Hallo,
vor einigen Wochen habe ich jemanden mit meiner eigenen Benutzerkennung auf meinem Oscam-Server entdeckt.
Da ich selbst gerade nicht am TV schauen war, wurde ich natürlich gleich hellhörig.
Es wurde ordentlich "gezogen" über meine HD01 und V14. (viele Anfragen gleichzeitig)
Ich habe sofort die Benutzerdaten für meinen Benutzer geändert und am Router einen Reconnect ausgelöst.
Zum Glück habe ich an diesem Anschluss keine feste IP und der Angreifer hat wohl auch nicht meine DynDns-Adresse.
Denn er kam nach Wiederaufbau der Internet-Verbindung nicht wieder.
Um herauszufinden, wer das sein könnte, habe ich mich per Teamviewer auf den PC eines Bekannten begeben (er hat ein lokales Netz hinter der Fritz!Box ohne Portfreigaben).
Den Portscan habe ich vom PC des Bekannten laufen lassen, da ein Portscan immer auffällig ist und ggfs. einen ebensolchen vom Angreifer zur Folge hat.
Folgende Ports hat nmap auf dem Host des Angreifers gefunden:
Weiß jemand, was das für ein Server ist?
Der Dieb hat zwar nicht meine DynDns-Adresse, trotzdem tauchen nun alle paar Tage weiterhin Verbindungsversuche auf, die natürlich aufgrund von falschen Benutzerdaten fehlschlagen.
Kann es eine öffentliche Datenbank geben, in der nun meine bereits geänderten Zugangsdaten stehen?
Bestimmt wird ja dauerhaft das Netz mit Scripten nach erreichbaren Oscam-Ports durchkämmt.
Aktuell finde ich auf der IP des Angreifers einen MiniServ in der Version 1.900, und sein Oscam will wieder zum meinem Oscam verbinden. Die Ports 21,22 und 80 sind beim Angreifer allerdings nicht mehr erreichbar.
Was die Sicherheit angeht, müssen jetzt folgende Schritte folgen:
1. DynDns-Adresse ändern
2. Oscam-Port für CCcam ändern (der einzige Port neben SSH, der nach außen hin offen ist)
3. SSH-Port ändern
4. am besten nur noch VPN-Zugriff zulassen
An diesem Internet-Anschluß hängt übrigens nur der Raspi mit dem Oscam-Server und nichts weiter.
Portfreigaben sind gesetzt für CCcam-Port und geheimen SSH-Port (natürlich nicht 22 !)
Verbindungsversuche auf SSH hat es bisher nicht gegeben, zusätzlich war ich bei den Benutzerdaten sehr kreativ.
Mal sehen, was ihr zu sagen habt. Ich würd' ja schon gerne zurückhacken.:mask:
vor einigen Wochen habe ich jemanden mit meiner eigenen Benutzerkennung auf meinem Oscam-Server entdeckt.
Da ich selbst gerade nicht am TV schauen war, wurde ich natürlich gleich hellhörig.
Es wurde ordentlich "gezogen" über meine HD01 und V14. (viele Anfragen gleichzeitig)
Ich habe sofort die Benutzerdaten für meinen Benutzer geändert und am Router einen Reconnect ausgelöst.
Zum Glück habe ich an diesem Anschluss keine feste IP und der Angreifer hat wohl auch nicht meine DynDns-Adresse.
Denn er kam nach Wiederaufbau der Internet-Verbindung nicht wieder.
Um herauszufinden, wer das sein könnte, habe ich mich per Teamviewer auf den PC eines Bekannten begeben (er hat ein lokales Netz hinter der Fritz!Box ohne Portfreigaben).
Den Portscan habe ich vom PC des Bekannten laufen lassen, da ein Portscan immer auffällig ist und ggfs. einen ebensolchen vom Angreifer zur Folge hat.
Folgende Ports hat nmap auf dem Host des Angreifers gefunden:
Weiß jemand, was das für ein Server ist?
Der Dieb hat zwar nicht meine DynDns-Adresse, trotzdem tauchen nun alle paar Tage weiterhin Verbindungsversuche auf, die natürlich aufgrund von falschen Benutzerdaten fehlschlagen.
Kann es eine öffentliche Datenbank geben, in der nun meine bereits geänderten Zugangsdaten stehen?
Bestimmt wird ja dauerhaft das Netz mit Scripten nach erreichbaren Oscam-Ports durchkämmt.
Aktuell finde ich auf der IP des Angreifers einen MiniServ in der Version 1.900, und sein Oscam will wieder zum meinem Oscam verbinden. Die Ports 21,22 und 80 sind beim Angreifer allerdings nicht mehr erreichbar.
Was die Sicherheit angeht, müssen jetzt folgende Schritte folgen:
1. DynDns-Adresse ändern
2. Oscam-Port für CCcam ändern (der einzige Port neben SSH, der nach außen hin offen ist)
3. SSH-Port ändern
4. am besten nur noch VPN-Zugriff zulassen
An diesem Internet-Anschluß hängt übrigens nur der Raspi mit dem Oscam-Server und nichts weiter.
Portfreigaben sind gesetzt für CCcam-Port und geheimen SSH-Port (natürlich nicht 22 !)
Verbindungsversuche auf SSH hat es bisher nicht gegeben, zusätzlich war ich bei den Benutzerdaten sehr kreativ.
Mal sehen, was ihr zu sagen habt. Ich würd' ja schon gerne zurückhacken.:mask:
Zuletzt bearbeitet:
Glaube nicht das ich so doof war hier (wenn nur hier), meine Oscam Files samt DDNS Adresse nieder zu schreiben....gibt es noch ne andere Möglichkeit wie der da dran gekommen sind? Hab mal nach den zwei IPs gegoogelt, eine kommt aus Lettland, die andere aus den USA.
