Wurde ich gehackt?! Was tun?

Bitte helft mir mal bei der Deutung folgender Fakten, bevor ich völlig paranoid werde. :eek: :wink:

Vorgeschichte:
Heute vormittag kurz vor halb elf ist die IPS-Alarmanlage wie programmiert durchgestartet, weil sie der ABUS-Glasbruchmelder ausgelöst hat, der an einem HomeMatic Schließerkontakt-Interface hängt. Wie vorgesehen bekam ich daraufhin unterwegs einen Anruf auf dem Handy. Ein anschließender Blick auf das Webfront zeigte drei Dinge:

  1. Die Bewegungsmelder sehen nix und alles ist nach wie vor geschlossen. Also offensichtlich ein Fehlalarm.
  2. Der Status des Glasbruchmelders stand immernoch (Minuten später) auf Alarm.
  3. Der Glasbruchmelder und damit der Alarm konnte fälschlich im Webfront geschaltet werden (ich hatte versehentlich kein Dummy-Aktionsskript eingetragen).

Diagnose:
Die ABUS-Anleitung sagt, der Glasbruchmelder geht nach „ca. 1 bis 20 Sekunden“ wieder in den Ausgangszustand. Insofern hätte im Webfront der Status bei meinem Kontrollblick schon lange wieder auf OK stehen müssen - war er aber nicht. Der dauerhafte Alarm-Status kann meiner Meinung nach nur im Webfront ausgelöst worden sein. Niemand außer mir hat Zugriff, da ich den Monitor früh abgeschaltet hatte auch keine Insekten :wink: ).

Kann ich im Log etwas erkennen? Ich habe den Glasbruchmelder nach dem Alarm testweise über das WF aus und wieder angeschaltet. Das sieht für mich praktisch identisch aus. Wie könnte ich erkennen, ob die erste Schaltung vom WF oder tatsächlich vom Glasbruchmelder kam?

2/10/2012 10:26:43.254 | 0 | DEBUG | ExecuteThreadID #2 | Skriptausführung: ips.php ~ Absender: WebInterface
2/10/2012 10:26:43.273 | 0 | DEBUG | ExecuteThreadID #4 | Skriptausführung (Text) - Länge: 2671 ~ Absender: Execute
2/10/2012 10:26:43.275 | 0 | DEBUG | ExecuteThreadID #2 | Ausgeführt, Resultat: 1, Erfolgreich: True, Zeit: 20 ms
2/10/2012 10:26:43.320 | 15392 | MESSAGE | VariableManager | [HomeMatic Socket\TürFensterKontakt\Terrassentür Glas\STATE] = True
2/10/2012 10:26:43.331 | 33957 | DEBUG | ExecuteThreadID #7 | Skriptausführung: 33957.ips.php ~ Absender: Ereignis #33623, Variable #15392, Auslöser: OnChange
2/10/2012 10:26:43.337 | 14807 | DEBUG | ExecuteThreadID #3 | Skriptausführung: 14807.ips.php ~ Absender: Ereignis #50287, Variable #15392, Auslöser: OnValue
2/10/2012 10:26:43.364 | 0 | DEBUG | ExecuteThreadID #4 | Ausgeführt, Resultat: 1, Erfolgreich: True, Zeit: 91 ms
2/10/2012 10:26:43.370 | 0 | DEBUG | ExecuteThreadID #10 | Ausgeführt, Resultat: 1, Erfolgreich: True, Zeit: 11190 ms
2/10/2012 10:26:43.385 | 0 | CUSTOM | 33957 | Alarm!!!

2/10/2012 10:31:55.442 | 15392 | MESSAGE | VariableManager | [HomeMatic Socket\TürFensterKontakt\Terrassentür Glas\STATE] = False
2/10/2012 10:31:55.449 | 0 | DEBUG | ExecuteThreadID #8 | Ausgeführt, Resultat: 1, Erfolgreich: True, Zeit: 11 ms
2/10/2012 10:31:55.455 | 33957 | DEBUG | ExecuteThreadID #8 | Skriptausführung: 33957.ips.php ~ Absender: Ereignis #33623, Variable #15392, Auslöser: OnChange
2/10/2012 10:31:55.458 | 0 | CUSTOM | 33957 | Alarm!!!

2/10/2012 10:31:58.418 | 15392 | MESSAGE | VariableManager | [HomeMatic Socket\TürFensterKontakt\Terrassentür Glas\STATE] = True
2/10/2012 10:31:58.421 | 14807 | DEBUG | ExecuteThreadID #4 | Skriptausführung: 14807.ips.php ~ Absender: Ereignis #50287, Variable #15392, Auslöser: OnValue
2/10/2012 10:31:58.423 | 33957 | DEBUG | ExecuteThreadID #8 | Skriptausführung: 33957.ips.php ~ Absender: Ereignis #33623, Variable #15392, Auslöser: OnChange
2/10/2012 10:31:58.425 | 0 | DEBUG | ExecuteThreadID #3 | Ausgeführt, Resultat: 1, Erfolgreich: True, Zeit: 13 ms
2/10/2012 10:31:58.427 | 0 | CUSTOM | 33957 | Alarm!!!

Die Fritzbox hat kurz vor dem Alarm folgenden Eintrag:

10.02.12 10:26:37 Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 2002:4db3…
10.02.12 10:26:37 Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert.

Außerdem wimmelt es im LOG der FB vor gescheiterten WLAN-Anmeldungen!?
EDIT: Entwarnung, das war zur fraglichen Zeit nicht der Fall und scheint andere Gründe zu haben.

Was tun!? :eek:

Grüße
galleto

Hi,
schau mal in die access.log Datei (C:\IP-Symcon\logs\access_*.log), dort solltest Du sämtliche Webzugriffe auf das WF finden.

Grüße, Benjamin

schau mal vllt hat es dich wirklich erwischt… klick

gruss nobs

Die Datei gibt es nicht. :confused:

@nobs78
Nö, das offenbar nicht. :smiley:

@all
Kann IPS den Fritzbox-Eintrag (Änderung über Benutzeroberfläche) mit dem Alarm-Anruf verursacht haben? Falsl ja, wieso wurde diese Meldung dann nicht bei den beiden weiteren Alarmrufen ins FB-Log geschrieben?

Grüße
galleto

Mach mal sicherheitshalber den Haken „Logdateien erstellen“ bei Kern-Instanzen -> Webinterface WebFront an. Das ist doch bisher nicht angeschaltet oder?

Zur Frage bzgl. Fritzbox, kenne ich die Fritzbox und die Integrationsmöglichkeiten in IPS zu wenig um sagen zu können, ob IPS so einen Eintrag bei Dir durch einen Alarm auslösen könnte.

Ist im Eventlog des IPS Servers etwas zu sehen???

Richtig, hab es erst soeben aktiviert.

Hm, hier baue ich auf RWN. :wink:

Einen Auszug habe ich oben schon zitiert. Wonach könnte ich suchen? Bin da leider nicht so fit.

EDIT: @all
Hat jemand eine „normale“ Idee, warum die Variable wie oben beschrieben so merkwürdig reagiert hat und wie ich einen Unterschied zwischen Hardware- und manueller Schaltung erkennen könnte?

Grüße
galleto

Wenn sich ein Script auf der Box einloggt und eine Änderung tätigt, wird dieses im Systemlog ersichtlich. Bei dir sieht man 2002…

Was soll das für eine IP sein ? Sieht mir eher nach einem Homematicport aus.

IPv6

Der IPS-Rechner taucht häufig in den Logs der Fritzbox auf, allerdings normalerweise nur als „Anmeldung von IP…“. Zum Zeitpunkt des Alarms steht nach der Anmeldung aber sekundengleich auch der Satz „Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert.“ Danach steht das aber trotz manuell wiederholter Alarmrufe nicht mehr - bis ich das Passwort geändert habe, das erzeugt auch diese Meldung.

Grüße
galleto

6to4

Hier kannst schauen, ob es deine eigene IP war.

Es ist die IP des IPS-PC. Das ist schon richtig.

Aber warum ändert IPS die FB-Einstellungen?

Und wo liegt jetzt dein Problem.

So, nach mehreren Stunden Teamviewer (Danke bengie!!!) gibt es einen Verdacht und jede Menge Ermahnungen. :stuck_out_tongue: Jetzt heißt es Schotten am PC dicht machen.

EDIT: Davon ist das Folgende unabhängig!

Zu den Merkwürdigkeiten bezüglich IPS nochmal:

Fürs erste hier:

EDIT2: Sorry RWN, bin gerade zu recht darauf hingewiesen worden, dass eine wichtige Info fehlt: Ich verwende für den Alarmruf Dein Wählhilfe-Skript für die Fritzbox.

Grüße
galleto

Ich verwende für den Alarmruf Dein Wählhilfe-Skript für die Fritzbox.

Das ist dein Eintrag im Systemlog.

Wenn sich ein Script auf der Box einloggt und eine Änderung tätigt, wird dieses im Systemlog ersichtlich. Bei dir sieht man 2002…

Welcher der beiden? Es sind ja zwei (s.o.). Ausnahmsweise!

Dass sich das Skript einloggt ist ja klar. Dazu gibt es auch den entsprechenden Eintrag in der Fritzbox „Anmeldung von IP…“.

Meine ganz konkrete Frage ist: Verursacht das Skript unter Umständen auch den zeitgleichen Eintrag „Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert“?

Falls ja, dann ist der Eintrag im Fritzbox-Log ohne Bedeutung. Falls nicht, dann ist er ein Problem, weil er keine legale Ursache hat.

Grüße
galleto

Ja, er ist ohne Bedeutung, es war dein Script!

Bitte keine Panik auf der Titanic - es konnte kein konkretes Sicherheitsloch gefunden werden und insbesondere deutet derzeit nichts auf die Ausnutzung eines Fehlers in IP-Symcon hin.

Ich seh da eh nix. Entweder hat der Glassensor gesponnen oder der HM-Aktor und ohne Zutun vom HM-Aktor macht IPS gar nichts.

Danke, jetzt kann ich etwas besser schlafen. :wink:

Das wollte ich auch keinesfalls andeuten. Die Baustelle liegt wenn dann wohl eher in meinen generellen Sicherheitsvorkehrungen. Für ein paar kleine Panikanwürfe hat es heute trotzdem gereicht.

Ich gehe morgen nochmal alles durch und melde mich dann mit den offen und IPS betreffenden Fragen nochmal. Vielleicht erhellt sich die Sache ja noch etwas mehr.

Gute Nacht!
galleto

Ich denke, dass ist es.

Dass ich meinen Laden (Windows, Fritzbox, Freigaben) sicherheitstechnisch nicht optimal betrieben habe, ist wohl Fakt - auch wenn ich mich da bereits für überdurchschnittlich sensibel und informiert hielt. Die geballt erscheinenden Merkwürdigkeiten haben sich jedenfalls Stück für Stück entschärft. Damit ich es nicht wieder im Nachhinein betonen muss: IPS hat von Anfang bis Ende getan, was es sollte. :rolleyes:

Kurz und bündig:

  1. Der Alarm war ein typischer Fehlalarm und konnte ausgelöst sein durch
  • Glasbruchsensor
  • HM-Aktor
  • unzulässige Webfront-Bedienung
  1. Die dauerhafte Änderung der Status-Variable schließt den Glasbruchsensor aus, denn der schaltet von allein zurück.

  2. Der Eintrag im Fritzbox-Log „Einstellungen über Benutzeroberfläche geändert“ kann offenbar auf mein Alarmskript zurück geführt werden, dass das Wählhilfe-Skript von RWN nutzt.

  3. Der oben angesprochene „Verdacht“ auf meinem Rechner lässt sich schlüssig mit einer Eigenheit der vorinstallierten Testversion von MS Office erklären.

  4. IPS hätte mir mit der Datei access.log hinsichtlich der Webfront-Zugriffe helfen können, aber ich hatte das Logging noch nicht aktiviert.

Fazit: Ob der HM-Aktor gesponnen hat oder mein Rechner ein ausgenutztes Sicherheitsproblem hatte, lässt sich nicht eindeutig feststellen. Gemäß Ockhams Rasiermesser hat RWN recht und es war wohl der HM-Aktor. :wink:

An dieser Stelle nochmal vielen Dank an bengie, der meinem Problem seinen Freitagabend geopfert hat.

ToDo:

  1. Sicherheit optimieren
  2. Barhocker kaufen (das stundenlange Stehen im Flur war ungemütlich)

Grüße
galleto