WICHTIG: IPC Fernzugriff (portweiterleitung)

[Deleted member 157147]

WICHTIG: IPC Fernzugriff (portweiterleitung)

oder auch:

"Ich scanne und loge die IP der User die das Feissmaik IPC downloaden und benutzen und ohne ihr wissen scanne ich auch noch alle Ports und halte dies schön in einer Log Datei fest!

Zitat aus dem Forum von Feissmaik:

Seit ein paar Tagen überprüfen wir (automatisch) all die, die auf den Web-Ordner /ipc/ hier zugreifen um zb ipc zu installieren oder OnlineScripts auszuführen... Und zwar scanned euch ein Script via nmap und reportet uns sofern jemand Standardports geöffnet hat - ausserdem wird geprüft ob die standard-Zugangsdaten für das IPC-WebIf gesetzt sind, sofern der port 80 geöffnet ist...

Leider sieht es so aus als würden ca. 50% der IPC nutzer zum einen ziemlich viel/planlos ports aus dem internet zugänglich machen UND haben zu allem Übel auch noch standard-Zugangsdaten (ipc/ipc) gesetzt

Du musst angemeldet sein, um Bilder zu sehen.

(die Liste wird kontinuierlich länger)


...nun überlege ich mir ob und inwiefern ich dagegen was unternehmen werde - schön ist das auf jedenfall nicht!

denkbar wäre zb automatisiert das Log des Forums nach der entsprechenden IP zu durchsuchen und demjemigen zunächst nur eine EMail zu schicken und später bei nicht-reaktion ihn mit Benutzername hier in der Blacklist zu annoucen ... (ja, is kla das nich jeder hier auch einen Zugang hat - weitere Details behalte ich aber für mich...)


An dieser Stelle muss ich nochmal erwähnen das ihr unbedingt darauf achten solltet MIT WEM ihr shared - überprüft eure Peers bevor ihr mit diesen shared! Setzt nicht auf quanität sondern lieber auf Qualität - klasse statt masse
Siehe dazu auch -> Sicherheit: Peers prüfen

Und man kanns anscheint nicht oft genug wiederholen:

An dieser Stelle erwähne ich aber nochmal das ein Fernzugriff auf das IPC WebIf trotz Passwortschutz so oder so ein Sicherheitsrisiko darstellt also jeder der sich selber sowas einrichtet trägt dafür dann auch selber die Verantwortung! Notwendig ist das nämlich nicht!
Für CS muss ausschlieslich der eine CS-Port beim Server weitergeleitet werden, über den sich die Clients verbinden, sonst nix!


PS: wenn ihr nicht wollt das wir euch scannen dann connected euch nicht zu unserem IPC UpdateServer oder sorgt von Anfang an dafür das ihr keine Standardports nutzt!

PPS: Gegen offene Ports schützt auch kein VPN über Drittanbieter! das wäre eher ein schritt nach hinten als nach vorne!
Nur ein tatsächlich echtes VPN würd etwas bringen!

Sie müssen registriert sein, um Links zu sehen.

So und damit Feissmaik seinen Beitrag auch nicht Editieren kann ohne mich als Lügner hin zu stellen hier der passende Screenshot noch:



So liebes DEB ich hoffe nun habt auch ihr verstanden wie gefährlich Feissmaik in wirklichkeit ist? Um es in aller deutlichkeit noch einmal zu sagen: Er loggt die IP seiner und eurer User die IPC installieren und scannt dann die Server der User nach offenen Ports. Logt diese um sie, fals sie sich bei ihm registerien und anmelden (welcher Bulshit ist das bitte) zu infomieren dass sie Standart Ports benutzen oder da Passwort nicht geändert haben?

Leute....wechselt eure Ports, Wechselt Username und das Passwort!

Für User die das IPC von Feissmaik installiert haben sollte ab sofort gelten:

1.) kein aktive starten von Scripte wie: i os, i update und Co. Alle Befehele die Scripte starten rufen bei Feissmaik an und damit fallt ihr in den Scann!
2.) Ändert den Update Server zu wem auch immer, gerne könnt ihr euch unsere IPC ansehen und dann updaten! (Fix poste ich am Ende des Themas)
3.) Gerne stelle ich die letzte IPC Version 11.2 von SEG74 zu Verfügung als Basis oder auch online damit alle User auf diese Version zurück können!
4.) Ich und mein Team bieten an hier beim Support zu helfen! (Wie gesagt auch das DEB sollte langsam einsehen, das wir keinem Schaden wollen)


So, nun hier der Fix mit dem ihr direkt auch unsere Version updaten könnt:

Hier ein Script, welches automatisch den Pfad des alten IPC auf unseren Server anpasst.

und so gehts:

- BackUP der CCcam.cfg und Backup Eure oscam Dateien anlegen / runterladen

Einloggen als root auf euren Server/Vserver per SSH und dann folgende bearbeiten:

eingeben:
#cd /var/emu/script
#nano functions.sh

sucht Zeile 55 und Zeile 56:

IPURL="http://ipc..****..at/ipc"
FMURL="http://ipc..****..at/forum"

ändert diese in:

IPURL="http://cs-.****..cc/ipc"
FMURL="http://ipc..****..at/forum"

Speichert mit: ^X und bestättigt mit JA

Gebt dann ein:

# i update

Es wird eine neuere Version angezeigt (11.7)
Nun das Update durchführen (Ich habe die Configs nicht behalten da wir in 11.7 einige Punkte der i cfg erweitert haben)

Update durchlaufen lassen

Dann eingeben:

#i cfg

Einstellungen vornehmen btw. Username und Passwort ändern

Dann Eure Configs wieder überkopieren nach /var/etc/

Cams restarten und euer IPC sollte wieder voll online sein.



So liebe DEB Gemeinde, macht was draus. Wie gesagt...wenn jemand hilfe braucht? Die Piraten lassen keinen hängen und stehen gerne helfend zur Seite.

Gruß

Lord-Byron

 

[marzi]

Habe das :Einloggen als root auf euren Server/Vserver per SSH und dann folgende 2 Befehle eingeben:


wget

Sie müssen registriert sein, um Links zu sehen.

bash ipcfix.sh

gemacht, am Schluss war ich leider wieder beim Feissmaik.(Frderdiagnose
)

Was bedeudet das jetzt??


Noch mal neu gestartet und jetzt ist alles gut.

sorry,doppelpost

 

[Deleted member 157147]

Das bedeutet das Feissmaik seinen Code verändert hat um einen Fix durch unser Script zu verhindern.
Werde mir sofort alle Dateien runterladen und prüfen und euch hier infomieren wie ihr aus dieser Nummer rauskommt.

Ich brauch jetzt nur ein wenig Zeit zum Script checken!


Einloggen als root auf euren Server/Vserver per SSH und dann folgende bearbeiten:

eingeben:
#cd /var/emu/script
#nano functions.sh

sucht Zeile 55 und Zeile 56:

IPURL="http://ipc..****..at/ipc"
FMURL="http://ipc.****.at/forum"

ändert diese in:

IPURL="http://cs-.****..cc/ipc"
FMURL="http://ipc..****..at/forum"

Speichert mit: ^X und bestättigt mit JA

Gebt dann ein:

# i update

Es wird eine neuere Version angezeigt (11.7)
Nun das Update durchführen (Ich habe die Configs nicht behalten da wir in 11.7 einige Punkte der i cfg erweitert haben)

Update durchlaufen lassen

Dann eingeben:

#i cfg

Einstellungen vornehmen btw. Username und Passwort ändern

Dann Eure Configs wieder überkopieren nach /var/etc/

Cams restarten und euer IPC sollte wieder voll online sein.

so funktioniert es 100%

Feissmaik gibt zu Cam Configs auslesen zu können:

was bitte behaupten denn nun schon wieder die Piraten? (ich vermute btw das Du selbst einer davon bist aber egal...)

ich scanne euch erst seit ein paar tagen ... aber nicht von anfang an!
(oder pikt ihr euch nur die wörter raus die euch "gefallen"?)

Wenn ihr unser IPC nutzt dann ist es in eurem eigenen interesse wenn ihr NICHT
1) ..irgendwas ausser den CS-Server-Port aus dem internet überhaupt erreichbar macht
2) ..die Standard Ports nutzen
3) ..die Standard Zugangsdaten (ipc/ipc , cccam/cccam) nutzt
4) ..so faul und dämlich seid alle 3 Punkte auf einmal zu "nutzen"...

Wenn für dich keins davon zutrifft weil du es vernünftig eingerichtet hast, haste auch keinerlei befürchtung weil uns dann angezeigt wird das alle 18 Ports filtered also geschlossen sind...


davon abgesehen bin ich nicht verpflichtet euch darüber zu informieren was/wie/wo ich an masnahmen gegen diese leichtsinnigkeit ergreife - ich weise euch sogar mehrmals darauf hin NICHT so naiv und leichsinnig zu sein!

Wenn sich die PEBKC IPC user tatsächlich daran halten würden, gäb es für mich auch keinen Grund euch überhaupt zu scannen!

Ausserdem - was denkst du jetzt eigentlich was ich mit "scannen" meine?
Ich hack mich NICHT in euer system rein - wie es aber jeder andere machen könnte mit dem ihr shared oder gar andere Foren ebenso da dort ja auch eure IP auftaucht und wer weiss wer das nicht bereits HEIMLICH, OHNE EUCH DARÜBER ZU INFORMIEREN bereits tut!
nmap ist zwar mächtig aber kein hackertool!


Von durchschnittlich 20 IPs die am Tag gescanned werden, sind ca. 5 von obigen Punkten betroffen wovon ich die Cam Configs auslesen kann etc.... sonderlich erfreut bin ich darüber nicht wirklich da diese User eine Gefahr für sich und alle andern darstellen mit denen sie sharen - genauso wie solche auch überhaupt der Grund sind wieso sowas wie dyndns-listen zustande kommen etc und wie ich bereits beim "Absehbares Ende" gepostet hatte war für IPC 11.4 ebenfals eine INTERNE Überprüfung angedacht da ich auf jedenfall sowas irgendwie unterbinden möchte...



PS: ich logge euch? definiere das mal bitte und denk gleichzeitig mal darüber nach worüber die OnlineScripts etc geladen werden und ob dieser dienst evtl. loggt und das aus gutem Grund..... was btw ALLE Foren/WebServer etc tun aber egal...
Wenns euch nicht gefällt braucht ihr nicht unser IPC nutzen - ganz einfach!

 

[szonic]

AW: WICHTIG: IPC Fernzugriff (portweiterleitung)

@Lord-Byron:
Bitte editiere Deine Beiträge, wie das geht weist Du sicherlich!

Ich hoffe das dieser Thread nicht genutzt wird um "schmutzige Wäsche zu waschen"!

@feissmaik hat öffentlich bekannt gegeben das er es macht, warum er es macht, jeder kann entscheiden ob er nun nutzen möchte oder nicht.

Wer seinen Server absichert, hat nichts zu befürchten.

Bitte poste hier nicht den gesamten Thread, ich denke Deine Information kam an, und jeder kann sich überlegen was er machen möchte!

Danke und Grüsse
szonic

 

[debifan]

AW: WICHTIG: IPC Fernzugriff (portweiterleitung)

Hi,

auch das noch.
Wobei man sagen muss das so ziehmlich jedes System das im Netzt hängt irgendwelche Logs von Clienten speichert und wir Unwissend sind was mit diesen Logs angestellt wird.
Sicher nicht Fein, aber sich hinzustellen und zu sagen ( ich scanne euch ) ist schon hart an der Grenze des vertretbaren da spielt auch keine Rolle das ich dazu sage das es nur zu eurem bessten ist das macht es auch nicht angenehmer.
Im Moment nutze ich noch CS-Menü zusammen mit IPC was sich aber bald ändern wird da @paulemh mich informierte das er am neuen CS-Menü arbeitet.
Ich benutze keine Standartports oder User/Pass genauso wenig leite ich sensibele Ports ins Netzt aber wenn ich sowas sehe ebenfals ein weiterer Grund mich endgültig vom IPC zu verabschieden egal von wem es ist.

Gruß, debifan

 

[Labertasche]

AW: WICHTIG: IPC Fernzugriff (portweiterleitung)

Hi,
hier nochmal ein Portscanner --->:JC_hmmm:

Sie müssen registriert sein, um Links zu sehen.

, bevor der böse Feiss!!!!(laut PiratenLord) kommt, und Eure Server lahmlegt, manoman, was mom im I-Net wegen IPC abgeht, besser als jeder Krimi!!:emoticon-0141-whew::dance3:

Ach nochwas vergessen, auch wenn Ihr den Standartport 12000 benutzt macht Euch kein Kopf, wenn ich nämlich einen kompletten Portscan Eurer DynAddi mache und Ihr einen anderen Port für CS benutzt sehe ich das , nur mal dazu weil Alle empfehlen immer nutzt nicht den Standard CS-Port, alles wurscht, wollte ich schon mal lange loswerden, weil gibt so Einige, Tauschen aber nicht mit dem Standardport!!

 

[fail]

AW: WICHTIG: IPC Fernzugriff (portweiterleitung)

Eine Grundregel für das Internet ist, keine Standard Ports zu benutzen, sondern ab 60000 aufwärts ... weil niemand scanned 65000 Ports, was in der Regel ca 1std in anspruch nehmen würde.

Portscannes werden in der Regel auf verdacht gemacht wie zb 21-25,80,8080 usw. ... wo halt bekannte Service laufen. Da std port für cccam 12000 ist - ist es nicht schwer auch nach diesen Port zu scannen!

Sobald man aber 60436 für CCCAM verwendet - wird kaum jemand per portscann auf diesen Port stossen(!)

viel spass beim scannen von allen relevanten Ports

PS: schöne Werbung von cs-piraten, seitwann wird das geduldet? :JC_hmmm:

 

[einsmann]

AW: WICHTIG: IPC Fernzugriff (portweiterleitung)

Ähmm irgendwie wirds nun ein bischen peinlich @Lord

So...ich hab ihn...
Hab extra ein System neu aufgesetzt um den Scan von Feissmaik zu logen was ich nun getan habe.

Wer fail2ban nutzt kann die IP eventuell direkt bannen? Bin leider mit dem Script nicht so bewandert:

IP: 88.198.23.235 = Hetzner Server

Wenn Ich aber nach
ipc..****..at
whoise kommt
196.46.191.169 heraus

Wenn Euer IPC genauso gut *Arbeit* wie Ihr ge-whoist habt sage ich

Prost Mahlzeit !!!!!

regards

 

[Deleted member 157147]

AW: WICHTIG: IPC Fernzugriff (portweiterleitung)

Oh keine Angst Whois ist mir bekannt nurder Portscan kommt von einem anderen Linux System das bei Hetzner steht als das wo der IPC liegt!

Wie bereits gesagt...ich gebe nur Hinweise und Tips...was jeder daraus macht ist seine eigene Sache.
Wenn jemand Feissmaiks IPC laufen hat, muss er ja nur den Portscan logen, was man ja easy machen kann:

Sie müssen registriert sein, um Links zu sehen.

Mit etwas Grunswissen lässt sich das über das TUT im Link leicht umsetzen dann sieht es jeder selbst.

Hier mal mein Log damit es verständlich wird:

[+] Version: psad v2.1.3

[+] Top 50 signature matches:
      "MISC Radmin Default install options attempt" (tcp),  Count: 6,  Unique sources: 1,  Sid: 100204

[+] Top 25 attackers:
      178.17.xxx.xx   DL: 3, Packets: 342, Sig count: 0 [COLOR=#ff0000]<<< Mein Nameserver[/COLOR]
      190.xx.xx.xx   DL: 2, Packets: 6, Sig count: 6 [COLOR=#ff0000]<<< Hier liegt das IPC Paket[/COLOR]
      88.xx.xx.xx   DL: 2, Packets: 38, Sig count: 0 [COLOR=#ff0000]<<< Server bei Hetzner der hat den Portscan gemacht[/COLOR]

[+] Top 20 scanned ports:
      tcp 22000 20 packets
      tcp 4899  6 packets
      tcp 80    4 packets
      tcp 21    2 packets
      tcp 443   2 packets
      tcp 139   2 packets
      tcp 9080  2 packets
      tcp 12000 2 packets
      tcp 8080  2 packets
      tcp 22    2 packets
      tcp 23    2 packets
      tcp 16002 2 packets
      tcp 25    2 packets
      tcp 8888  2 packets
      tcp 16001 2 packets
      tcp 8090  2 packets
      tcp 16000 2 packets
      tcp 24    2 packets
      tcp 988   2 packets

      udp 58209 2 packets
      udp 56840 2 packets
      udp 54053 2 packets
      udp 46510 2 packets
      udp 45432 2 packets
      udp 39314 2 packets
      udp 51239 2 packets
      udp 42012 2 packets
      udp 50001 2 packets
      udp 45954 2 packets
      udp 39895 2 packets
      udp 40438 2 packets
      udp 34108 2 packets
      udp 39595 2 packets
      udp 40729 2 packets
      udp 48302 2 packets
      udp 40457 2 packets
      udp 55176 2 packets
      udp 33274 2 packets
      udp 46519 2 packets

[+] iptables log prefix counters:
        [NONE]

    Total packet counters: tcp: 62, udp: 342, icmp: 0

[+] IP Status Detail:

SRC:  178.17.xxx.xx, DL: 3, Dsts: 1, Pkts: 342, Unique sigs: 0, Email alerts: 32

    DST: 178.17.xxx.xx, Local IP
        Scanned ports: UDP 33274-60886, Pkts: 342, Chain: INPUT, Intf: eth0

SRC:  190.xx.xxx.xx, DL: 2, Dsts: 1, Pkts: 6, Unique sigs: 1, Email alerts: 1

    DST: 178.17.xxx.xx, Local IP
        Scanned ports: TCP 4899, Pkts: 6, Chain: INPUT, Intf: eth0
        Signature match: "MISC Radmin Default install options attempt"
            TCP, Chain: INPUT, Count: 6, DP: 4899, SYN, Sid: 100204

SRC:  xx.1xx.xx.xx, DL: 2, Dsts: 1, Pkts: 38, Unique sigs: 0, Email alerts: 1
    Source OS fingerprint:
        Linux (2.4.x kernel)

    DST: 178.17.xxx.xx, Local IP
        Scanned ports: TCP 21-22000, Pkts: 38, Chain: INPUT, Intf: eth0

    Total scan sources: 3
    Total scan destinations: 1

Soviel zu dem Thema dass es nur Peinlich wird @Lord!

Schönen Abend

 

[Jigsaw]

AW: WICHTIG: IPC Fernzugriff (portweiterleitung)

Hmm, aber wisst ihr was ich Lustig finde. Wenn ich bei Whois die Domain PEBKAC.AT eingebe kommt als Betreiber ein Ösi namens N...... K.... und wenn ich diesen Namen bei Google eingebe find ich ein paar Seiten mit Angaben und Fotos unter anderem auch mit Hobbys wozu auch Debian gehört, Hmm. Wenn du das bist feiss oder Tommy, na dann Hut ab zum Thema Anonymität.

Ich habe langsam kein Bock mehr auf IPC und nutze es nur solange es bei mir läuft. Sollte ich mal nen Absturz haben gehe ich Back to the Roots, was ich jedem anderen auch empfehlen würde.

Gruß

 

[oxwilliox]

Stimmt es etwa das feiss seine eigene sicherheit nicht so ernst nimmt aber uns logt?

 

[blautom666]

Ports zu machen und alles ist gut !
Man oh man


Sent from my iPhone 4 using Tapatalk

 

[Phantom]

AW: WICHTIG: IPC Fernzugriff (portweiterleitung)

Was Feiss treibt und wie Ihr dazu steht, sollten die IPC User dort im IPC Forum schreiben. Dort kann er sich rechtfertigen und Ihr entscheiden. Hier im DEB sollte jetzt jeder im klaren sein wobei jegliche Diskussion zu diesem Thema beendet ist.