Fermate Skrevet 8. mai 2017 Skrevet 8. mai 2017 Jeg og dama sitter og ser på TV og så tenner lysene. Vi ser på hverandre, smiler og tenker "30 min før solnedgang" Men så går to av rullegardinene plutselig opp. Jeg sier, -ø ble vi ening om at de skulle opp ved solnedgang? Burde de ikke gå ned? Før hun rekker å svare hører vi en lyd nedenfra. -Hva er det for en lyd? Er det sentralstøvsugeren? Joda det er det, den står og uler i boden og jeg skrur den av med den trådløse bryteren på slangen og tenker; hva har jeg gjort av rar feil programmering i kveld? Byttet noen DevID'er? Men når vi kommer opp blinker lysene vilt og inngangsdøra låser seg... Bzzzt klikk DET ER NOEN SOM STYRER HUSET UTENFRA! Inn i HS og inn i loggen og joda: Her er det folk inne Teamviewer til HS serveren og stenger HS og da blir det stille. iplocation.net peker 90.184.106.128 til Danmark. Logger inn på hytta i DK og sjekker den men der ser alt normalt ut og det står ingen åpen VPN der som kunne ha vært brukt til noe. Så slår meg at brukeren som det er logget inn på er "default", -hva faen har ikke jeg fjernet default brukeren i HS??!??! Starter opp HS igjen og går rett i tools/setup/network og joda den ligger der og blir slettet på et sekund. Sjekker litt mer og må innrømme at tanken på hevn slår meg så jeg forsøker noen std passord på ZyXEL routeren hans men nei. Antakeligvis har jeg skrudd på default brukeren for å kunne bruke Z-tool og glemt å skru den av igjen. Herre gud for en amatør jeg er. Jeg blir litt flau men bestemmer meg for å legge ut alt sammen for å minne folk på sikkerheten. Tenk om dama hadde vært alene hjemme..... Men det er en god historie da! 6 Siter
ZoRaC Skrevet 8. mai 2017 Skrevet 8. mai 2017 Oi, da hadde jeg også blitt svett! Bra det bare var en "tulling" fra Danmark og ikke en som sto utenfor og låste seg inn når dere ikke var hjemme... Siter
Fermate Skrevet 8. mai 2017 Forfatter Skrevet 8. mai 2017 Og som nøyde seg med å trykke på device knappene... 1 Siter
Merko Skrevet 8. mai 2017 Skrevet 8. mai 2017 (endret) Skummelt ja Kan jo fort gjøre mye rart dersom man har tilgang til 'alt' Endret 8. mai 2017 av Merko Siter
Evelen Skrevet 8. mai 2017 Skrevet 8. mai 2017 han skulle heller skrudd av alle lysene, rullet ned gardinet, låst døra og spilt av skumle skrikelyder (om du har lyd-enheter koblet til :P) Ja, jeg kan være litt skummelt. Forøvrig veldig spesielt å ha ruter-konfigurasjonsinterface på WAN-porten. Siter
Fermate Skrevet 8. mai 2017 Forfatter Skrevet 8. mai 2017 Sitter og finleser loggen nå. Han har vært inne i 12 minutter. Men det er fra scanne softwaren hans første gang slo igjennom så med ett menneske i browseren er det noe kortere. Må ha hvert en guttunge som bare trykker vilt på knappene i device manageren. - En "tagger" som ikke forlater gutterommet .. Finner ikke at det er gjort noe rekonfigurering eller sletting av eventer. Grøss...Om det var noen som ikke viste seg fram men tenkte seg om...skrekk og gru.. Siter
Moskus Skrevet 9. mai 2017 Skrevet 9. mai 2017 *gasp* Takk for skrekkhistorien! ? Alltid kjekt med en oppvekker nå og da. Du har oppgradert HS etter .311 (eller hva det nå var)? Som flere andre har jeg også gått over til å bruke nginx for å kunne bruke https. Enda en ekstra sikkerhet, og så slipper webserveren i HS å være et svakt leddet. Siter
Fermate Skrevet 9. mai 2017 Forfatter Skrevet 9. mai 2017 Ja HS er oppgradert hele tiden, men det hjelper jo ikke med noen ting når det er en idiot som lar Default brukeren stå åpen med default passordet Siter
Moskus Skrevet 9. mai 2017 Skrevet 9. mai 2017 19 minutter siden, Fermate skrev: Ja HS er oppgradert hele tiden, men det hjelper jo ikke med noen ting når det er en idiot som lar Default brukeren stå åpen med default passordet Nei, det er klart. Nå er det lett å føle seg litt ovenpå, men jeg har selv vært idiot og dermed har enkelte kunnet i løpet av 2 dager se forsiden på min HS-installasjon (det er et valg om å IKKE be om passord for førstesiden under Setup -> Web som jeg idiotisk nok hadde skrudd på pga. debugging men glemt å skru av igjen). En forumbruker på det "andre" forumet gav meg et vennlig hint, så heldgvis ble det fort oppdaget. Det er noen år siden nå, så jeg dobbeltsjekker alt. Siter
Fermate Skrevet 9. mai 2017 Forfatter Skrevet 9. mai 2017 2 minutter siden, Moskus skrev: Nei, det er klart. Nå er det lett å føle seg litt ovenpå, men jeg har selv vært idiot og dermed har enkelte kunnet i løpet av 2 dager se forsiden på min HS-installasjon (det er et valg om å IKKE be om passord for førstesiden under Setup -> Web som jeg idiotisk nok hadde skrudd på pga. debugging men glemt å skru av igjen). En forumbruker på det "andre" forumet gav meg et vennlig hint, så heldgvis ble det fort oppdaget. Det er noen år siden nå, så jeg dobbeltsjekker alt. Tenker du på "Require a Password for Custom Page 1" ? Siter
Merko Skrevet 9. mai 2017 Skrevet 9. mai 2017 2 timer siden, Tverfyll skrev: Hvilken vei kom han seg inn til serveren din? Trenger nok bare IPen. feks http://<ip> Kjører man HomeSeer på Port 80 så er det jo det første man møter på. Finnes nok forskjellige nettsteder som shodan som er søkemotor for åpne homeseer\nettverkskameraer osv. Siter
LaStrada Skrevet 9. mai 2017 Skrevet 9. mai 2017 Da kom jeg på hva jeg skulle sette opp... Blokkere IP adresser Har nå fått blokkert stort sett alle land. Har også blokkert alle henvendelser direkte til IP-adresse, alt må gå gjennom domenene jeg har satt opp. Så og si alle fremmede requester jeg har hatt har prøvd seg på IP-adressen min uten domene. Og overraskende nok er det ingen "hackere" fra Russland eller Kina som har prøvd seg! De fleste er fra rundt om kring i Europa. Siter
Merko Skrevet 9. mai 2017 Skrevet 9. mai 2017 2 minutter siden, LaStrada skrev: Da kom jeg på hva jeg skulle sette opp... Blokkere IP adresser Har nå fått blokkert stort sett alle land. Har også blokkert alle henvendelser direkte til IP-adresse, alt må gå gjennom domenene jeg har satt opp. Så og si alle fremmede requester jeg har hatt har prøvd seg på IP-adressen min uten domene. Og overraskende nok er det ingen "hackere" fra Russland eller Kina som har prøvd seg! De fleste er fra rundt om kring i Europa. Nå vet jeg ikke hvordan du har gjort det, men kan du ikke bare gjøre sånn at den kun tillater trafikk fra Norge? så er samtlige land "blokkert" fra før. Evt kun gi tilgang til en spesifikk leverandør (feks Telenor, dersom du kobler til HomeSeer fra mobilen) Siter
LaStrada Skrevet 9. mai 2017 Skrevet 9. mai 2017 Just now, Merko said: Nå vet jeg ikke hvordan du har gjort det, men kan du ikke bare gjøre sånn at den kun tillater trafikk fra Norge? så er samtlige land "blokkert" fra før. Evt kun gi tilgang til en spesifikk leverandør (feks Telenor, dersom du kobler til HomeSeer fra mobilen) Det hadde vært mulig det, men kjedelig å endre innstillingene hver gang man er ute og reiser. Vil gjerne ha tilgang på kamera og varmestyring (feriemodus på/av). Tillater nå kun Norge, Sverige og Danmark, tror det skal holde en stund. Ser ut til at IFTTT blir stoppa nå, så må vel legge inn et filter på denne. Siter
xibriz Skrevet 10. mai 2017 Skrevet 10. mai 2017 (endret) Helt urelatert men fortsatt relevant: https://en.wikipedia.org/wiki/Port_knocking Endret 10. mai 2017 av xibriz Siter
ZoRaC Skrevet 10. mai 2017 Skrevet 10. mai 2017 7 timer siden, LaStrada skrev: Har også blokkert alle henvendelser direkte til IP-adresse, alt må gå gjennom domenene jeg har satt opp. Hvordan gjorde du det? Siter
Moskus Skrevet 10. mai 2017 Skrevet 10. mai 2017 50 minutter siden, ZoRaC skrev: 8 timer siden, LaStrada skrev: Har også blokkert alle henvendelser direkte til IP-adresse, alt må gå gjennom domenene jeg har satt opp. Hvordan gjorde du det? +1!! Siter
LaStrada Skrevet 10. mai 2017 Skrevet 10. mai 2017 Dette er ingen magi i det hele tatt. Det jeg har gjort er å sette opp proxy på alle nettsider, hovedsakelig Home Assistant og et par små python-servere som tar imot data fra nettet. Home Assistant støtter bare ett passord, derfor kjører jeg dette gjennom andre webservere som kun tillater én tjeneste (IFTTT -> oppdaterer status på gitte binary sensors), slik at jeg slipper å eksponere hele systemet. Håper virkelig Home Assistant får støtte for flere brukere med forskjellige tilganger... Jeg bruker nginx og har satt opp en default config her som håndterer dette: server { listen 80 default; server_name _; return 403; } server { listen 443 default; server_name _; ssl on; ssl_certificate /etc/ssl/certs/sslTestCert.crt; ssl_certificate_key /etc/ssl/certs/sslTestCert.key; return 403; } Dette er config jeg har funnet på nettet Som dere også ser har jeg satt opp for https trafikk, så har generert et selvsignert sertifikat for dette. I tillegg til dette har jeg lignende config for domenen mine, hvor jeg setter inn domenenavnene under server_name. Jeg bruker Home Assistant og all trafikk går gjennom nginx (proxy). Jeg prøver å bare tillate port 80/443 (web), 22 (ssh) og 32400 (plex) inn i huset. Hvordan tjenester som feks mqtt settes opp, vet jeg ikke. Dette kjører jeg bare lokalt så har ikke behov for å åpne opp for dette. Ble dere klokere? Jeg er ingen ekspert her... Men dette fungerer for meg! 1 Siter
Moskus Skrevet 10. mai 2017 Skrevet 10. mai 2017 Dette er veldig kjent, men blokkerer det trafikken som ikke går gjennom serverenavnet? Siter
LaStrada Skrevet 10. mai 2017 Skrevet 10. mai 2017 Å bruke ordet blokkere var kanskje litt feil... Men den gjør at folk ikke når mine applikasjoner som kjører, den viser kun en side hvor det står "403 Forbidden". Jeg kan fortsatt bli utsatt for feks DDOS-angrap. De fleste (av erfaring) prøver bare å nå IP-adressen, ikke domene, og gir opp der. Finner de en påloggingsside, er det nesten garantert at de prøver noen ganger. Prøver å ikke publisere domene-navnene for mange steder for å unngå at de blir plukket opp av boter. Siter
ZoRaC Skrevet 10. mai 2017 Skrevet 10. mai 2017 3 minutter siden, LaStrada skrev: Å bruke ordet blokkere var kanskje litt feil... Men den gjør at folk ikke når mine applikasjoner som kjører, den viser kun en side hvor det står "403 Forbidden". Jeg kan fortsatt bli utsatt for feks DDOS-angrap. De fleste (av erfaring) prøver bare å nå IP-adressen, ikke domene, og gir opp der. Finner de en påloggingsside, er det nesten garantert at de prøver noen ganger. Prøver å ikke publisere domene-navnene for mange steder for å unngå at de blir plukket opp av boter. Så det du sier er at dette er det som "slår til" når noen går via IP? server_name _; Og at du har en annen konfig for den "ekte", altså med server_name domene.no;? Siter
lilfire Skrevet 10. mai 2017 Skrevet 10. mai 2017 Ikke så lenge siden noe kom seg inn på squeezebox serveren min og lekte seg meg musikk hjemme . Har alltid vært slapp på sikkerhet - men etter noen tilfeller hvor andre har vært inne i systemet å lekt seg så har jeg begynt å ta det på alvor. Siter
LaStrada Skrevet 10. mai 2017 Skrevet 10. mai 2017 Litt kjedelig, som trådstarter fikk oppleve, at fremmede tar kontroll Har aldri tatt sikkerhet på alvor, så det er viktig for meg å lese tråder som dette... Det får meg til å gjøre en del, og glemme det til neste gang jeg leser om lignende... Siter
Moskus Skrevet 10. mai 2017 Skrevet 10. mai 2017 34 minutter siden, LaStrada skrev: Å bruke ordet blokkere var kanskje litt feil... Men den gjør at folk ikke når mine applikasjoner som kjører, den viser kun en side hvor det står "403 Forbidden". Jo... men hvordan slipper du gjennom de (dvs du) som bruker server/domene-navnet? Det er noe jeg ikke forstår her (ikke at det skal så mye til)... EDIT: Det er visst det denne linja skal gjøre, på en måte: server_name _; Må kikke litt på det. 1 Siter
Anbefalte innlegg
Bli med i samtalen
Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.