Pi geht auf Pi-Forum

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Hallo Leute, ich habe gerade von Google immer wieder die Meldung bekommen, das ich nicht auf Youtube darf, weil aus meinem Netzwerk zu viele Anfragen gesendet wurden. Zuerst konnte iuch mir das gar nicht erklären. Und hab deswegen den Log des Routers durchsucht, und bin dabei auf diese drei Zeilen gestoßen. Zur Info 192.168.0.147 ist mein PI:
    Dec 27 0Fri6:28:29 2013 192.168.0.147 query DNS for 104.104.230.87.in-addr.arpa
    Fri Dec 27 06:28:29 2013 192.168.0.147 query DNS for vwp1092.webpack.hosteurope.de
    Fri Dec 27 06:28:30 2013 192.168.0.147 query DNS for forum-raspberrypi.de
    Fri Dec 27 06:28:30 2013 192.168.0.147 query DNS for forum-raspberrypi.de
    Das komische ist jetzt, das ich mit meinem Pi nie das Forum aufgerufen habe. Und die anderen beiden Seiten kenne ich nicht. Auch wenn es nichts mit der Sperre wegen der zu häufigen Anfragen zu tuen hatr, habe ich mich sehr gewundert. Woher kommen diese Anfragen?

    Hoffe ihr könnt mir helfen,
    Colin

  • Wow da hast du dir aber ein paar schoene Scheunentore aufgemacht. Bist du dir sicher das du noch der alleinige Herr deines PIs bist? Hast du deine php scripte abgesichert? Starte doch mal tcpdump auf dem pi und schau mit wem er alles so kommuniziert.
    Uebrigens um bei google ins captcha reinzulaufen benoetigst du mehrere 1000 google Anfragen auf Port 80 in der Minute. Quickfix fuer dich um am Desktop arbeiten zu koennen waere google ueber https aufzurufen. Deinen Pi solltest du dir trotzdem mal naeher anschauen. Hast du ssh auch von extern freigeschaltet?

    Einmal editiert, zuletzt von drops (27. Dezember 2013 um 18:10)

  • Also PHP läuft leider noch gar nicht. :( Nur der Port ist offen. Und meine Scripte sind glaube ich nicht wirklich unsicher. Außerdem, wenn jemand meinen PI kappern würde, würde er wohl kaum aufs PI-Forum surfen.


  • Wow da hast du dir aber ein paar schoene Scheunentore aufgemacht.

    Wie soll er sonst an seine Dienste kommen? Ob er seine Server (betr. Sicherheit) evtl. ausreichend abgesichert/konfiguriert hat, ist eine andere Frage.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Sorry wollt dir nicht zu nahe treten. Kenne deine skills ja nicht. Wollt nur anmerken das man bei php hoellisch aufpassen muss um nicht das System einen Angreifer frei zu geben. Werf doch mal tcpdump und schau was er alles so treibt. Ich denk ueber die Haertung deines Systems hattest du dir schon Gedanken gemacht (z.B. ssh auf public key umstellen, logwatch, iptables, etc).
    Dann stellt sich die Frage was da sonst so laeuft. Benutzt du den Pi evtl. Als Proxy?
    Hast du auf deinem Desktop ein neues addon im Browser installiert? Da kann auch mal was Amok laufen und ein google captcha ausloesen.

  • Ja muss ich nachher mal machen. Nur gerade bin ich per Handy drin, un der SSH Client, den ich da drauf habe, ist wirklich nur eine not Lösung.
    Ne, auf dem PI laufen wirklich nur die oben genannten Services.
    Addons installiere ich sowieso keine. Das einzige was ich neuinstalliert hat, war Left4dead 2.
    Und das da irgendwas über PHP läuft glaube ich auch wirklich nicht, da es noch nicht läuft, und das Verzeichnis mit meinen Skripten mit .htacces gesichert ist. Da ich den Apachen aber aktuell sowieso nicht reiten lasse, deinstalliere ich ihn mal


  • Wow da hast du dir aber ein paar schoene Scheunentore aufgemacht. Bist du dir sicher das du noch der alleinige Herr deines PIs bist? Hast du deine php scripte abgesichert? Starte doch mal tcpdump auf dem pi und schau mit wem er alles so kommuniziert.
    Uebrigens um bei google ins captcha reinzulaufen benoetigst du mehrere 1000 google Anfragen auf Port 80 in der Minute. Quickfix fuer dich um am Desktop arbeiten zu koennen waere google ueber https aufzurufen. Deinen Pi solltest du dir trotzdem mal naeher anschauen. Hast du ssh auch von extern freigeschaltet?

    Aso, das komische ist, das das nur beieinem Video Link passiert, den Rest kann ich volkommen uneingeschränckt benutzen.also auch die google suche

    welchenb befehl, soll ich den bei tcdump benutzen? tcpdump proto tcp?

    okay, versuche jetzt tcpdump -i eth0 proto tcp. Aber da bekomm ich immer den Fehler, das ich keine Berechtigungen habe. Und wenn ich sudo benutze, bekomme ich einen syntax error

    Okay, jetzt funktionierts, wenn ich das proto weglasse

    Einmal editiert, zuletzt von natsuga (27. Dezember 2013 um 18:42)

  • Zeigt Dir alles ausser dem lokalen Netz(en):


    Code
    tcpdump not '(src net (10 or 172.16/12 or 192.168/16) and dst net (10 or 172.16/12 or 192.168/16))'
  • Also, jetzt läuft die ganze Zeit eine Liste durch, bei der es sich aber nur um Kommunikation zwischen meinem PI und meinem PC handelt. Das einzige was mich wundert, ist das er auf eine seite namens citadel.notech.net oder so zugreift, und ich citadel deinstalliert habe, da es nur fehler gemacht hat


    Zeigt Dir alles ausser dem lokalen Netz(en):


    Code
    tcpdump not '(src net (10 or 172.16/12 or 192.168/16) and dst net (10 or 172.16/12 or 192.168/16))'

    Ich habe den Befehl zu:
    sudo [font="Monaco, Consolas, Courier, monospace"]tcpdump -i eth0 not '(src net (10 or 172.16/12 or 192.168/16) and dst net (10 or 172.16/12 or 192.168/16))'[/font]
    [font="Monaco, Consolas, Courier, monospace"]gemacht, um meinen Netzwerkadapter zu spezifizieren. Nun warte ich mal was kommt. Aber ich kann mir die ausgabe ja auch in eine Datei schreiben lassen, und das einfach mal laufen lassen.[/font]

    Kaum geschrieb, dann regt sich was, jetzt baut er Verbindungen zu einer Mac Adresse und zu meinem Provider auf.

    Einmal editiert, zuletzt von natsuga (27. Dezember 2013 um 18:51)

  • In eine Datei rein laufen zu lassen ist ne gute Idee. Dann kannst du dir das ganze in Ruhe anschauen. Beobachte mal was da in 30min alles rein laeuft. Evtl. Musst du dann den Filter ein wenig einschraenken.
    Z.B. nur tcp verbindungsaufbau oder frames verkuerzen. Falls du auf deinem Raspi auch Serverdienste fuer ander anbietest denke bitte auch an an den Datenschutz. Die Mails anderer im dump mitzulesen ist nicht die feine Art ;)
    Wuensch dir viel Erfolg beim Suche

  • 17:53:11.180621 IP6 xxxxxxxxxxxxxxx > xxxxxxxxxxxxxxxx: ICMP6, neighbor solicitation, who has xxxxxxxxxxxxx, length 32
    Hier mal ein ausschnitt. Ich hab die Mac mal unkenntlich gemacht. Muss mal meine lokalen Geräte hier checken, was die für MACS haben. Sind aber zum Glück nur mein Handy, mit dem ich öfters mal von außen zugreife, wenn ich unterwegs bin. VLT habe ich ja mal vergesswen ne verbindung zu chließen, als ich vorher kurz online war.

    Kann ich mich dann eigentlich auch bei ssh abmelden? Will nicht unbedingt, das mein PC läuft, wenn ich ihgn eigentlich gar nicht brauche.

    Einmal editiert, zuletzt von natsuga (27. Dezember 2013 um 19:04)

  • MAC Adressen brauchst du nicht unkenntlich machen. Damit koennte man nur Rueckschluesse auf die von dir verwendete Hardware ziehen. Ansonsten sind die MACs nur innerhalb einer broadcast domaene relevant. Mein Glaskugel sagt mir in dem Netz befindet sich ein windows rechner bei dem per default IPv6 an ist und der sich in seiner Nachbarschaft umschaut. Das ist voellig normal. Lass den dump mal ne weile laufen.
    Gib die MACs einfach mal hier ein: http://www.macvendorlookup.com dann haste die hersteller hinter den oui. Damit sollte in nem kleinen lan die zuordnung recht einfach moeglich sein. Wie oben schon geschrieben kannst du eh nur MACs aus deiner broadcast domaene sehen.

    Einmal editiert, zuletzt von drops (27. Dezember 2013 um 19:15)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!