Хак моего MajorDomo или проблемы с системой

Если вы только начинаете осваивать систему MajorDoMo и чего-то не знаете или не можете понять, то задавайте свои вопросы в этой ветке.

Модератор: immortal

skysilver
Сообщения: 3006
Зарегистрирован: Чт авг 21, 2014 8:28 am
Откуда: Киров, Россия
Благодарил (а): 400 раз
Поблагодарили: 1753 раза
Контактная информация:

Re: Хак моего MajorDomo или проблемы с системой

Сообщение skysilver » Чт мар 29, 2018 11:40 am

voronrom писал(а):но вопрос основной именно наличия из "коробки" возможности отслеживания изменений в системе, есть ли такое?
Такой фичи штатно в системе нет. Если очень надо, то можно погуглить и поставить что-то стороннее, схожее по назначению.
MajorDoMo (GitHub) на Cubietruck. ОС Debian 7 (wheezy) (kernel 3.4.105) с переносом на HDD.
Мой CONNECT | Блоги | Telegram
Аватара пользователя
nick7zmail
Сообщения: 7573
Зарегистрирован: Пн окт 28, 2013 8:14 am
Откуда: Екатеринбург
Благодарил (а): 121 раз
Поблагодарили: 2010 раз

Re: Хак моего MajorDomo или проблемы с системой

Сообщение nick7zmail » Чт мар 29, 2018 12:04 pm

Дак а никто и не спорил))) просто порассуждал немного.
Лог апача (если он конечно включен) в /var/log/apache/...там что-то со словом access в названии, точно не помню точно имя файла. Просматривается командой less (через ssh консоль естественно)...но прикол в том - был это скан бот, которых, как вы сами осознаёте полно, или человек, который реально что-то поменял в системе - вы, скорее всего не узнаете...там тупо IP и время. Можете глянуть.
Raspberry Pi3+Broadlink+esp8266 (blynk)+AMS
Если вам помогло какое-либо сообщение - не забывайте пользоваться кнопкой "СПАСИБО".
:arrow: Услуги в профиле коннект
>>>>>Мой новый канал на ютутбе, подписывайтесь!<<<<<
voronrom
Сообщения: 25
Зарегистрирован: Вс мар 25, 2018 5:08 pm
Благодарил (а): 2 раза
Поблагодарили: 0

Re: Хак моего MajorDomo или проблемы с системой

Сообщение voronrom » Чт мар 29, 2018 12:49 pm

nick7zmail писал(а):Дак а никто и не спорил))) просто порассуждал немного.
Лог апача (если он конечно включен) в /var/log/apache/...там что-то со словом access в названии, точно не помню точно имя файла. Просматривается командой less (через ssh консоль естественно)...но прикол в том - был это скан бот, которых, как вы сами осознаёте полно, или человек, который реально что-то поменял в системе - вы, скорее всего не узнаете...там тупо IP и время. Можете глянуть.
Согласен, человек или бот не определишь. Гляну на счет лога в аппаче, но скажу, что было все из коробки, ничего не менял из настроек по умолчанию - считал, что пока просто Лаба :). Сейчас глянул на стартовую страницу, стало еще хуже, половина свойств удалено, даже кнопок в управлении мало стало, некоторые кнопки в меню управления стали переведены на английский. Закралось предположение, что такие вещи менять мышкой вряд ли будет обычный "рука тык". Что-то "пожирает" на глазах вебку.
Аватара пользователя
dioxin
Сообщения: 175
Зарегистрирован: Вт фев 14, 2017 4:43 pm
Откуда: Иваново
Благодарил (а): 15 раз
Поблагодарили: 46 раз

Re: Хак моего MajorDomo или проблемы с системой

Сообщение dioxin » Чт мар 29, 2018 1:59 pm

Тема должна была закончится в 2-3 поста, раздули как шарик.

1. Отрубаем перенаправление портов и доступ из вне.
2. Смотрим как работает система

Отчет в студию.

Если всё нормально, делаем безопасность. Как? Решений много, vpn, open vpn, pass/access, отшивалки ботов и тд. и тп.


p.s. про логи апача писали 100500 раз, где логи? Есть чужие ip в логах? Тишина!
Алиска прописана на Debian 11 | Мой канал на youtube по MajorDomo
voronrom
Сообщения: 25
Зарегистрирован: Вс мар 25, 2018 5:08 pm
Благодарил (а): 2 раза
Поблагодарили: 0

Re: Хак моего MajorDomo или проблемы с системой

Сообщение voronrom » Чт мар 29, 2018 2:35 pm

dioxin писал(а):Тема должна была закончится в 2-3 поста, раздули как шарик.

1. Отрубаем перенаправление портов и доступ из вне.
2. Смотрим как работает система

Отчет в студию.

Если всё нормально, делаем безопасность. Как? Решений много, vpn, open vpn, pass/access, отшивалки ботов и тд. и тп.


p.s. про логи апача писали 100500 раз, где логи? Есть чужие ip в логах? Тишина!
dioxin к сожалению я на работе, доступ только по веб к своей стартовой страничке. Вечером добирусь до дома буду смотреть.
voronrom
Сообщения: 25
Зарегистрирован: Вс мар 25, 2018 5:08 pm
Благодарил (а): 2 раза
Поблагодарили: 0

Re: Хак моего MajorDomo или проблемы с системой

Сообщение voronrom » Пт мар 30, 2018 10:32 am

Вечером добрался до малинки, MD было на столько плохо уже, что он еле "дышал". Начал искать логи апача набрел на лог: "other_vhosts_access.log". В целом лог достаточно большой "6 Мб", хотя система проработала меньше суток. В начале файла небольшой кусок лога автора образа "v3_31i_rus.img", потом уже огромный мой кусок лога. И так, в логе нахожу по времени и IP свои подключения. Вижу в начале сплошные GETы

Кусочек лога.
127.0.1.1:80 192.168.1.5 - - [28/Mar/2018:22:32:34 +0300] "GET /ajax/devices.html?op=get_device&id=5 HTTP/1.1" 200 680 "http://192.168.1.30/freeboard/?prj=755q ... yout_id=15" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36"
127.0.1.1:80 192.168.1.5 - - [28/Mar/2018:22:32:34 +0300] "GET /ajax/devices.html?op=get_device&id=4 HTTP/1.1" 200 680 "http://192.168.1.30/freeboard/?prj=755q ... yout_id=15" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36"

Есть и пару POST, но только пару на весь файл лога и то от меня с моего IP.
127.0.1.1:80 192.168.1.5 - - [28/Mar/2018:22:32:51 +0300] "POST /admin.php?pd=c2F2ZXJlc3RvcmU6e2luc3RhbmNlPWFkbX0%3Dpz_cGFuZWw6e2FjdGlvbj1zYXZlcmVzdG9yZX0%3Dpz_&md=saverestore&inst=adm& HTTP/1.1" 302 457 "http://192.168.1.30/admin.php?pd=&md=pa ... averestore" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36"

Так же в логе видны какие то внутренние механизмы обращений самой системы MD.

127.0.1.1:80 127.0.0.1 - - [28/Mar/2018:22:32:52 +0300] "GET /objects/?object=HomeBridge&op=m&m=dataUpdated&m_c_s%5B0%5D=HomeBridge.dataUpdated&PROPERTY=from_response&NEW_VALUE=%7B%22ack%22%3Atrue%2C%22message%22%3A%22accessory+%27MotionSensor1%27+is+removed.%22%7D&OLD_VALUE=%7B%22ack%22%3Atrue%2C%22message%22%3A%22accessory+%27HumSensor01%27%2C+service_name+%27%D0%92%D0%BB%D0%B0%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D1%8C+%D0%B4%D0%BE%D0%BC%D0%B0%27+is+added.%22%7D&SOURCE= HTTP/1.1" 200 325 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:32.0) Gecko/20100101 Firefox/32.0"

По логам видно, когда я лег спать и перестал обращаться к системе :), и через какое-то время понеслось :), начали долбиться пауки Яндекса.

127.0.1.1:80 141.8.132.32 - - [29/Mar/2018:03:58:48 +0300] "GET /admin.php?pd=cGFuZWw6e2FjdGlvbj1zYXZlcmVzdG9yZX0%3Dpz_&md=panel&inst=&action=app_openweather HTTP/1.1" 200 10743 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
127.0.1.1:80 5.255.253.1 - - [29/Mar/2018:03:58:48 +0300] "GET /admin.php?pd=cGFuZWw6e2FjdGlvbj1zZXR0aW5nc30%3Dpz_&md=panel&inst=&action=soundfiles HTTP/1.1" 200 10573 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
127.0.1.1:80 141.8.142.139 - - [29/Mar/2018:03:58:48 +0300] "GET /admin.php?pd=cGFuZWw6e2FjdGlvbj14cmF5fQ%3D%3Dpz_&md=panel&inst=&action=app_openweather HTTP/1.1" 200 10747 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
127.0.1.1:80 37.9.113.181 - - [29/Mar/2018:03:58:49 +0300] "GET /admin.php?pd=cGFuZWw6e2FjdGlvbj1zZXR0aW5nc30%3Dpz_&md=panel&inst=&action=app_player HTTP/1.1" 200 10868 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
127.0.1.1:80 141.8.132.32 - - [29/Mar/2018:03:58:49 +0300] "GET /admin.php?pd=cGFuZWw6e2FjdGlvbj1zZXR0aW5nc30%3Dpz_&md=panel&inst=&action=system_errors HTTP/1.1" 200 10549 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
127.0.1.1:80 5.255.253.1 - - [29/Mar/2018:03:58:49 +0300] "GET /admin.php?pd=cGFuZWw6e2FjdGlvbj1zYXZlcmVzdG9yZX0%3Dpz_&md=panel&inst=&action=textfiles HTTP/1.1" 200 9984 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"

Проверил штук 5 этих IP-шников пауков, мало ли кем можно представиться, но увы, все ведет к яндексу.

Проверял честно сказать глазами отслеживая точку времени и зная, что я делал в это время, ну и немного ctr +F, НЕ нашел чьих то следов кроме себя и ботов яндекса!

Логи апача сохранил с предыдущего образа, да и переустановил опять образ, восстановил настройки MD из бэкапа, ну и естественно закрыл доступ из вне, с утра проверил, все в порядке, ничего не сломалось за ночь.

В целом ситуация на мой взгляд очень странная, я конечно не спец по вебу и всему что рядом с ним, но вот факт, кроме меня и яндекса больше никто не подключался к MD, опять же судя по логам "other_vhosts_access.log"
Аватара пользователя
dioxin
Сообщения: 175
Зарегистрирован: Вт фев 14, 2017 4:43 pm
Откуда: Иваново
Благодарил (а): 15 раз
Поблагодарили: 46 раз

Re: Хак моего MajorDomo или проблемы с системой

Сообщение dioxin » Пт мар 30, 2018 4:23 pm

Скорее всего это не боты яндекса, так легко могут маскироваться "стучалки".
Делайте правила в .htaccess разрешите вход только со своих ip или своей подсети, остальных дропайте.
https://blog.sprinthost.ru/2015/04/16/htaccess/ в помощь

да, и лог надо смотреть в /var/log/apache2/access.log у меня он тут лежит
Алиска прописана на Debian 11 | Мой канал на youtube по MajorDomo
Alex
Сообщения: 2357
Зарегистрирован: Пт апр 20, 2012 12:53 pm
Благодарил (а): 42 раза
Поблагодарили: 262 раза

Re: Хак моего MajorDomo или проблемы с системой

Сообщение Alex » Пт мар 30, 2018 5:05 pm

Так же в логе видны какие то внутренние механизмы обращений самой системы MD.
через какое-то время понеслось :), начали долбиться пауки Яндекса.
это не боты яндекса, так легко могут маскироваться "стучалки".
В общем, MajoDoMo это по факту прходной двор, где шарятся все кому не лень - «внутренние механизмы», пауки Яндекса, «стучалки» (классное название), а заодно с ними всевозможная нечисть со всего интернета и хакеры всех квалификаций и намерений.

Здравый смысл подсказывает, что система должна поставляться с максимальными настройками безопасности и с заблокированными всеми внешними соединениями. А уж пользователь сам, и чётко понимая что делает, открывал бы соединения с внешним миром.

Должна быть ясная политика безопасности и конфиденциальности и должно быть четко расписано что и как делают в системе «внутренние механизмы», что, как и когда сливается из системы на сервера smartliving.

Также должен быть как-то формализован механизм установки заплаток безопасности для Апача, PHP и прочих компонентов системы.

Пока не будут приняты хотябы эти элементарные меры — открывать доступ MajoDoMo в интернет — это чистое рафинированное безумие (особенно учитывая чем он управляет).
Последний раз редактировалось Alex Сб мар 31, 2018 7:27 am, всего редактировалось 1 раз.
Аватара пользователя
dioxin
Сообщения: 175
Зарегистрирован: Вт фев 14, 2017 4:43 pm
Откуда: Иваново
Благодарил (а): 15 раз
Поблагодарили: 46 раз

Re: Хак моего MajorDomo или проблемы с системой

Сообщение dioxin » Пт мар 30, 2018 6:36 pm

"внутренние механизмы" и должны работать, в MD всё на get и post запросах построено.
А то что проходной двор, так это любой сервак так, пока не настроишь безопасность сам.
С коробки безопасности не бывает, на всех не угодишь.
Я свой сервер для сайтов и прочей хрени, месяц мутозил, пока все дыры не заштопал, да и то не уверен, все ли)) Хотя атаки и проходы "чужих" прекратились.

Делай openvpn и будет тебе безопасность.
Алиска прописана на Debian 11 | Мой канал на youtube по MajorDomo
Alex
Сообщения: 2357
Зарегистрирован: Пт апр 20, 2012 12:53 pm
Благодарил (а): 42 раза
Поблагодарили: 262 раза

Re: Хак моего MajorDomo или проблемы с системой

Сообщение Alex » Пт мар 30, 2018 9:21 pm

Я свой сервер для сайтов и прочей хрени, месяц мутозил, пока все дыры не заштопал, да и то не уверен, все ли))
Отлично. А теперь давайте спросим, что делали остальные 1000 пользователей MajorDoMo, кроме инсталляции (и последующих воплей, что кнопки и объекты из системы сами-собой пропадают).
"внутренние механизмы" и должны работать
Не факт. Мне, например, «внутренние механизмы» на самом деле являющиеся управлением и сливом непонятно чего с моего сервера умного дома совсем не нужны. Или по крайней мере я бы хотел иметь документ, где расписано всё, что делается на моём сервере умного дома без моего ведома.
С коробки безопасности не бывает
Речь идёт о том, что из коробки MajorDoMo это дуршлаг вместо безопасности. И ещё раз подчеркну, этот дуршлаг призван управлять реальным физическим оборудованием, в том числе и мощным и пожароопасным и обеспечивающим безопасность людей и пр.
Ответить