Ich mach Pause von Kodi

So ein Schei.. Gibt es keine Möglichkeit, herauszufinden, wer oder was das war?

Zitat von Ponyriemen

Portfreigaben in der Fritte gelöscht und was weiß ich noch alles

Klingt einfach nach wird schon gehen. Das ist genau der Grund warum es bei mir nur für Emby die Port-Freigabe gibt.
Alles andere ist nur per Wireguard VPN erreichbar.

Dann viel Erfolg beim Absichern.

Ich habe vor ca. 2 - 3 Jahren durch Zufall festgestellt, das ein User von extern (IP aus NL) mit unterschiedlichen Usern versucht hat, sich an meiner Fritte anzumelden.
Habe daraufhin den Zugriff von extern abgeschaltet und gewartet, bis meine Fritte eine neue öffentliche IP bekommen hatte.
Danach Zugriff aus dem Internet wieder aktiviert.

Ich kontrolliere aber seitdem zyklisch über das Ereignisprotokoll, ob Anmeldeversuche aus dem Internet erfolgen !

ouch,
bei mir läuft nur noch wireguard, hoffe das AVM bei Sicherheitslücken ein Auge darauf hat

Zitat von Ponyriemen

ich habe heute voller erschrecken festgestellt, dass sich irgendwer fremdes Zugriff auf mindestens 1 S905 mit CoreElec verschafft hat, genauer bzw. aufgefallen ist es mir in der Weboberfläche von TVHeadend

Dafür sollte man halt folgendes wissen:

• CoreELEC ist wie LibreELEC ein System welches, wenn es nicht geändert wurde, ein Standardpasswort für den Root-User hat. Bei LibreELEC ist es libreelec und bei CoreELEC wird es coreelec sein.
• TVHeadend verwendet als Sicherung einzig und allein ein sogenanntes "Basic-Auth". Das ist auch nur so "semi-sicher", wenn der TVHeadend Server auf der gleichen Kiste läuft und sich jemand als "root" Zugriff verschafft hat.

Zitat von Ponyriemen

Portfreigaben in der Fritte gelösch

Wer ein "ELEC"-System offen ans Netz hängt mit einer Freigabe von außen, der sollte auch einfach wissen, was er tut. Grundlegend hätte es gereicht die Portfreigaben abzuschalten. Denn ohne eine Weiterleitung an den Port über die Fritte kommt erstmal niemand an die Kiste dran.

Das der Zugriff auch ohne SSH funktioniert hat, kann über den Webbrowser funktioniert haben. Dieser hat gewisse Lücken. Kodi ist auch kein System, welches auf Sicherheit ausgelegt ist. Das ist aber klar und an jeder Stelle offen kommuniziert. Ja, es gibt auch ein CVE dafür. Vielleicht hat auch TVH eine Lücke.

Und nur weil du SSH über Kodi ausgeschaltet hast, kann er sich einen Cronjob eingerichtet haben, der SSH jede Nacht zu einer gewissen Uhrzeit wieder aktiviert. Solange die Freigaben noch aktiv waren, solange kann der Zugriff stattgefunden haben.

Sollten die Freigaben nicht mehr aktiv gewesen sein, dann kann es nur jemand gemacht haben, der direkten Zugriff auf dein Netzwerk hatte. Da gilt es dann dein Netzwerk an allen möglichen Stellen zu kontrollieren, die einen Zugriff von außen ermöglichen (bei deiner Fritz!Box angefangen....weiter über dein WLAN bis hin zu IoT Geräten, die noch in deinem Netzwerk sind).

Empfehlung:

• WLAN-Passwort ändern
• FritzBox Passwort ändern
• EINFACH ALLE DEINE PASSWORT ÜBERALL ÄNDERN (Amazon, Sparkasse, Tinder, eBay, SMB-Shares.....egal was...ALLES ÄNDERN!!!!! und wo es geht 2FA aktivieren)
  
  
  • wer weiß, was derjenige noch alles in deinem Netzwerk gemacht hat. Er war root auf deiner Kiste und kann ggf unter CoreELEC alles mögliche angestellt haben.

Das Basic-Auth von TVHeadend zu ändern, wenn jemand "root" auf der Kiste ist, machen heutzutage die Praktikanten, die sich für eine Fachinformatiker Ausbildung interessieren. Das kann mittlerweile jeder 14 jährige, der sich ein wenig mit der Materie auskennt. Ist nicht böse gemeint. Ich will nur sagen, dass "Basic-Auth" grundlegend nicht sicher ist, wenn jemand root-Zugriff auf die Maschine hat.

Wenn du dir und deiner Familie (falls vorhanden) einen Gefallen tun möchtest, dann setzt du ALLES zurück, was du jemals angefasst hast und prüfst alles bis aufs Kleinste wo ein Zugriff stattgefunden haben kann.

Tut mir leid für dich und den Ärger, den du damit hast....aber du bist faktisch "gehackt" worden und wenn jemand weiß, was er tut (also der Angreifer in dem Fall), dann wirst du ohne das Zurücksetzen aller deiner Geräte und dem Vergeben neuer Passwort und Sicherheitsmechanismen noch sehr lange damit ärger haben und im ungewissen Leben.

Zitat von Ponyriemen

Portfreigaben in der Fritte gelöscht und was weiß ich noch alles.

Das ist schon mal richtig. Es fehlt noch das Wort "Alle" vor Portfreigaben. Vielleicht meintest du das auch. Konkret bei der Fritzbox kenne ich mich nicht aus, aber wenn unter "was weiß ich noch alles" auch VPN Zugang fällt, sollte dein LAN eigentlich nicht mehr von außen erreichbar sein.

Wenn allerdings das

Zitat von Ponyriemen

Heute Morgen war der User wieder in TVH eingetragen. Auch SSH war wieder aktiviert, was ich immer aus hatte.

passiert, wird es (nach meinem Verständnis) schwierig. Der fremde User könnte einen Dienst installiert haben, der nach draußen funkt - dafür braucht man keine Portfreigaben.

Könnte auch über WLAN eingedrungen sein. Wenn mal jemand in deinem Netz war, ist das grundsätzlich erst Mal alles kompromittiert. Oft kann man WLAN-Passwörter irgendwo auslesen. Würde das auf jeden Fall auch wechseln. Und je nachdem wie du Online-Banking, andere Accounts, ... nutzt/sicherst noch viel mehr wechseln.

Das soll jetzt bestimmt nicht Salz in Wunden streuen sein, eher Mahnung an andere "normale" Nutzer - wer sich nicht wirklich sehr gut auskennt, sollte sein LAN von außen nicht zugänglich machen. Per Default ist das normalerweise auch nicht der Fall.

Hier in der Nerds-Community haben natürlich viele irgendwelche "Server" laufen. Sollte man am besten auch restriktiv konfigurieren. Siehe z.B.: Access configuration - Tvheadend Da kannst du auch Mal nachlesen, wie du Zugriff auf dein LAN beschränkst. (Wobei das ohne Portfreigaben eigentlich nicht notwendig ist. Security beruht halt oft auf doppeltem Boden.)

Ob oder wieviel geaendert werden muss ist eine Frage der Analyse wie weit so ein Hack hat vordringen koennen. Das macht natuerlich Arbeit und die Software verstehen.

Hat denn CoreElec/LibreElec per default sshd am laufen, so das man da einfach von aussen mit default passwort als root auf die Kiste kommt ? Das waere ja straeflich. Kann ich mir nicht vorstellen. Aka: was waere denn der einfachste Zugriffsvektor um root auf so einer Kiste zu werden ? Sind da http ports anfaellig fuer stack hacks, oder wie ?

Meiner Meinung nach funktioniert sicherheit nicht, wenn das nur auf basis von "folgen sie allen empfehlungen, sie muessen nix verstehen" gehen soll. IMHO muss man schon die Angriffsvektoren verstehen.

Zitat von te36

Hat denn CoreElec/LibreElec per default sshd am laufen, so das man da einfach von aussen mit default passwort als root auf die Kiste kommt ? Das waere ja straeflich. Kann ich mir nicht vorstellen.

Klingt komisch, ist aber so.

man kann und sollte bei corelec dass Passwort ändern man wird auch darauf hingewiesen.

Am besten derartigen Zugriff nur per wireguard zulassen und gar keinen Zugriff mittels Port freigaben.

@Ponyriemen am besten die Core/libre boxen neumachen

Zitat von tavoc

am besten die Core/libre boxen neumachen

Würde ich ebenfalls empfehlen, wenn nämlich deine Änderungen wieder rückgängig gemacht wurden, ist zumindest diese Box kompromittiert - z.B. über ein Addon, Skript oder Service.

Aua. Da ist dann aber das reinkommen so einfach, das da kein Richter einen Einbruch feststellen wuerde.
Das ist wie eine nicht abgeschlossene Haustuer mit Aussenklinke.

Da ist dann natuerlich ein trojaner z.b. in crontab oder anderswo leicht vorstellbar.

Soweit aber alles nicht gross aufwendig zu korrigieren. Neu installieren, und dann vernuenftige Passwoerter setzen.

Wo es schwieriger wird fuer mich, ist sich auszumalen, wie leicht es dann ist von der Kiste aus das LAN anzugreifen. Da muesste man sich in der ScriptKid Ecke auskennen, was es da so an leicht verfuegbaren tools gibt, z.b. programm was die direkt auf die CoreElec Kiste runterladen koennen und das dann das LAN ausforscht.

LibreELEC hat SSH nicht per default eingeschaltet. Bei der Erstinstallation gibt es im Wizard eine Abfrage dazu. Per default ist SSH ausgeschaltet.

Ebenso ist der Kodi Webserver zur Steuerung via HTTP ebenfalls nicht eingeschaltet. Auch dieser ist nach Installation deaktiviert.

Bitte einfach mal selbst versuchen. Das Team ist sich der Problematik bewusst, kann aber nichts dafür wenn die Konsequenzen durch das aktivieren von SSH, dem einrichten von Port-Weiterleitungen und dem Unterlassen der Passwortänderung dem Anwender nicht bewusst sind

Zitat von PvD

Klingt komisch, ist aber so.

So weit ich mich erinnern kann muß man ssh wie auch samba bei der Erstinstallation aktivieren

Zitat von rolapp

So weit ich mich erinnern kann muß man ssh wie auch samba bei der Erstinstallation aktivieren

Das ist immer das erste, was ich mache, wobei m.W. Samba per default aktiviert ist.

Ja, das mag sein, dass SMB aktiviert ist. Ich bin mir aber ziemlich sicher, dass SSH nicht aktiviert ist. Wenn ich nicht ganz falsch liege, dann ist das hier definiert:

https://github.com/LibreELEC/serv…ervices.py#L165

Da bin ich mir gerade unsicher. Frage auch parallel nochmal im Team um da sicher zu sein.

Was gibt es für eine Grund eine Libreelec-Box von extern über ssh erreichbar zu machen?

Darf man Fragen welche Ports zu der Box der forwarded waren?
Scheinbar betrifft das Problem was du hast ja den TVH.
Was für ein Eintrag war in der CA vorhanden, bzw. welche Domain war da angegeben?

Der einzige Grund, warum ssh per default eingeschaltet sein koennte ist, wenn man halt HDMI / USB Probleme hat, es also nicht hinbekommt nach der installation den Bildschirm und eine USB Tastatur zum laufen zu bringen. Und man da halt HDMI/EDID ueber ssh debuggen muss. Fuer alles andere sollte man ja auch SSH ueber die GUI aktivieren koennen.

Zitat von rolapp

Was gibt es für eine Grund eine Libreelec-Box von extern über ssh erreichbar zu machen?

Von extern: keinen. Intern dagegen schon:

• Änderungen an Dateien/Erstellung von Dateien im .config Ordner (edid, wireguard)
• Übertragung von API-Keys in Addons im userdata/addon_data Ordner
• Einspielen/Ändern der [definition='2','1']advancedsettings[/definition].xml
• usw.