Outo kirjautumisyritys Home Assistantiin

Liittynyt
07.03.2022
Viestejä
9
Moi. Mulla on pyörinyt Home Assistant -ohjelmisto (dockerissa) jo useamman vuoden ilman ongelmia. Tänä aamuna huomasin että yöllä oli tapahtunut kirjautumisyritys joka oli blokattu:

Logger: homeassistant.components.http.ban
Source: components/http/ban.py:84
Integration: HTTP (documentation, issues)
First occurred: 28. syyskuuta 2022 klo 23.08.47 (1 occurrences)
Last logged: 28. syyskuuta 2022 klo 23.08.47
Login attempt or request with invalid authentication from n178-18-0-h1.smr-jtc.metromax.ru (178.18.0.1). Requested URL: '/api/'. (GuzzleHttp/7)

Näyttää aika huolestuttavalta :mad: Onko tuo ihan "oikea" kirjautumisyritys vai jotain muuta?

Herätti huomitota tuo /api -kohta. Kokeilin itse kirjautua väärillä tunnuksilla ja silloin ilmoituksessa ei ollut tuota /api kohtaa vaan jotain /login tekstiä ja tietty oma ip -osoite.
Reitittimessä ei ole portteja auki. Käytössä on Tailscale -palvelu jonka kautta pääsen Home Assistantiin kotiverkon ulkopuolelta.

Itsellä ei ole kovin hyvä ymmärrys näistä verkkoasioista joten osaisiko joku kertoa mistähän tässä voisi olla kysymys ja voisiko asiaa jotenkin selvittää lisää?
Samaan aikaan kun tuo kirjautumisyritys oli tapahtunut testailin dockerissa linuxserver.io/heimdall dashboardia.. Voisikohan tällä olla jotain tekemistä asian kanssa?
 
Liittynyt
17.10.2016
Viestejä
3 453
Moi. Mulla on pyörinyt Home Assistant -ohjelmisto (dockerissa) jo useamman vuoden ilman ongelmia. Tänä aamuna huomasin että yöllä oli tapahtunut kirjautumisyritys joka oli blokattu:

Logger: homeassistant.components.http.ban
Source: components/http/ban.py:84
Integration: HTTP (documentation, issues)
First occurred: 28. syyskuuta 2022 klo 23.08.47 (1 occurrences)
Last logged: 28. syyskuuta 2022 klo 23.08.47
Login attempt or request with invalid authentication from n178-18-0-h1.smr-jtc.metromax.ru (178.18.0.1). Requested URL: '/api/'. (GuzzleHttp/7)

Näyttää aika huolestuttavalta :mad: Onko tuo ihan "oikea" kirjautumisyritys vai jotain muuta?

Herätti huomitota tuo /api -kohta. Kokeilin itse kirjautua väärillä tunnuksilla ja silloin ilmoituksessa ei ollut tuota /api kohtaa vaan jotain /login tekstiä ja tietty oma ip -osoite.
Reitittimessä ei ole portteja auki. Käytössä on Tailscale -palvelu jonka kautta pääsen Home Assistantiin kotiverkon ulkopuolelta.

Itsellä ei ole kovin hyvä ymmärrys näistä verkkoasioista joten osaisiko joku kertoa mistähän tässä voisi olla kysymys ja voisiko asiaa jotenkin selvittää lisää?
Samaan aikaan kun tuo kirjautumisyritys oli tapahtunut testailin dockerissa linuxserver.io/heimdall dashboardia.. Voisikohan tällä olla jotain tekemistä asian kanssa?
Ei tuo ainakaan yhtäkkiä hyvältä näytä. Ei kai sinulla ole HomeAssistantiin internetistä pääsyä (ilman VPN:ää tms)?

edit:
Tuo GuzzleHttp vielä viittaa johonkin PHP-pohjaiseen skriptiin eli en ollenkaan olisi yllättynyt että tuo olisi ihan oikea hakkerointiyritys.
 
Liittynyt
07.03.2022
Viestejä
9
Kiitos vastauksista. Pääsy Home Assistantiin netin kautta on toteutettu Tailscalen kautta. Ja itse asiassa otin sen käyttöön vasta muutama viikko sitten. Olisiko se sitten ollut reitti mistä pääsi kokeilemaan kirjautumista..? Lueskelin kyllä tuosta Tailscalesta ja vaikutti turvalliselta mutta kuten sanoin en oikein ole verkkoasioissa mestari.

Miten tuo itsensä hakkerointi olisi parasta tehdä? Riittääkö jos nmap:lla pommittaa omaa ip:tä toisen nettiyhteyden kautta ja katsoo löytyykö avoimia portteja? Ja jos tuo on hyvä idea niin millaisilla nmapin asetuksilla? Siinäkin näkyy noita vaihtoehtoja riittävän..
 
Liittynyt
17.10.2016
Viestejä
3 453
Kiitos vastauksista. Pääsy Home Assistantiin netin kautta on toteutettu Tailscalen kautta. Ja itse asiassa otin sen käyttöön vasta muutama viikko sitten. Olisiko se sitten ollut reitti mistä pääsi kokeilemaan kirjautumista..? Lueskelin kyllä tuosta Tailscalesta ja vaikutti turvalliselta mutta kuten sanoin en oikein ole verkkoasioissa mestari.

Miten tuo itsensä hakkerointi olisi parasta tehdä? Riittääkö jos nmap:lla pommittaa omaa ip:tä toisen nettiyhteyden kautta ja katsoo löytyykö avoimia portteja? Ja jos tuo on hyvä idea niin millaisilla nmapin asetuksilla? Siinäkin näkyy noita vaihtoehtoja riittävän..
Kaikenlaisia porttiskannereita on ihan netissäkin joilla voi skannailla oman liittymän avoimia portteja, niillä varmaan voi lähteä liikkeelle. Tietty jos nmapin käytöstä on kokemusta niin silläkin voi koittaa ulkoverkosta skannailla, on tosiaan aika paljon parametreja ja vähän tapauksesta riippuen saa eri tavalla skannailtua. Lähinnä kannattaa ensimmäisenä koittaa selvittää onko tuo HA:n portti auki ulkomaailmaan vai onko tuo yritys tullut jotenkin muuten sisään.
 
Liittynyt
26.10.2016
Viestejä
90
Eiköhän tuo liity tuohon Heimdall kokeiluun. Heimdall-Apps/HomeAssistant.php at master · linuxserver/Heimdall-Apps

Eli kannattaa katsella niitä asetuksia, avasiko se itsensä suoraan ulkoverkkoon jne.

Koodi:
    function __construct()
    {
        //$this->jar = new \GuzzleHttp\Cookie\CookieJar; // Uncomment if cookies need to be set
    }

    public function test()
    {
        $attrs = [
            "headers" => [
                "Accept" => "application/json",
                "Authorization" => "Bearer " . $this->config->token,
            ],
        ];

        $test = parent::appTest($this->url("api/"), $attrs);
        echo $test->status;
    }
 
Liittynyt
27.12.2018
Viestejä
1 988
Palomuurissa lienee myös UPnP päällä, että jokaisen laitteen epämääräiset sovellukset pääsevät availemaan kätevästi omat reikänsä
 
Liittynyt
07.03.2022
Viestejä
9
Palomuurissa lienee myös UPnP päällä, että jokaisen laitteen epämääräiset sovellukset pääsevät availemaan kätevästi omat reikänsä
Tarkastin, ei ole päällä.

Nmapilla ajoin toisesta liittymästä kaikki portit läpi ja tulos oli: "All 131070 scanned ports on xxxxx are in ignored states." Ilmeisesti kaikki siis tuon osalta kunnossa?

Eiköhän tuo liity tuohon Heimdall kokeiluun. Heimdall-Apps/HomeAssistant.php at master · linuxserver/Heimdall-Apps

Eli kannattaa katsella niitä asetuksia, avasiko se itsensä suoraan ulkoverkkoon jne.
Tuossa saattaa olla perää. Lisäsin nimittäin silloin illalla testatessani tuohon Heimdaliin Home Assistant "appsin" vai miksi niitä nyt kutsutaan. Ja tuossa koodissa näyttäisi olevan jotain tuohon kirjautumiseen liittyvää kuten esim. maininta tuosta api :sta sekä GuzzleHttp :stä. En nyt koodista paljoa ymmärtänyt mutta nuo näytti tutulta :hmm:
 
Liittynyt
17.10.2016
Viestejä
3 453
Tarkastin, ei ole päällä.

Nmapilla ajoin toisesta liittymästä kaikki portit läpi ja tulos oli: "All 131070 scanned ports on xxxxx are in ignored states." Ilmeisesti kaikki siis tuon osalta kunnossa?


Tuossa saattaa olla perää. Lisäsin nimittäin silloin illalla testatessani tuohon Heimdaliin Home Assistant "appsin" vai miksi niitä nyt kutsutaan. Ja tuossa koodissa näyttäisi olevan jotain tuohon kirjautumiseen liittyvää kuten esim. maininta tuosta api :sta sekä GuzzleHttp :stä. En nyt koodista paljoa ymmärtänyt mutta nuo näytti tutulta :hmm:
Niin, ja sitten jos tuon käyttämäsi VPN:n endpoint on venäjällä niin se selittäisi tuon venäläisen IP-osoitteenkin. Ei kyllä hirveästi ainakaan itsessäni herättäisi luottamusta jos noin on.
 
Liittynyt
07.03.2022
Viestejä
9
Niin, ja sitten jos tuon käyttämäsi VPN:n endpoint on venäjällä niin se selittäisi tuon venäläisen IP-osoitteenkin. Ei kyllä hirveästi ainakaan itsessäni herättäisi luottamusta jos noin on.
En nyt tiedä onko Tailscale vpn perinteisessä merkityksessä mutta tällä sivulla puhutaan DERP palvelimista: Now with more DERP
Ei näyttäisi olevan venäjällä derppejä..
 
Liittynyt
27.12.2018
Viestejä
1 988
Käsittääkseni Tailscale on joku Wireguardin päälle rakennettu tekele
Mikään asiallinen palomuuri ei salli Tailscalen toimintaa ilman jatkuvaa DERP:in (relayn) kautta kommunikointia. Eli silloin palomuurissa ylläpidetään reikää, ja relay-operaattorilla on suora hyökkäysväylä molempiin client-laitteisiin, ja sitä kautta niiden verkkohin.
 
Liittynyt
26.10.2016
Viestejä
90
Helpostihan tuota pystyy uudelleen laittamaan tuon Heimdalin pystyyn kuten viimeksi ja kattoo onko samankaltaista toimintaa samasta tai jostain muusta IPstä.
 
Liittynyt
07.03.2022
Viestejä
9
Mikään asiallinen palomuuri ei salli Tailscalen toimintaa ilman jatkuvaa DERP:in (relayn) kautta kommunikointia. Eli silloin palomuurissa ylläpidetään reikää, ja relay-operaattorilla on suora hyökkäysväylä molempiin client-laitteisiin, ja sitä kautta niiden verkkohin.
Tästä voisi päätellä ettet pidä Tailscalea kovinkaan turvallisena käyttää :hmm:?

Helpostihan tuota pystyy uudelleen laittamaan tuon Heimdalin pystyyn kuten viimeksi ja kattoo onko samankaltaista toimintaa samasta tai jostain muusta IPstä.
Joo voisi kokeilla toistaa homma uudelleen.
 
Liittynyt
27.12.2018
Viestejä
1 988
Tästä voisi päätellä ettet pidä Tailscalea kovinkaan turvallisena käyttää :hmm:?
En todellakaan, sikäli kun se on root cause tuohon kirjautumisyritykseen venäläisestä ip:stä.

Näin ulkopuoisena on tietysti niin hatara käsitys mitä verkossasi olet tekemässä, että voihan se root cause olla joku muukin
 
Toggle Sidebar

Statistiikka

Viestiketjut
185 335
Viestejä
3 380 266
Jäsenet
60 508
Uusin jäsen
Yoch

Hinta.fi

Ylös Bottom