Хак моего MajorDomo или проблемы с системой

Если вы только начинаете осваивать систему MajorDoMo и чего-то не знаете или не можете понять, то задавайте свои вопросы в этой ветке.

Модератор: immortal

Аватара пользователя
dioxin
Сообщения: 175
Зарегистрирован: Вт фев 14, 2017 4:43 pm
Откуда: Иваново
Благодарил (а): 15 раз
Поблагодарили: 46 раз

Re: Хак моего MajorDomo или проблемы с системой

Сообщение dioxin » Сб мар 31, 2018 10:35 am

Никому не интересно какая у вас температура в доме, влажность и прочие мелочи. Интереснее дома ли вы, открыты ли двери, поставлена ли охрана. Но, хакерам это тоже особо не интересно, если только у них нет знакомых криминальных элементов. Хакеру интересней засунуть на ваш сервер трояна, или спам-бота и тем самым добавить в ботнет еще одну машинку.
Так что первым делом защищаем сам сервер, а уж потом ковыряем MD. И да, ssl сертификат и запросы по https тут будет не последним делом.

У топикстартера похоже какой-то школьник просто шалит, раз оставляет за собой такие очевидные следы присутствия. Хотя, возможно это просто глюки самой системы. И еще: я думаю яндекс-боту незачем лазать по портам отличных от 80 и 443, так что в логах на 98% сканеры ходили.
В общем, делай защиту сервера, аутентификацию и вперед))
Алиска прописана на Debian 11 | Мой канал на youtube по MajorDomo
Alex
Сообщения: 2357
Зарегистрирован: Пт апр 20, 2012 12:53 pm
Благодарил (а): 42 раза
Поблагодарили: 262 раза

Re: Хак моего MajorDomo или проблемы с системой

Сообщение Alex » Сб мар 31, 2018 10:42 am

Механизм тот же, что и для других обновлений - комиты на гитхабе, к каждому комиту описание есть.
Я говорил совсем о другом — о заплатках безопасности, которые выпускают производители компонентов из которых собрана система. Это кто-то вообще отслеживает?
"Управления" серверами smartliving точно нету))
Речь шла об управлении MajorDoMo со стороны серверов smartliving, а не наоборот.
А обмен идёт только если включен модуль connect.
Где написано, что MajorDoMo не отсылает никакую телеметрию, даже если отключен модуль connect?
Я уже говорил что все IP-шники ваши давно выложены на открытых ресурсах
Стоп! А вот это интересно и с этого места поподробнее пожалуйста. Это где выложены все наши IP-шники?
я кстати только зашел в базу, и глянул на таблицу users...больше не делал ничего
Ага! Проблема не просто существует, она просто вопиёт ко всем, кто имеет хоть чуточку здравого смысла.
Встречный вопрос - а на АМС проводили такой аудит?))
Э, нет, nick7zmail, шалите: разница между АМС и MajorDoMo в том, что АМС в норме не претендует на работу через интернет (хотя может), а MajorDoMo для этого прямо предназначен и это его нормальное использование. И это принципиальная разница.
voronrom
Сообщения: 25
Зарегистрирован: Вс мар 25, 2018 5:08 pm
Благодарил (а): 2 раза
Поблагодарили: 0

Re: Хак моего MajorDomo или проблемы с системой

Сообщение voronrom » Сб мар 31, 2018 10:48 am

dioxin писал(а):Никому не интересно какая у вас температура в доме, влажность и прочие мелочи. Интереснее дома ли вы, открыты ли двери, поставлена ли охрана. Но, хакерам это тоже особо не интересно, если только у них нет знакомых криминальных элементов. Хакеру интересней засунуть на ваш сервер трояна, или спам-бота и тем самым добавить в ботнет еще одну машинку.
Так что первым делом защищаем сам сервер, а уж потом ковыряем MD. И да, ssl сертификат и запросы по https тут будет не последним делом.

У топикстартера похоже какой-то школьник просто шалит, раз оставляет за собой такие очевидные следы присутствия. Хотя, возможно это просто глюки самой системы. И еще: я думаю яндекс-боту незачем лазать по портам отличных от 80 и 443, так что в логах на 98% сканеры ходили.
В общем, делай защиту сервера, аутентификацию и вперед))

Топикстартер не обнаружил каких-то сомнительных подключений судя по логам, которые я видел в other_vhosts_access.log я еще раз подчеркну я не специалист в этом деле, но лог я проверял на мой взгляд более менее тщательно с точки зрения времени и наличия каких либо запросов от сомнительных IP. IP-шники, которые я не знаю и являлись не моими точками подключения, я проверил на принадлежность к провайдеру - все вело в Яндекс. Мой вывод, если даже к моему MD кто-то подключился, и по "колдовал", это точно не оставил следы, во всяком случае в логе "other_vhosts_access.log" И к с тате, кто знает, что в него пишется? файл лога "access.log" ПУСТ изучать нечего, что в него должно писаться??? Есть ли другие способы подключения к примеру к БД MD используя SQL инъекции??? кто нибудь изучал этот вопрос???
Аватара пользователя
nick7zmail
Сообщения: 7573
Зарегистрирован: Пн окт 28, 2013 8:14 am
Откуда: Екатеринбург
Благодарил (а): 121 раз
Поблагодарили: 2010 раз

Re: Хак моего MajorDomo или проблемы с системой

Сообщение nick7zmail » Сб мар 31, 2018 10:55 am

Alex писал(а): Э, нет, nick7zmail, шалите: разница между АМС и MajorDoMo в том, что АМС в норме не претендует на работу через интернет (хотя может), а MajorDoMo для этого прямо предназначен и это его нормальное использование. И это принципиальная разница.
Да МД в принципе тоже никто не заставляет в инет выставлять на самом деле...изначально система поставляется без какого-либо доступа в интернет...перенаправление портов - дело рук пользователей уже...знаю людей у которых он в локалке вполне неплохо живет...при этом "управление со стороны серверов smartliving" в принципе невозможно...
Alex писал(а): Стоп! А вот это интересно и с этого места поподробнее пожалуйста. Это где выложены все наши IP-шники?
Скинул в личку. Ибо те кто не знают таких ресурсов - пусть далее будут в неведении...а те кто хоть немного в теме информационной безопастности - и так знают подобные...как и "хакеры" собственно, и в руках хакера (особенно неумелого, и хотящего просто попакостить) - это страшный инструмент)).
Raspberry Pi3+Broadlink+esp8266 (blynk)+AMS
Если вам помогло какое-либо сообщение - не забывайте пользоваться кнопкой "СПАСИБО".
:arrow: Услуги в профиле коннект
>>>>>Мой новый канал на ютутбе, подписывайтесь!<<<<<
Alex
Сообщения: 2357
Зарегистрирован: Пт апр 20, 2012 12:53 pm
Благодарил (а): 42 раза
Поблагодарили: 262 раза

Re: Хак моего MajorDomo или проблемы с системой

Сообщение Alex » Сб мар 31, 2018 10:59 am

скорее надо начинать новую под жирными буквами БЕЗОПАСНОСТЬ системы
Вот с этим полностью согласен и двумя руками за. Безопасность это ахиллесова пята MajorDoMo и это нужно обсуждать и искать решения, а сейчас используется страусиная политика — голову в песок и проблемы как бы не существует, хотя она огромна.
Скинул в личку. Ибо те кто не знают таких ресурсов - пусть далее будут в неведении...а те кто хоть немного в теме информационной безопастности - и так знают подобные...как и "хакеры" собственно, и в руках хакера (особенно неумелого, и хотящего просто попакостить) - это страшный инструмент)).
Спасибо, прям пошёл изучать где это мой айпишник висит приготовленный для хакеров :)
fandaymon
Сообщения: 1553
Зарегистрирован: Сб янв 13, 2018 5:00 pm
Благодарил (а): 39 раз
Поблагодарили: 574 раза

Re: Хак моего MajorDomo или проблемы с системой

Сообщение fandaymon » Сб мар 31, 2018 1:25 pm

Alex писал(а):
скорее надо начинать новую под жирными буквами БЕЗОПАСНОСТЬ системы
Вот с этим полностью согласен и двумя руками за. Безопасность это ахиллесова пята MajorDoMo и это нужно обсуждать и искать решения, а сейчас используется страусиная политика — голову в песок и проблемы как бы не существует, хотя она огромна.
Да с чего вдруг это ахиллесова пята-то?! Не предназначена Мажордомо для выставления в открытый доступ. По нескольким причинам - если свойство можно изменить url запросом, то какой смысл что-то там внутри с безопасностью наворачивать?! А если нельзя - то теряется гибкость.
Вторая причина - поскольку довольно много модулей пишут сами пользователи, то они делают только то что им нужно и то для чего им не жалко своего времени. Скажем я знаю что такое sql инъекция и как в принципе от неё защититься, но если я что-то пишу для своей системы, то я не буду тратить время на наворачивание всяких защит от всего, что может ввести пользователь. Потому что пользователь это я, и он априори вменяемый.
Третья причина - настройки сервера делает пользователь, а чтобы сделать безопасный сервер какая-никакая квалификация нужна. Более того - эту безопасность надо всё время поддерживать - следить за найденными дырами, вовремя обновлять все компоненты. Т.е. нормальная такая, времязатратная работа сисадмина - и кому это надо?!
Четвёртая причина - автор у системы один, времени у него не много, для тестирования безопасности в разных конфигурация потребуется нереальное количество времени.

Резюме - подход топикстартера я честно говоря не понимаю - я перед уходом из дому открыл дверь нараспашку, а потом удивляюсь - а чего это в доме какие-то люди побывали....
За это сообщение автора fandaymon поблагодарил:
olehs (Сб мар 31, 2018 1:29 pm)
Рейтинг: 1.16%
Alex
Сообщения: 2357
Зарегистрирован: Пт апр 20, 2012 12:53 pm
Благодарил (а): 42 раза
Поблагодарили: 262 раза

Re: Хак моего MajorDomo или проблемы с системой

Сообщение Alex » Сб мар 31, 2018 4:00 pm

Не предназначена Мажордомо для выставления в открытый доступ.
А со всеми бедами и косяками, которые вы перечислили, MajorDoMo предназначен для открытия ему выхода интернет?

Или пока вы не стали админом 80-го уровня и не провели соответствующий комплекс мероприятий этого делать всё-таки не стоит?
Alex
Сообщения: 2357
Зарегистрирован: Пт апр 20, 2012 12:53 pm
Благодарил (а): 42 раза
Поблагодарили: 262 раза

Re: Хак моего MajorDomo или проблемы с системой

Сообщение Alex » Сб мар 31, 2018 4:26 pm

Обсуждение безопасности MajorDoMo :)
Вложения
sec.jpg
Обсуждение безопасности
sec.jpg (35.45 КБ) 4620 просмотров
fandaymon
Сообщения: 1553
Зарегистрирован: Сб янв 13, 2018 5:00 pm
Благодарил (а): 39 раз
Поблагодарили: 574 раза

Re: Хак моего MajorDomo или проблемы с системой

Сообщение fandaymon » Сб мар 31, 2018 4:33 pm

Alex писал(а):
Не предназначена Мажордомо для выставления в открытый доступ.
А со всеми бедами и косяками, которые вы перечислили, MajorDoMo предназначен для открытия ему выхода интернет?

Или пока вы не стали админом 80-го уровня и не провели соответствующий комплекс мероприятий этого делать всё-таки не стоит?
Для открытия ему выхода - да, предназначен. Для открытия входа - нет, не предназначен. Как и в принципе любая система, если вы не умеете её администрировать.
И повторюсь - никаких особенных бед и косяков я в Мажордомо не вижу. Для тех целей, для которых он предназначен, а именно - центр умного дома, на мой вкус он вполне себе неплохо подходит. Наличие возможностей подключения разных устройств, более-менее понятная структура, интерес автора к развитию системы, какой-то костяк людей, которые в системе разобрались, в отличие от каких-нибудь openHabов необязательно писать кучу команд, чтобы что-то подключить. Как система внутри своей уютненькой сети он очень неплох. А для того чтобы включать лампочки из любого места планеты, есть куча способов - VPN, где вам надо поддерживать безопасность одного пакета-протокола, телеграмм, общение посредством E-Mail, смсками, самонаписанными проксями,где вы дозирует что именно и куда передаётся. В конце концов никто не мешает выставить свой маленький веб-сервер с 1 сценой в сеть и использовать его как посредника между миром и мажордомо, не думаю что это уж очень трудозатратно

По поводу админа 80-го уровня. В идеальном мире, да, не стоит, в реальном - если просчитывать риски и быть готовым к худшему - ну пробуйте 8-)
Alex
Сообщения: 2357
Зарегистрирован: Пт апр 20, 2012 12:53 pm
Благодарил (а): 42 раза
Поблагодарили: 262 раза

Re: Хак моего MajorDomo или проблемы с системой

Сообщение Alex » Сб мар 31, 2018 4:46 pm

Для открытия ему выхода - да, предназначен. Для открытия входа - нет, не предназначен. Как и в принципе любая система, если вы не умеете её администрировать.
И повторюсь - никаких особенных бед и косяков я в Мажордомо не вижу. Для тех целей, для которых он предназначен, а именно - центр умного дома, на мой вкус он вполне себе неплохо подходит. Наличие возможностей подключения разных устройств, более-менее понятная структура, интерес автора к развитию системы, какой-то костяк людей, которые в системе разобрались, в отличие от каких-нибудь openHabов необязательно писать кучу команд, чтобы что-то подключить. Как система внутри своей уютненькой сети он очень неплох. А для того чтобы включать лампочки из любого места планеты, есть куча способов - VPN, где вам надо поддерживать безопасность одного пакета-протокола, телеграмм, общение посредством E-Mail, смсками, самонаписанными проксями,где вы дозирует что именно и куда передаётся. В конце концов никто не мешает выставить свой маленький веб-сервер с 1 сценой в сеть и использовать его как посредника между миром и мажордомо, не думаю что это уж очень трудозатратно

По поводу админа 80-го уровня. В идеальном мире, да, не стоит, в реальном - если просчитывать риски и быть готовым к худшему - ну пробуйте 8-)
В общем-то я с этим согласен и это примерно соответствует моему пониманию положения дел.
Ответить