Raspi "gehackt" ?

  • Hallo,
    ich habe auf meinem Raspi (Rasbian) einen kleinen Webserver gem. Anleitung eingerichtet.
    Lighttpd mit Datei-Upload und CPU-Info. Zusätzlich wird der Stream der RaspiCam über Port 1935
    ausgegeben. Funktionierte wunderbar. Seit gestern leider kein Zugriff mehr möglich. Webserver, Webmin
    und ssh! Zum Ausschalten musste ich den Stecker ziehen. Dann habe ich mir mal die SDHC-karte am Rechner
    angeschaut. Komischerweise waren die Dateien /etc/network/interfaces und /etc/hostname als "C-Quelltext" gekennzeichnet
    mit folgendem Inhalt:

    /*
    Copyright (c) 2012, Broadcom Europe Ltd
    All rights reserved.

    Redistribution and use in source and binary forms, with or without
    modification, are permitted provided that the following conditions are met:
    * Redistributions of source code must retain the above copyright
    notice, this list of conditions and the following disclaimer.
    * Redistributions in binary form must reproduce the above copyright
    notice, this list of conditions and the following disclaimer in the
    documentation and/or other materials provided with the distribution.
    * Neither the name of the copyright holder nor the
    names of its contributors may be used to endorse or promote products
    derived from this software without specific prior written permission.

    THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND
    ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
    WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
    DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY
    DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
    (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
    LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND
    ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
    (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
    SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
    */

    #ifndef VCOS_INTTYPES_H
    #define VCOS_INTTYPES_H

    /** \file
    * Attempt to provide the support for fixed width integer types as per
    * inttypes.h. This simply includes inttypes.h, which should find the
    * system/toolchain version if present, otherwise falling back to the version
    * in interface/vcos/<platform>. The vcos versions initially only provide the
    * most common printf() macros.
    */

    #ifdef __cplusplus
    extern "C" {
    #endif

    #include <inttypes.h>

    #ifdef __cplusplus
    }
    #endif

    #endif /* VCOS_INTTYPES_H */

    und die Datei /etc/resolv.conf war leer!! Da hat aber die Adresse der fritzbox gestanden.
    Kann man über Port 80 den Raspi manipulieren?
    Nur den Port und Port 1935 hatte ich weiter geleitet.
    Bin ratlos

    Gruß, woddy


  • Kann man über Port 80 den Raspi manipulieren?


    Ja, wenn der Webserver nicht richtig konfiguriert ist, dann kann man das.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample


  • Ja, wenn der Webserver nicht richtig konfiguriert ist, dann kann man das.

    Hallo,
    wie kann ich den Webserver denn besser absichern? Im Moment ist der Zugriff auf die Website nur über ein Passwort möglich.
    Scheint aber nicht zu reichen. Was kann ich noch tun?

    Gruß, woddy

  • Hallo woddy,

    nach meinem Gefühl sieht das eher nach einem angeschlagenen Dateisystem aus. Entweder ist die Qualität der SDcard zu schlecht, die Stromversorgung zu grenzwertig oder der RPi ist zu sehr übertaktet. Möglich ist auch, daß der Fehler im Dateisystem schon früher entstanden ist, aber jetzt erst sichtbar wird.

    Um eine Neuinstallation wirst Du nicht herumkommen.

    Gruß, mmi

  • Mir stellt sich hierbei sofort die Frage: Wieso ist der Webserver übers Internet zugänglich :huh:

    Denn nur deshalb kann es möglich sein das etwas gehackt oder allgemein angegriffen werden kann

    Wenn du aber keine Portweiterleitung oder DMZ eingerichtet hast, ist ein solcher Verdacht unberechtigt und unlogisch -- dann käme eigentlich nur noch ein beschädigtes Dateisystem in Frage!

    Möglich wäre zwar auch das ein anderes System in deinem Netzwerk infiziert ist, zB Windows mit einen Trojaner, und der Angreifer dann auch ohne Portweiterleitung in deinem LAN aktiv sein könnte - allerdings wäre es von diesem Angreifer äusserst Dumm sich derart auf sich aufmerksam zu machen! Wer möchte schon das ein gehacktes System nicht mehr ins Netzwerk kommt?

  • Also ich denke auch, dass einfach das Dateisystem etwas abbekommen hat. Wahrscheinlich ist der Webserver aus irgendwelchen Gründen abgestürzt, und dann hat das Ausschalten ohne Shutdown dazu geführt, dass die Dateiallokationstabelle (oder wie auch immer das unter EXT4 heißt) etwas abbekommen hat. Die Einträge für /etc/network/interfaces und /etc/hostname zeigen jetzt anscheinend auf /usr/include/interfaces/vcos/vcos_inittypes.h (ist eine existierende Datei unter Raspbian).

    Ausschalten ohne Shutdown ist bei Dateisystemen mit Schreibcache leider nicht ohne Risiko (auch wenn sich das System 'Journaling Filesystem' nennt).

    Ich glaube nicht, dass ein Angriff konkret dafür verantwortlich ist, auch wenn man sein System natürlich immer gegen Angriffe härten sollte. Dafür gelten eigentlich alle Tutorials im Netz, die sich mit Deinem Webserver (bzw. LAMP-System) unter Linux beschäftigen.

  • Hallo,
    vielen Dank für die schnellen Anworten. Ich habe inzwischen neu installiert. Vielleicht war wirklich das Datei-System der Karte zerschossen.
    Der Webserver soll vom Internet erreichbar sein. ( Zugriff auf Kamera und Datei-Upload, mit Passwort - Abfrage )

    Gruß, woddy

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!