Malware Mirai auf Raspberry Pi

    Hallo zusammen,


    ich nutze einen Raspberry Pi mit Homebridge um u.a. meinen rfx433 in Homekit zu bringen.


    Heute wurde ich von meinem Internet Provider komplett gesperrt, da sich anscheinend auf meinem Pi eine Malware namens Mirai festgesetzt hat.


    Ich habe den Pi erstmal vom Netz genommen, um wieder online zu kommen.

    In den kommenden Tagen werde ich ein Backup auf den Pi spielen, welches ich direkt nach dem Aufsetzen gezogen habe.


    Ich stelle mir nun die Frage, ob und wie ich mich mit dem Pi besser schützen kann. Dachte bisher immer Linux wäre ein Super Sicheres Ding.


    Könnt ihr mir evtl. Ein paar Tipps geben?


    Danke vorab

    Mirai verbreitet sich auf Computer, die direkt am Internet hängen. Dazu wird das Internet ständig nach verwundbaren Geräten abgesucht. Willst du uns erzählen, dass dein Raspi direkt am Internet hängt? Ich hätte geglaubt, er würde hinter deinem Router in deinem Heim-Netzt stehen. Dieses kann nicht aus dem Internet gescannt werden.


    Meist sind es Überwachungskameras, die überfallen werden. Hast du sowas bei dir? Was für IoT-Geräte setzt du ein?


    Stefan

    Oh das wusste ich nicht.
    Nein bei mir hängen alle Geräte direkt am Router. Sei es per LAN oder WLAN.


    Aber was kann denn dann Befallen worden sein? Oder verstehe ich dich falsch?

    Du verstehst mich richtig. Wenn aber alle deine Geräte hinter dem Router stehen, dann wüsste ich keinen Infektionsweg außer über Trojaner auf Windows-PC (https://www.computerbild.de/ar…etz-Windows-17337655.html).


    Manche Router sind anfällig für Mirai. Ein Haufen Kameras ist das. Hast du sowas in Betrieb und hast du dafür vielleicht deine Firewall-Settings auf dem Router verändert, um von unterwegs auf eine Kamera zuzugreifen?


    Hier ein paar nicht ganz aktuelle Artikel:

    https://www.heise.de/security/…z-angreifbar-4184521.html

    https://www.kaspersky.de/blog/mirai-enterprise/18781/

    https://www.golem.de/news/xion…-im-netz-1810-137037.html


    Ich finde auf die schnelle leider nichts genaues über den Infektionsweg von Mirai. Alles, was du tun kannst ist, Updates für alles, was bei dir kreucht und fleucht, zu beschaffen. Der Raspi scheint mir dabei noch das sicherste Element zu sein, aber ich würde ihn - genau wie du es vorhast - ebenfalls neu bestücken. Nimm dir auch den Hersteller / Modell jedes deiner IoT-Geräte und suche Google danach ab mit dem Suchbegriff "Mirai", also beispielsweise "Hue Mirai". Vergiss dabei den Router nicht.


    Das ist übrigens ein guter Tipp für jeden von uns hier.


    Hier noch eine Diskussion, die von der gleichen Ratlosigkeit zeugt wie hier in diesem Thread:

    https://www.trojaner-board.de/…brief-mirai-bekommen.html


    Stefan

    Gefällt mir 2

    Ok. Werde mich heute Abend mal dran setzen und durch die Artikel lesen.


    Ja ich habe eine Neatmo Presence am Haus verbaut. Diese kann neben Homekit auch direkt über die App des Herstellers von unterwegs ausgelesen werden.

    Deiner Beschreibung nach muss ich da wohl nach dem Schwachpunkt suchen. Bei solch einem System bin ich aber wohl eher auf ein Update des Herstellers angewiesen.


    Mal dumm gefragt. Gibt es vielleicht ein Tool womit ich von aussen solche Lücken aufspüren kann? Mittlerweile hat man ja zig sachen mit Internet anbindung im Einsatz. Deiner Beschreibung nach könnte z.B. auch mein Sunny Home Manager (Steuerung meiner Photovoltaik Anlage) angegriffen werden. Auch diesen kann ich von Unterwegs auslesen, oder meine Alarmanlage wessen Status ebenfalls Mobilen Zugriff erlaubt.

    folgende Geräte hängen bei mir am Netz:


    • Windows PC (LAN)
    • Sunny Home Manager (LAN) (Steuerung PV Anlage) per Devolo am Router angeschlossen
    • Visonic Alarmanlage (LAN)
    • Raspberry Pi mit Homebridge und RFX433 (WLan)
    • Neatmo Presence Kamera (WLan)
    • Amazon Fire TV Stick (WLan)
    • PS4 (WLan)
    • Blaupunkt TV (Wlan)
    • Koongeek Homekit Steckdosen (Wlan)
    • ein Paar Iphones und Ipads
    • 1 Android Smartphone
    • Ford SMAX (Wlan)

    Router ist überigens eine Fritz Box

    Zitat von Wolverine0815

    Gibt es vielleicht ein Tool womit ich von aussen solche Lücken aufspüren kann?

    Theoretisch reicht jeder Netzwerkscanner. Du brauchst dazu nur deine IP-Adresse im Internet, die du beispielsweise hier erfahren kannst: https://www.wieistmeineip.de


    Das Ergebnis des Scans sind dann die Nummern der Ports, die von außen erreichbar sind. Im besten Fall sind das keine Ports. Wenn welche offen sind, dann musst du entscheiden, ob das richtig ist. Und genau das ist die Crux: du hast ein Netzwerk zu Hause, also bist du jetzt Netzwerkadministrator, ob dir das passt oder nicht. Jetzt hängt es von deinem Ausbildungsstand ab, die Ergebnisse eines Scans zu deuten. Du kannst sie gerne mit uns teilen, wobei es in diesem Fall gut ist, die gescannte IP-Adresse zu verbergen. Meine öffentliche IP-Adresse wäre demnach 109.x.y.z, während meine interne 192.168.1.0 ist. Letztere kann jeder wissen, man kommt aus dem Internet an solche Adressen nicht heran. Die öffentliche Adresse würde ich in einem Forum nicht veröffentlichen.


    Der Scan kann von deinem Raspi oder PC zu Hause aus vorgenommen werden. Das kann durchaus lange dauern, immerhin gibt es 65535 mögliche Ports. Und alles was dabei herauskommen muss ist: ist ein Port offen oder nicht?


    Stefan

    Gefällt mir 5

    Hab zwar keinen Beitrag und keine Lösung - lese aber verdammt gern mit als sanfte Einsteiger Lektüre in die Netzwerkadministrator Thematik.


    Danke sschuste für die ausschweifende Erklärungen :):):thumbup:

    "SMART HOME" = Ärger und Probleme bewältigen die es ohne erst gar nicht gäbe

    Gefällt mir 1

    Ok. So einen Netzwerkscan kann ich ja mal durchführen.

    Habt ihr ne gute Freeware dafür im Petto?

    Weiß ehrlich gesagt nicht auf welchen Funktionsumfang ich achten muss

    Ich besitze leider keinen Windows-Rechner. Ich verwende nmap, aber das ist ein hässlicher Linux-Klotz für Netzwerker, der einem Laien nur den Frust ins Gesicht schiebt.


    Einen besonderen Funktionsumfang haben die Scanner alle nicht, außer vielleicht, dass sie nur drei Ports scannen und danach wird's kostenpflichtig. Nimm den, der am besten zu deinem Hemd passt.


    Stefan

    Es gibt diverse Internetseiten um nach offenen Ports zu schauen, beispielsweise: https://www.portcheckers.com/ (eine Eingabe von multiplen Ports ist mit Komma, also 22,80,443,... möglich).


    Ansonsten besteht unter Linux u.a. mit netstat oder nc das auch anders zu lösen.

    netstat -np|grep 80 #ist port 80 auf der Maschine offen oder geschlossen bzw. welcher Prozess nutzt den

    nc -zv IP_oder_Hostname Port/Range #bspw. nc 127.0.0.1 80

    Dabei beachten, beim netstat-command wird nur die lokale Maschine abgecheckt. Beim zweiten könnten man durch die IP-Adresse deines Netzwerks durch iterieren und durch die Ports 1 bis 65535 - oder die Ports vorher filtern und nur die gängigen abchecken - sonst dauert der Scan ein Weilchen. Da kann man fix ein paar Zeilen herunterhacken.

    nc gibt es auch unter Windows: https://kudithipudi.org/2011/0…e-netcat-nc-on-windows-7/



    Meiner Meinung nach kann man das Problem eventuell auch im voraus eingrenzen, wenn du dich in deinen Router einloggst und dort nach offenen/weitergeleiteten Ports schaust.


    Beim ersten drüber lesen klingt es für mich so, als ob für irgendwelche Geräte/Anwendungen von dir/jemanden in deinem Netzwerk Ports geöffnet wurden um bspw. aus der Ferne auf diese zugreifen zu können, etc gepaart mit wahrscheinlich nicht geänderten credentials/login-Daten.

    am besten man isoliert sein smart home vom restlichen netz.
    (vlan). hier gibt es mittlerweile auch spezielle geräte wie dojo security...



    Gesendet von iPhone mit Community

    Zitat von Evo

    am besten man isoliert sein smart home vom restlichen netz.(vlan).

    Gibts dazu eigentlich irgendwo gute Anleitungen, wie man sowas am schlausten aufbaut?

    Ich kann mir das so richtig irgendwie nicht vorstellen, weil die meisten Smarthome Geräte ja internet zugang brauchen bzw. man ja alles mitm iPhone o.ä. verbunden hat.

    Zitat von Evo

    am besten man isoliert sein smart home vom restlichen netz.

    Kann Mann/Frau sicherlich machen, jedoch wollen ja viele auch aus der Ferne zugreifen oder das Zuhause aus der Ferne überwachen. Was auch ein Problem ist wenn Automationen über ein iPhone getriggert werden sollen oder oder über andere Geräte die ein Internet Zugang benötigen.

    die segmentierung heißt nicht gleich ohne internet. es gibt eine einstufung: aus dem heimnetzwerk geht es ins smarthome netz jedoch nicht andersrum. bei mir sind alle geräte plus apple tv und raspberry pie im smarthomenetz mit internet. über vpn kann ich mich dann in mein heimnetzwerk einwählen. da der hub ja internet hat, brauche ich das aber nicht



    Gesendet von iPhone mit Community