacht wurde?


      Ich würde wetten das du jetzt einen Bot installiert hast der nun fleissig versucht andere Dreamboxen zu infiltrieren. :) (kein Scherz)
      Noch ne Frage: Hast du das Webinterface auch offen im Internet und mit einem schwächeren Passwort geschützt. Über dieses ist es auch einfach schädlichen Code auszuführen.


      Grüße

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Schnello ()

    • @marcpm80, das ist meine Kommunikationsschnittstelle zur Steuerung der Hausautomation, eine Cam hab ich nicht laufen.

      Ich habe mal alle Verbindungen mitgeloggt, konnte keinerlei auffälligkeiten feststellen. Habe aber vorsorglich neu geflasht. Webinterface hatte ich nicht offen.