Wurde ich gehackt?

[cc_aero]

Hi Leute,

ich betreibe einen Home-Server (schon längere Zeit) auf welchem eine Nextcloud Instanz läuft. Nextcloud benutzten ich und meine Freundin um Zugrif auf Daten, die am Server gespeichert wurden, einzusehen und um Termine und Kontakte via CalDav/CardDav zu erstellen und quer über unsere Geräte zu syncen.

Nun ist meiner Freundin ein seltsamer Termin-Eintrag in Ihrem Kalender aufgefallen, der im Nextcloud-Kalender angelegt wurde. Der Titel "I am not sure if you are aware poo". Laut dem Aktivitäten-Protokoll wurde der Termin von meinem User-Account angelegt, und zwar zu einem Zeitpunkt wo ich im Auto unterwegs war.

Ist es möglich das wer in meine Nextcloud-Instanz eingebrochen ist? Bzw. wie wahrscheindlich ist dies?

Und wenn ja, wie kann ich das genauer feststellen? Ich hab das Nextcloud-Log angesehn und konnte da nix auffällliges finden (failed logins, etc). Auch im System-Log (auth.log / syslog) konnte ich nichts auffälliges finden.

Der Server läuft mit Nextcloud 17 & Debian 10. Nach außen offen waren die Ports 80/443/22, wobei 80 auf 443 umgeleitet wird und SSH nur mit Zertifikat-Auth geht. Ich habe zur Sicherheit erstmal die Portfreigaben abgedreht (nutze pfSense) und in pfSense eingestellt das der Home-Server nicht mehr raus telefonieren darf (egal welcher Port).

EDIT: Nextcloud läuft übrigens auf Apache2, Außerdem habe ich die Netzwerkstatistik der pfSense angesehen und konnte nicht feststellen das irgendwie außergewöhnlicher Traffic nach außen abgegangen wäre (wäre ja ein Hinweis ob Daten in großen Mengen abgezogen wurden).

Danke schon mal für eure Ratschläge / Hilfe / etc

 

[L0g4n]

Hallo,
ich gehe davon aus, dass ihr über Nextcloud auch den Kalender benutzt?
Eigentlich kommen nur 2 Möglichkeiten in Frage, wenn der Termin wirklich von deinem Account angelegt wurde:
1. Auf irgendeinem deiner Geräte wo du mit Nextcloud eingeloggt bist hat irgendeine App (Malware?) diesen Termin angelegt, bedeutet aber nicht dass deine komplette Nextcloud kompromittiert ist.
2. Das Passwort von deinem User Account wurde geleakt und ist tatsächlich nicht mehr sicher. Dann schleunigst Zugangsdaten ändern, etc.

 

[Slayn]

Kommt darauf an wie gut dein Account geschützt ist,

sagt die eingeloggte IP etwas bzw. kann man einsehen mit welchem Gerät eingeloggt wurde?

 

[Darknesss]

Was sagt der Portscan?
Wenn du ein Log hast, dann kannst du evtl. herausfinden welches Gerät zugegriffen hat.

Mal eine allgemeine Frage: Ist sowas nicht per VPN machbar bzw. sinnvoll?
Würde sowas nicht ohne VPN oder DMZ lösen.

 

[goldener Reiter]

Server nie mit Zugriff nach außen betreiben, wenn man nicht ausreichend Ahnung davon hat.

Keiner kann dir aus der Ferne analysieren ob es einen Zugriff gab.
Du hast soweit alles ausreichende getan, was willst von uns noch hören?

 

[cc_aero]

Hi Leute,
danke euch schon mal für eure Antworten

Hallo,
ich gehe davon aus, dass ihr über Nextcloud auch den Kalender benutzt?
Eigentlich kommen nur 2 Möglichkeiten in Frage, wenn der Termin wirklich von deinem Account angelegt wurde:
1. Auf irgendeinem deiner Geräte wo du mit Nextcloud eingeloggt bist hat irgendeine App (Malware?) diesen Termin angelegt, bedeutet aber nicht dass deine komplette Nextcloud kompromittiert ist.
2. Das Passwort von deinem User Account wurde geleakt und ist tatsächlich nicht mehr sicher. Dann schleunigst Zugangsdaten ändern, etc.

Ja, in der Tat - der Kalender wird auf ein paar Mobil-Geräten genutzt, aber nicht direkt über die Nextcloud-App, sondern über "OpenSync". Ich hab jetzt noch ein bisschen weitergesucht und auch mal die Web-Server-Logs durchgewühlt.

Und siehe da: ich habe tatsächlich den, scheinbar, schuldigen Aufruf gefunden.
Der Eintrag kam von einer LAN-internen-IP-Adresse - laut DHCP-Logs war die meinem Handy zugeordet und der UserAgent war auch Sync-App. Somit müsste das wahrscheinlich doch kurz nach dem ich nachhause kam gewesen sein. Daher wäre nur mehr Malware am Handy möglich oder ich bin am Handy irgenwo angekommen :O :O

Server nie mit Zugriff nach außen betreiben, wenn man nicht ausreichend Ahnung davon hat.

Woher willst du wissen, das ich nicht ausreichend Ahnung habe?

Keiner kann dir aus der Ferne analysieren ob es einen Zugriff gab.
Du hast soweit alles ausreichende getan, was willst von uns noch hören?

Natürlich kann keiner aus der Ferne etwas analysieren, allerdings sehr wohl Tipps geben, wo man hinsehen kann und was man evtl. bei seiner Überprüfung vergessen hat

 

[IceRagequit]

Wie sieht es mit dem offensichtlichen Angriffspfaden aus? Eintrag von Freunden oder Freundin?
Mein Kumpel hatte mal einen Echo-Dot bei sich rumstehen, der mit allem synchronisiert war und ich habe ihm erstmal 10 Termine für Bärenjagden in Sibirien und Rhönradmeisterschaften eingetragen. Vielleicht ist es ja auch einfacher zu erklären.