Raspberry Pi nach kurzer Zeit übernommen worden?

brenner

Commander
Registriert
Apr. 2002
Beiträge
3.032
Moin, ich habe gestern mal kurz Port 22 nach draussen gegeben um einen Kumpel auf den Pi zu lassen um ein Problem zu lösen.

Tja, dumm nur wenn man den default Benutzer "pi" noch nicht geändert hat... Jedenfalls habe ich den Pi per SSH heute morgen nicht mehr erreicht. Eben mal an einem Monitor angeschlossen und sehe das hier:

Jemand eine Ahnung was hier läuft bzw. lief?

Video wurde aufgrund der Überschreitung an unpassenden Kommentaren entfernt
 
Zuletzt bearbeitet:
Du hast echt ssh default port 22 ins netz geöffnet und nicht die userdaten geändert??? Das nenn ich mutig!

PI sofort vom Internet trennen und vom Netzwerk nehmen. SD Karte raus und plattmachen. Neu aufsetzen. Und SSH daten ändern.
 
  • Gefällt mir
Reaktionen: Don-DCH, SubNatural, TheManneken und 5 andere
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Cokocool und p4cx
Mutig ist hier das falsche Wort - leichtsinnig, fahrlässig, etc. triffts eher. Ich will echt nicht böse sein, aber sollte der Angreifer, der auf deinem Pi ist, irgendwelchen kriminellen Schaden verursachen mit deinem Gerät und du dafür bestraft werden, dann wär die Strafe nicht unverdient. Also SOFORT abstecken!
 
  • Gefällt mir
Reaktionen: chrigu, GaborDenes und Asghan
Das war eine absolute Dummheit :) Muss man leider so drastisch sagen. Das Ding ist Teil eines Botnetzwerkes und versucht per SSH ähnlich katastrophal konfigurierte Server zu finden.

Sofort weg vom Strom. SD-Karte formatieren.

Den Kumpel auch nicht mehr daran lassen. Der scheint genau so ahnungslos zu sein wie du, wenn ihm diese Lücke nicht bewusst ist :)
 
  • Gefällt mir
Reaktionen: up.whatever, Asghan und H3llF15H
Volle Zustimmung zu @Crimvel

Aus reinem Interesse: wie lang war "mal kurz"?

Es erscheint mir naheliegend, dass die komplette IP range nach solchen leichten Opfern gescannt wird, jedoch muss ein Angreifer auch erstmal aus Zufall genau auf deine IP schauen.
Eine zeitliche Einordnung wäre hier interessant.
 
  • Gefällt mir
Reaktionen: coasterblog
Crimvel schrieb:
PI sofort vom Internet trennen und vom Netzwerk nehmen. SD Karte raus und plattmachen. Neu aufsetzen. Und SSH daten ändern.
Würde ich auch vorschlagen. Zur eigenen Sicherheit ggf. die SD Karte oder zumindest ein Image davon gut beschriftet in "Quarantäne" legen, dann kann man im Fall der Fälle vielleicht von einem Experten nachvollziehen lassen, was da passiert ist.
 
Wie bereits geschrieben: Port schließen, vom Internet trennen, SD Karte neu bespielen und danach neu installieren und konfigurieren.

Als aller erstes das Kennwort ändern, dann SSH-Keys erstellen und den Login nur noch via SSH Keys zu lassen (Sprich Anmeldung per Password komplett deaktivieren). Bei Bedarf dann noch Fail2Ban sowie UFW installieren. MIt dem "dreier-Gespann" hat man recht schnell einen sicheren Pi den man im Internet betreiben kann.

Hilfreiche Leitfäden:

SSH Konfiguration:
https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers#SSH_Login_absichern

fail2ban Konfiguration: Hier reicht in der Regel nur die reine Paketinstallation. Die Default Konfiguration ist ausriechend.
https://wiki.ubuntuusers.de/fail2ba...ist ein,veröffentlicht und basiert auf Python

UFW Konfiguration:
https://wiki.ubuntuusers.de/ufw/
 
Wow, Leute, was stimmt mit den Meisten von euch hier nicht?

Ich habe bereits geschrieben das es dumm war, im ersten Beitrag. Ebenso das es LIEF!

@Cokocool: Danke für den zweiten Teil deines Beitrages, das bestätigt meine Vermutung.
@Hörbört: Ca. 2h, dann berichtete der Kumpel das die Verbindung oft abreist und das der Pi rebootet wurde und ob ich was gemacht hätte. Allerdings gibt es die DynDNS Adresse schon viele Jahre und wird nur temporär genutzt.

So und nun wieder viel Spaß beim rumgebashe und schlaue Tipps geben.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Zock, truetone und Hörbört
Dante2000 schrieb:
Als aller erstes das Kennwort ändern
Muss mit dem aktuellen Image nicht mehr gemacht werden, da es den User "pi" gar nicht mehr gibt.
 
  • Gefällt mir
Reaktionen: Dante2000
kartoffelpü schrieb:
Muss mit dem aktuellen Image nicht mehr gemacht werden, da es den User "pi" gar nicht mehr gibt.
Wusste ich in der Tat noch nicht. Wobei ich meine Linux Server generell nur mit SSH-Keys only verwende und die Kennwörter schon seit Jahren nicht mehr zur Anmeldung verwende. Für den "täglichen Gebrauch" verwende ich sowieso immer eigene Benutzer.
 
brenner schrieb:
Wow, Leute, was stimmt mit den Meisten von euch hier nicht?

Ich habe bereits geschrieben das es dumm war, im ersten Beitrag.
Ich denke auch der ein oder andere kann sich hier nochmal fragen ob der eigene Kommentar in der Form wirklich angebracht war oder eher nur dazu gedient hat sich anhand der Fehler anderer selbst zu feiern.
Konstruktivität statt Bashing!
 
  • Gefällt mir
Reaktionen: xone92, H3llF15H, bra-tak und 3 andere
Hi

Wow , was geht denn hier ab 😕

@brenner

SD Karte einmal komplett Format , und je nachdem Welche Distro installiert war neu machen , dann eben dran Denken User PW abzuändern.

Der Port 22 soll aber nur Temporär offen sein oder ?

Mfg.
 
Es gibt heutzutage eine schöne Standard-Lösung um SSH wirklich sicher und einfach zu nutzen.

Zumeist werden für SSH Zugänge leider (schlechte) Passwörter genutzt, die anfällig für Brute-Forcing sind oder wie im beschriebenen Fall nur Default-Credentials. Die sicherere Methode über Public Key Authentifizierung findet in der Praxis zu wenig Anwendung, da sie mit etwas höherem Aufwand verbunden ist und etwas mehr Wissen erfordert.

Seit Open-SSH 8.2 (Release 2020) kann FIDO2/U2F Authentifizierung genutzt werden, um sich per SSH sicher und gleichzeitig einfach anzumelden. Auf dem SSH-Client werden dazu Schlüssel erzeugt, die mit einem Hardwaretoken verbunden werden und diese dann auf den SSH-Server übertragen. Der Token kann selbst nochmal per Passwort gesichert werden, womit eine Zwei-Faktor-Authentifizierung erreicht wird. Es ist auch möglich, nur den Token selbst als Authentisierungsobjekt zu verwenden, dann kann die Anmeldung vollkommen ohne weitere Eingabe erfolgen.

Sowohl die Einrichtung als auch die Nutzung ist anwenderfreundlich und das Resultat signifikant sicherer als reine Passwortauthentifizierung.
 
Brenner
Das hat mit bashing nichts zu tun, eher mit „Salz in die wunde streuen und den Spiegel vorhalten“. Wahrheit ist halt schmerzlich.

Pi komplett neu aufsetzen, sämtliche Passwörter die im Zusammenhang mit dem pi im Netz waren, ändern und hoffen, das die dyndns Adresse nicht missbraucht wurde. Denn dabei könnte dein dyndns Provider auch keine Lust mehr haben dich als Kunde zu behalten.
 
Zurück
Oben