Хак моего MajorDomo или проблемы с системой
Модератор: immortal
- dioxin
- Сообщения: 175
- Зарегистрирован: Вт фев 14, 2017 4:43 pm
- Откуда: Иваново
- Благодарил (а): 15 раз
- Поблагодарили: 46 раз
Re: Хак моего MajorDomo или проблемы с системой
Никому не интересно какая у вас температура в доме, влажность и прочие мелочи. Интереснее дома ли вы, открыты ли двери, поставлена ли охрана. Но, хакерам это тоже особо не интересно, если только у них нет знакомых криминальных элементов. Хакеру интересней засунуть на ваш сервер трояна, или спам-бота и тем самым добавить в ботнет еще одну машинку.
Так что первым делом защищаем сам сервер, а уж потом ковыряем MD. И да, ssl сертификат и запросы по https тут будет не последним делом.
У топикстартера похоже какой-то школьник просто шалит, раз оставляет за собой такие очевидные следы присутствия. Хотя, возможно это просто глюки самой системы. И еще: я думаю яндекс-боту незачем лазать по портам отличных от 80 и 443, так что в логах на 98% сканеры ходили.
В общем, делай защиту сервера, аутентификацию и вперед))
Так что первым делом защищаем сам сервер, а уж потом ковыряем MD. И да, ssl сертификат и запросы по https тут будет не последним делом.
У топикстартера похоже какой-то школьник просто шалит, раз оставляет за собой такие очевидные следы присутствия. Хотя, возможно это просто глюки самой системы. И еще: я думаю яндекс-боту незачем лазать по портам отличных от 80 и 443, так что в логах на 98% сканеры ходили.
В общем, делай защиту сервера, аутентификацию и вперед))
Алиска прописана на Debian 11 | Мой канал на youtube по MajorDomo
-
- Сообщения: 2357
- Зарегистрирован: Пт апр 20, 2012 12:53 pm
- Благодарил (а): 42 раза
- Поблагодарили: 262 раза
Re: Хак моего MajorDomo или проблемы с системой
Я говорил совсем о другом — о заплатках безопасности, которые выпускают производители компонентов из которых собрана система. Это кто-то вообще отслеживает?Механизм тот же, что и для других обновлений - комиты на гитхабе, к каждому комиту описание есть.
Речь шла об управлении MajorDoMo со стороны серверов smartliving, а не наоборот."Управления" серверами smartliving точно нету))
Где написано, что MajorDoMo не отсылает никакую телеметрию, даже если отключен модуль connect?А обмен идёт только если включен модуль connect.
Стоп! А вот это интересно и с этого места поподробнее пожалуйста. Это где выложены все наши IP-шники?Я уже говорил что все IP-шники ваши давно выложены на открытых ресурсах
Ага! Проблема не просто существует, она просто вопиёт ко всем, кто имеет хоть чуточку здравого смысла.я кстати только зашел в базу, и глянул на таблицу users...больше не делал ничего
Э, нет, nick7zmail, шалите: разница между АМС и MajorDoMo в том, что АМС в норме не претендует на работу через интернет (хотя может), а MajorDoMo для этого прямо предназначен и это его нормальное использование. И это принципиальная разница.Встречный вопрос - а на АМС проводили такой аудит?))
-
- Сообщения: 25
- Зарегистрирован: Вс мар 25, 2018 5:08 pm
- Благодарил (а): 2 раза
- Поблагодарили: 0
Re: Хак моего MajorDomo или проблемы с системой
dioxin писал(а):Никому не интересно какая у вас температура в доме, влажность и прочие мелочи. Интереснее дома ли вы, открыты ли двери, поставлена ли охрана. Но, хакерам это тоже особо не интересно, если только у них нет знакомых криминальных элементов. Хакеру интересней засунуть на ваш сервер трояна, или спам-бота и тем самым добавить в ботнет еще одну машинку.
Так что первым делом защищаем сам сервер, а уж потом ковыряем MD. И да, ssl сертификат и запросы по https тут будет не последним делом.
У топикстартера похоже какой-то школьник просто шалит, раз оставляет за собой такие очевидные следы присутствия. Хотя, возможно это просто глюки самой системы. И еще: я думаю яндекс-боту незачем лазать по портам отличных от 80 и 443, так что в логах на 98% сканеры ходили.
В общем, делай защиту сервера, аутентификацию и вперед))
Топикстартер не обнаружил каких-то сомнительных подключений судя по логам, которые я видел в other_vhosts_access.log я еще раз подчеркну я не специалист в этом деле, но лог я проверял на мой взгляд более менее тщательно с точки зрения времени и наличия каких либо запросов от сомнительных IP. IP-шники, которые я не знаю и являлись не моими точками подключения, я проверил на принадлежность к провайдеру - все вело в Яндекс. Мой вывод, если даже к моему MD кто-то подключился, и по "колдовал", это точно не оставил следы, во всяком случае в логе "other_vhosts_access.log" И к с тате, кто знает, что в него пишется? файл лога "access.log" ПУСТ изучать нечего, что в него должно писаться??? Есть ли другие способы подключения к примеру к БД MD используя SQL инъекции??? кто нибудь изучал этот вопрос???
- nick7zmail
- Сообщения: 7573
- Зарегистрирован: Пн окт 28, 2013 8:14 am
- Откуда: Екатеринбург
- Благодарил (а): 121 раз
- Поблагодарили: 2010 раз
Re: Хак моего MajorDomo или проблемы с системой
Да МД в принципе тоже никто не заставляет в инет выставлять на самом деле...изначально система поставляется без какого-либо доступа в интернет...перенаправление портов - дело рук пользователей уже...знаю людей у которых он в локалке вполне неплохо живет...при этом "управление со стороны серверов smartliving" в принципе невозможно...Alex писал(а): Э, нет, nick7zmail, шалите: разница между АМС и MajorDoMo в том, что АМС в норме не претендует на работу через интернет (хотя может), а MajorDoMo для этого прямо предназначен и это его нормальное использование. И это принципиальная разница.
Скинул в личку. Ибо те кто не знают таких ресурсов - пусть далее будут в неведении...а те кто хоть немного в теме информационной безопастности - и так знают подобные...как и "хакеры" собственно, и в руках хакера (особенно неумелого, и хотящего просто попакостить) - это страшный инструмент)).Alex писал(а): Стоп! А вот это интересно и с этого места поподробнее пожалуйста. Это где выложены все наши IP-шники?
Raspberry Pi3+Broadlink+esp8266 (blynk)+AMS
Если вам помогло какое-либо сообщение - не забывайте пользоваться кнопкой "СПАСИБО".
Услуги в профиле коннект
>>>>>Мой новый канал на ютутбе, подписывайтесь!<<<<<
Если вам помогло какое-либо сообщение - не забывайте пользоваться кнопкой "СПАСИБО".
Услуги в профиле коннект
>>>>>Мой новый канал на ютутбе, подписывайтесь!<<<<<
-
- Сообщения: 2357
- Зарегистрирован: Пт апр 20, 2012 12:53 pm
- Благодарил (а): 42 раза
- Поблагодарили: 262 раза
Re: Хак моего MajorDomo или проблемы с системой
Вот с этим полностью согласен и двумя руками за. Безопасность это ахиллесова пята MajorDoMo и это нужно обсуждать и искать решения, а сейчас используется страусиная политика — голову в песок и проблемы как бы не существует, хотя она огромна.скорее надо начинать новую под жирными буквами БЕЗОПАСНОСТЬ системы
Спасибо, прям пошёл изучать где это мой айпишник висит приготовленный для хакеровСкинул в личку. Ибо те кто не знают таких ресурсов - пусть далее будут в неведении...а те кто хоть немного в теме информационной безопастности - и так знают подобные...как и "хакеры" собственно, и в руках хакера (особенно неумелого, и хотящего просто попакостить) - это страшный инструмент)).
-
- Сообщения: 1554
- Зарегистрирован: Сб янв 13, 2018 5:00 pm
- Благодарил (а): 39 раз
- Поблагодарили: 574 раза
Re: Хак моего MajorDomo или проблемы с системой
Да с чего вдруг это ахиллесова пята-то?! Не предназначена Мажордомо для выставления в открытый доступ. По нескольким причинам - если свойство можно изменить url запросом, то какой смысл что-то там внутри с безопасностью наворачивать?! А если нельзя - то теряется гибкость.Alex писал(а):Вот с этим полностью согласен и двумя руками за. Безопасность это ахиллесова пята MajorDoMo и это нужно обсуждать и искать решения, а сейчас используется страусиная политика — голову в песок и проблемы как бы не существует, хотя она огромна.скорее надо начинать новую под жирными буквами БЕЗОПАСНОСТЬ системы
Вторая причина - поскольку довольно много модулей пишут сами пользователи, то они делают только то что им нужно и то для чего им не жалко своего времени. Скажем я знаю что такое sql инъекция и как в принципе от неё защититься, но если я что-то пишу для своей системы, то я не буду тратить время на наворачивание всяких защит от всего, что может ввести пользователь. Потому что пользователь это я, и он априори вменяемый.
Третья причина - настройки сервера делает пользователь, а чтобы сделать безопасный сервер какая-никакая квалификация нужна. Более того - эту безопасность надо всё время поддерживать - следить за найденными дырами, вовремя обновлять все компоненты. Т.е. нормальная такая, времязатратная работа сисадмина - и кому это надо?!
Четвёртая причина - автор у системы один, времени у него не много, для тестирования безопасности в разных конфигурация потребуется нереальное количество времени.
Резюме - подход топикстартера я честно говоря не понимаю - я перед уходом из дому открыл дверь нараспашку, а потом удивляюсь - а чего это в доме какие-то люди побывали....
- Рейтинг: 1.16%
-
- Сообщения: 2357
- Зарегистрирован: Пт апр 20, 2012 12:53 pm
- Благодарил (а): 42 раза
- Поблагодарили: 262 раза
Re: Хак моего MajorDomo или проблемы с системой
А со всеми бедами и косяками, которые вы перечислили, MajorDoMo предназначен для открытия ему выхода интернет?Не предназначена Мажордомо для выставления в открытый доступ.
Или пока вы не стали админом 80-го уровня и не провели соответствующий комплекс мероприятий этого делать всё-таки не стоит?
-
- Сообщения: 2357
- Зарегистрирован: Пт апр 20, 2012 12:53 pm
- Благодарил (а): 42 раза
- Поблагодарили: 262 раза
Re: Хак моего MajorDomo или проблемы с системой
Обсуждение безопасности MajorDoMo
- Вложения
-
- Обсуждение безопасности
- sec.jpg (35.45 КБ) 4652 просмотра
-
- Сообщения: 1554
- Зарегистрирован: Сб янв 13, 2018 5:00 pm
- Благодарил (а): 39 раз
- Поблагодарили: 574 раза
Re: Хак моего MajorDomo или проблемы с системой
Для открытия ему выхода - да, предназначен. Для открытия входа - нет, не предназначен. Как и в принципе любая система, если вы не умеете её администрировать.Alex писал(а):А со всеми бедами и косяками, которые вы перечислили, MajorDoMo предназначен для открытия ему выхода интернет?Не предназначена Мажордомо для выставления в открытый доступ.
Или пока вы не стали админом 80-го уровня и не провели соответствующий комплекс мероприятий этого делать всё-таки не стоит?
И повторюсь - никаких особенных бед и косяков я в Мажордомо не вижу. Для тех целей, для которых он предназначен, а именно - центр умного дома, на мой вкус он вполне себе неплохо подходит. Наличие возможностей подключения разных устройств, более-менее понятная структура, интерес автора к развитию системы, какой-то костяк людей, которые в системе разобрались, в отличие от каких-нибудь openHabов необязательно писать кучу команд, чтобы что-то подключить. Как система внутри своей уютненькой сети он очень неплох. А для того чтобы включать лампочки из любого места планеты, есть куча способов - VPN, где вам надо поддерживать безопасность одного пакета-протокола, телеграмм, общение посредством E-Mail, смсками, самонаписанными проксями,где вы дозирует что именно и куда передаётся. В конце концов никто не мешает выставить свой маленький веб-сервер с 1 сценой в сеть и использовать его как посредника между миром и мажордомо, не думаю что это уж очень трудозатратно
По поводу админа 80-го уровня. В идеальном мире, да, не стоит, в реальном - если просчитывать риски и быть готовым к худшему - ну пробуйте
-
- Сообщения: 2357
- Зарегистрирован: Пт апр 20, 2012 12:53 pm
- Благодарил (а): 42 раза
- Поблагодарили: 262 раза
Re: Хак моего MajorDomo или проблемы с системой
В общем-то я с этим согласен и это примерно соответствует моему пониманию положения дел.Для открытия ему выхода - да, предназначен. Для открытия входа - нет, не предназначен. Как и в принципе любая система, если вы не умеете её администрировать.
И повторюсь - никаких особенных бед и косяков я в Мажордомо не вижу. Для тех целей, для которых он предназначен, а именно - центр умного дома, на мой вкус он вполне себе неплохо подходит. Наличие возможностей подключения разных устройств, более-менее понятная структура, интерес автора к развитию системы, какой-то костяк людей, которые в системе разобрались, в отличие от каких-нибудь openHabов необязательно писать кучу команд, чтобы что-то подключить. Как система внутри своей уютненькой сети он очень неплох. А для того чтобы включать лампочки из любого места планеты, есть куча способов - VPN, где вам надо поддерживать безопасность одного пакета-протокола, телеграмм, общение посредством E-Mail, смсками, самонаписанными проксями,где вы дозирует что именно и куда передаётся. В конце концов никто не мешает выставить свой маленький веб-сервер с 1 сценой в сеть и использовать его как посредника между миром и мажордомо, не думаю что это уж очень трудозатратно
По поводу админа 80-го уровня. В идеальном мире, да, не стоит, в реальном - если просчитывать риски и быть готовым к худшему - ну пробуйте