LotharGehlhaar - Teichbauforum

Hallo Paul,


Du richtest Dir bei Selfhost oder AVM eine Adresse ganz für Dich alleine ein. Die dient vor allem dazu, dass Du von außerhalb oder aus dem Handynetz damit arbeiten kannst.


Wir reden hier zwar nicht von einem sicheren, sondern von einem versteckten hohen Port.

Praktisch ist es Dir überlassen, ob Du diese Zugangsdaten in irgendein Forum schreibst. Du kannst es auch so machen, wie Robert. Der hat eine Beispieladresse genannt
http://selbstgewaehltername.selfhost.eu/
Und bevor Du hier einen Beitrag mit so einem Beispiel verfasst, kannst Du ja die Portnummer problemlos verfälschen.



Pfiffikus,
der für seine Raspis natürlich auch andere Adressen als die hier im Thema öffentlich genannten Daten verwendet

Der Tip mit dem Größer machen war Gold wert und dann mit den Pfeiltasten nach unten und ich hab alles gefunden!
Wieder einen Schritt weiter.

_________________
_______________
Schöne Grüsse

Jürgen

Ja Danke Gunter,


Das Habe ich schon verstanden, hier geht es um die Standarts Port´s Scannen der Bösen Jungs, deshalb ziemlich hoch und außergewöhnlich ausgesucht.



Kannst Du das Bitte noch mal detaillierter, an Hand von Beispielen über die Verfälschung oder Verschleierung was erläutern.
Wie setzt man das zusammen?
Das Beispiel habe ich nicht verstanden, da für mich alles Sichtbar war, obwohl die Weiterleitung dann nach http://cms.selfhost.de/.. ging



1.- Mit den Haus-üblichen IP. Adressen die der Router für Dein RasPi. vergibt 192.168.....kann doch erstmal ohne eine Richtige IP. zum Beispiel 213.83.63.55 keiner was anfangen oder?

2.- Mal angenommen Dein Test Raspi hast Du so vertüddelt und gibst die Adresse hier Preis, wie die Adressen aus den Aquarium-RasPi.-Foren.

Was kann mir oder Dir dann evtl. alles passieren?

3.1.- Jemand macht da evtl. mit den Rootrechten geschludert wurde der Raspi platt. (Ist nicht so schlimm )

3.2.- Jemand kommt über den RasPi in mein Home-Netzwerk ??

3.3.- Jemand kommt dadurch in mein Router und kann dadurch in alle meine Teilnehmer im Home-Netzwerk gelangen ??

was evtl noch 3.4.................................

Aber bitte gerne Jürgen!
It was nothing.

Hallo Paul,


ein Unhold könnte sich der Reihe nach alle IPs der Telekom und der anderen Provider vorknöpfen. Da könnte ein Portscan von 1 bis 65000 durch rattern, um zu prüfen, ob irgendwo eine Software offen ist. Bei einem solchen Scan würde man diverse Webcams und auch unsere Raspis finden, sofern die nach außen freigeschaltet worden sind. Er wird in unserem Falle eine Seite finden, auf der zu lesen ist "It works!". Nur wenn er wüsste, dass man dahinter "/steuerung/" oder einen anderen, vom Benutzer gewählten Begriff eingeben muss, sieht der Angreifer die Teichsteuerung. Den meisten Angreifern aus der Karibik, aus Russland und China dürfte dieses Forenthema jedoch entgangen sein, obwohl öffentlich einsehbar. Also ruhig Blut!

Wer so viel kriminelle Energie aufwendet, um Ports zu scannen, wird das wahrscheinlich nicht machen, um unerlaubterweise Deine Teichtemperatur zu erfahren oder mit Deinen Lampen zu spielen. Die suchen eher nach Dingen, die ihnen einen geldwerten Vorteil bringen.



Das ist nicht schwer. Meinen Raspi erreiche ich mit

Schreibe ich einen Forenbeitrag, in dem ein Beispiel gebraucht wird, dann schreibe ich im Forum das Beispiel:

In diesem Beispiel ist kein Hinweis enthalten, wie Du meinen Raspi tatsächlich erreichst, denn ich habe diese Angaben verschleiert.
Praktisch gilt auch bei uns der Spruch: "Obscurity is not Security". Aber sie lässt uns etwas leichter schlafen.



So ist es. Es gibt einige IP-Bereiche, die für private Netze reserviert sind.
https://de.wikipedia.org/wiki/Private_IP-Adresse
AVM verwendet in den Fritz-Boxen standardmäßig 192.168.178.30, 192.168.178.31 ... aufwärts gezählt. Diese IPs müssen nur bei Dir zuhause eindeutig sein. Dein Nachbar hat ein eigenes Netz und darf dieselben Adressen verwenden. Und im weltweiten Netz werden diese Adressen nicht geroutet.

Innerhalb der Fritz-Box kannst Du eine Portfreigabe vornehmen. Die leitet ankommende Anfragen an http://213.83.63.55:12345/steuerung/ weiter an die interne Adresse http://192.168.1.50:80/steuerung/ und voila - Du hast die Steuerung auf Deinem Telefondisplay!



Der Angreifer (oder der Neugierige) kann alle Bedienhandlungen an Deiner Teichsoftware vornehmen und alle Daten einsehen, die angezeigt werden. Er könnte den Filter abschalten usw. Eine Benutzerverwaltung für diese Software mit Kennwortabfrage wird zwar kommen, aber ich mag hier weder einen Termin nennen, noch möchte ich die heute schon irgendwie in die Prioritätenliste einordnen.

Ich habe aber ganz bewusst darauf geachtet, dass ich Euch in einer Art und Weise anleite, nicht zu viele Risiken einzugehen. Deshalb hatte ich mich gestern nochmal zu Wort gemeldet. So gilt die Faustregel, dass ein Angreifer in dem Fall, dass er irgendeine Schwachstelle in unserer Software ausnutzen könnte, allenfalls die Privilegien des Benutzers "www-data" hätte. Er hat nicht die Rechte des Benutzers pi und schon garnicht root-Rechte.
Wenn er Profi ist, könnte er nun diese Privilegien nutzen, um irgendeine Linux-Schwachstelle zu missbrauchen, die ihm root-Rechte verschaffen würde.

Aus diesem Grunde habe ich in den Fällen, in denen root-Rechte unverzichtbar waren, nur sehr selektiv Rechte in der Datei /etc/sudoers empfohlen.

Gelingt es aber einem Angreifer, diese Hürden zu überwinden, haben wir den Super-GAU.


Das war früher. Heute machen das die Unholde nicht mehr. Ein Rechner, der permanent im Netz hängt und unter der Kontrolle dieses Angreifers ist, wäre eine viel zu wertvolle Ressource, um ihn platt zu machen. Vielmehr könnte man diesen geklauten Raspi anders nutzen, zum Beispiel für ein reichhaltiges Angebot an Malware oder als Spamschleuder. Und der Angreifer wird sich gut tarnen und will so lange wie möglich unentdeckt bleiben.


Richtig. Wer sich auf Deinem Raspi root- oder pi-Rechte erschlichen hat, kann alles machen, was pi im Netzwerk tun darf.


Das wiederum kommt darauf an, wie gut der Router und die anderen Rechner geschützt worden sind. Ist da nur ein System aus Redmond drauf, ohne zusätzlich gehärtet worden zu sein, sieht es schlecht aus.



Pfiffikus,
der hofft, dass Euch sowas nicht passieren wird

Gunter Danke für Deine Ausführliche Erläuterung!




von


auf



Die Einzige Verbindung ist selfhost.eu . und dort ist bestimmt nicht nur der pfiffikus alleine angemeldet.

(Paul_katzendreck.)

http://Paul_katzendreck.selfhost.eu:12345/steuerung

und :12345/steuerung ist "Obscurity is not Security"

Ja hat ein wenig gedauert



Dito!!!

Hallo Paul,
Ja du richtest bei selfhost Einen Namen ein. Kann auch powerraspi. Selfhost. EU sein der Name darf halt noch nicht vergeben sein.
Gunther hat hier nur ein Beispiel so wie ich angeführt.

Letztlich wird deine Adresse evtl Paul. Koi. Selfhost . eu lauten danach mit.:der gewählte Port evtl. :47111
Und den Pfad welcher auf deinem Raspi angelegt wurde.

Ich persönlich würde nie in einem forum so etwas wie meine Ports etc schreiben.
Warum auch?

_________________
Gruß Robert

www.koifutterhandel.de

Anzeige:

_________________
Wenn du einen Monat lang ein werbefreies Forum willst, klicke hier und überweise mir 100 Taler!
Wenn du mich im Koi-Schnack etwas fragen möchtest, klicke hier!

Besten Dank Robert,
habe es gerade oben geändert beim zweiten lesen war es doch klar!!

Schön das Du dich mal wieder mit eingebracht hast!!!!!!

Hallo zusammen,
seit einiger Zeit stoße ich mit den bisher von mir benutzen Programmiersprachen an die Grenzen des Machbaren.

Anders gesagt ich finde immer weniger Beispiele bzw. Bruchstücke um weiter Sensoren auszuprobieren.

Das ist mir schon aufgefallen bei der Leistungsmessung mit dem Vorgestellten Stromwandler und einem AC Stecker-Netzteil.

Ich habe noch einpaar Sensoren Co und ähnliches in meinem Portfolio.

Aber ich finde nur noch Beispiele in C oder C++ geschrieben, die natürlich wie alles andere auch nicht ein zu eins zusammenpassen und daher angepasst werden müssen, oder übersetzt in Python bzw. zusammen führen.

Hier einmal ein Beispiel: http://openenergymonitor.org/emon/build ... gy-monitor

Da es in den Einschlägigen Foren aber nicht so Hilfsbereit wie hier zugeht, ist es sehr schwer Dort Fuß zu fassen.

Des halb frage ich mal in die Runde und Denke da auch evt. an schnuffi (Dennis), kann jemand C und oder C++.

[quote="Fischkopf
Besten Dank Robert,
Schön das Du dich mal wieder mit eingebracht hast!!!!!![/quote]

Hallo Paul,

lese hier natürlich immer weiter mit, und wenn ich helfen kann, gerne.

Ist aber so wie beim Teichbau auch, wenn man einen baut, kommen viele Fragen auf und man sucht aktiv in Foren und I-Net nach Lösungen und beteiligt sich daran. Mit dem Teichbau bin ich lange fertig, deshalb sind nicht mehr alle Themen für mich relevant wo geschrieben werden, bzw. bringe mich ein. Genauso handelt es sich auch mit dem Raspi. Ich habe anfangs viel Zeit damit verbracht, auch viel Zeit vom Pfiffikus beim Laufen lernen geschenkt bekommen (hierfür auch noch einmal Danke), und seit ca. 9 Monaten läuft der Raspi so wie ich ihn für mich benötige. Kein Neustart etc. seit dieser Zeit nötig. Alle Monate einmal mache ich ein update und spiele eine evtl. neue Revision darauf über den Putty auf.
So betrachtet ist es das billigste und effektivste und billigste Funkthermometer wo ich bis jetzt hatte. Nebenbei steuere ich alle elektrischen Geräte (teils per Jobs) nur noch über Steckdosen die am Raspi hängen per Handy oder Laptop. Alles läuft so wie ich es möchte.
Von daher ist auch hier das Interesse seitens von mir geringer geworden.

Der Raspi läuft einfach, genauso wie der Teich auch, und Veränderungen gibt es nur noch wenige. So habe ich mir das vorgestellt.

_________________
Gruß Robert

www.koifutterhandel.de