Illegaler Login

**Nobbi75** · 23.02.2016, 21:56

ich habe gerade was gruseliges ausprobiert... Mein Miniserver nutzte noch die Portweiterleitung:

Schritt1: in den Webbrowser eingeben: dns.loxonecloud.com/######## (#=Seriennummer)
Schritt2: Logindaten...und man ist drauf. Ports sind irrerelevant....die stellt Loxone wohl ein bei der Weiterleitung

Wenn die Seriennummer eines existenten Miniservers trifft, antwortet er mit einer Loginmaske, dann kann anfangen die Logindaten durchzuprobieren. Wenn ich das noch automatisiere, dann würde man sicherlich leicht den ein oder anderen Miniserver finden, der noch auf "admin" reagiert...

**tholle** · 23.02.2016, 22:03

Da muss Port 80 und/oder 443 bei deinem Router offen sein.

Prüf das mal.

Gruß,
Tholle

**Nobbi75** · 23.02.2016, 22:07

Ich habe nur einen vierstelligen für die Weiterleitung ....und der erscheint auch gleich mit der passenden externen IP

**tholle** · 23.02.2016, 22:10

Wenn ich das bei mir mache, wird zwar auf meine oeffentliche IP aufgeloest (was nicht weiter verwunderlich ist) aber den MS kann ich nicht erreichen.

**Nobbi75** · 23.02.2016, 22:18

ich nutze Chrome....
ich habe in der App nachgesehen und die dort eingetragene externe Adresse in den Browser eingegeben....

**tholle** · 23.02.2016, 22:20

Das hat mit dem Browser nichts zu tun. Das hat etwas mit deinem Portmapping im Router zu deinem MS zu tun. Kannst ja mal ein nmap auf deine oeffentliche IP absetzen. Du wirst erstaunt sein, was du dann siehst.

Gruss,
tholle

**Gast** · 24.02.2016, 13:12

Noch etwas grusliges:

Shodan

http://shodan.io

Search engine of Internet-connected devices. Create a free account to get started.

Sucht mal nach 'loxone'

Es gibt also schon crawler die das Web nach Diensten absuchen.
Bestimmt ist bei den unter Shodan gelisteten Loxone-Servern auch der ein oder andere mit Standard-Kennwort zu finden...

Allein diese Webseite ist für mich schon Grund genug nicht mit PortFW, sondern mit VPN zu arbeiten.

Ich möchte nämlich nicht dass meine Loxone-Installation irgendwann dort gelistet ist, und dann irgendein script-kiddie nach der Schule versucht meinen Miniserver-Login mit Bruteforce zu knacken, um dann bei mir das Licht an- oder auszuschalten...

Gesendet von meinem GT-I9300 mit Tapatalk

**Thomas M.** · 24.02.2016, 13:40

Ich finde nur gruselig, wieso man kein Interesse daran hat, das System softwaremäßig auf Stand zu halten.
Nicht nachvollziehbar, warum man jetzt auf Stand 4.1.11.21 sein kann und möchte. Irgend ein spanischer MS.

Aber das sind die "typischen" Endverbraucher.
Die wollen mit einer Taste irgendwas schalten, bisserl zentral-aus und fertig. Das auch noch online und perfekt ist smart-home.
Haben aber selbst keine Ahnung (und Interesse), und sind vermutlich einem partner total ausgeliefert. Der hat ja alles hingebaut.

**simon_hh** · 24.02.2016, 13:54

na das geht fix. Was meinst Du wie viele Häuser das so mit eingebaut bekommen. Alles am Ende soweit funktioniert und dann nie wieder angefasst wird.
An der Mikrowelle machst Du ja auch kein Check, ob es eine neue Firmware gibt und so gibt es auch bestimmt viele Hauseigentümer oder -Bewohner, die das auch nicht checken und nicht updaten.

Vielleicht werde auch ich in 5 Jahren keine updates mehr ziehen, weil alles läuft und ich durch Dauer-Golfen keine zeit mehr finde

Ab einem gewissen Grad muss man es ja nicht zwingend anfassen, eventuell wird etwas "kaputt-geupdated". Frei nach dem Motto: "Never change a running system"

**Thomas M.** · 24.02.2016, 13:59

Eine neue Firmware bei einer Mikrowelle wird vermtulich nichts ändern.
Beim WLAN Access point habe ich nicht mal eine Ahnung ob es eine neue software gibt.

Beim SAT Receiver habe ich die updates aufgegeben, denn jedesmal wenns was neues gibt, sind 17 neue bugs drin. Und der receiver macht nach einem update auch nichts anderes als vorher.

Komischerweise schaue ich bei NAS, T25 schon wieder.
Beta-bedingt beim MS oft.

Naja heutzutage braucht ein Einfamilien-smart-home nicht nur einen Hausmeister für Rasenmähen usw. sondern auch einen Administrator als Kümmerer.

**Michael Sommer** · 24.02.2016, 14:57

Hallo Thomas,
dann erzähle mir doch einmal, warum man ein Softwareupdate durchführen soll, wenn alles zur Zufriedenheit funktioniert und keine Änderungen anstehen?
Man kann auch ein Automation kaputt-updaten wie es Simon_HH schon beschrieben hat.

Bei den meisten Anlagen die ich geplant und abgenommen habe, wurden vom Nutzer/Betreiber keine Softwarewartungsverträge abgeschlossen. Warum ist das wohl so? Wenn man nachfragt kommt die Antwort: Solange alles funktioniert, lasse ich keinen an die Anlagen ran.

Ich jedenfalls habe keine Lust „alle aktuellen Softwareupdates“ von Loxone zu implementieren. Jedes Mal „darf“ man das Gesamt-System wenigsten Stichprobenhaft prüfen, ob alles noch funktioniert, wie vor dem Update. Ich brauche das nicht als Beschäftigungstherapie. Anders sieht es aus, wenn ich von einem Update profitieren kann, weil gravierende Fehler beseitigt oder jetzt verfügbare neue Funktionen enthalten sind.

Gruß Michael

**Gast** · 24.02.2016, 15:23

Fünf EUR ins Phrasen-Schwein - aber diese passt hier zu gut rein:
'Never change a running system'

Zum Thema Update ist das immer so eine Sache:
Wenn der Hersteller gut und vollständig dokumentiert welche Änderungen und Verbesserungen mit dem Update einfließen, wäre das Ganze nicht so schlimm.
Speziell bei Loxone werden meines Wissens nach zwar ReleaseNotes zu jedem Update veröffentlicht, die Änderungen oder Bugfixes werden aber nur mit ein paar wenigen Worten und einer Vorgangsnummer dokumentiert.
An dieser Stelle könnte man sich schon etwas mehr Information wünschen. Oder eine Quelle, wo die Details nachvollzogen werden können.

Aber zurück zum Thema illegaler Login:
In /var/log wird doch jeder user access in linux protokolliert.
Kommt man an diese Informationen beim Miniserver nicht ran?
Respektive:
Hat denn noch niemand bis jetzt einen root-Zugriff auf den MS geschafft?

Gesendet von meinem GT-I9300 mit Tapatalk

**Stefan77** · 24.02.2016, 17:04

Naja, 'Never change a running system'.. Es gibt ja auch sowas wie Sicherheitslücken, welche mit einem Update geschlossen werden. Deshalb bauen ja z.B. auch immer mehr Router-Hersteller eine automatische Update-Funktion ein.

Zitat von rastablondi

Noch etwas grusliges:

Shodan

http://shodan.io

Search engine of Internet-connected devices. Create a free account to get started.

Sucht mal nach 'loxone'

Hat keine zehn Versuche gedauert, da war ich schon im ersten drinnen. Und wir diskutieren hier über VPN

// Owei, nicht nur dass dann jeder das Licht ein-/ausschalten kann. Mit admin/admin ist ja auch die Config nach Belieben änderbar! Wahnsinn, wie ungesichert manche durchs Netz wandern..

**Nobbi75** · 25.02.2016, 11:33

Habe gerade einFeedback bekommen. Seit Version 7 ist das shodan.io Thema gelöst bzw. geblockt....daher finden sich dort auch keine neuen Versionen mehr.

Habe auch gehört, dass auch etwas bezüglich unsicherer Passwörter in Arbeit ist.

Gesendet von iPad mit Tapatalk

**Wörsty** · 25.02.2016, 21:39

Bissel OT aber passt zum Ausgangsbeitrag...

Google

https://www.google.de/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=seite+mit+tausenden+webcams

Illegaler Login

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar