Outo kirjautumisyritys Home Assistantiin

[makeap]

Moi. Mulla on pyörinyt Home Assistant -ohjelmisto (dockerissa) jo useamman vuoden ilman ongelmia. Tänä aamuna huomasin että yöllä oli tapahtunut kirjautumisyritys joka oli blokattu:

Logger: homeassistant.components.http.ban
Source: components/http/ban.py:84
Integration: HTTP (documentation, issues)
First occurred: 28. syyskuuta 2022 klo 23.08.47 (1 occurrences)
Last logged: 28. syyskuuta 2022 klo 23.08.47
Login attempt or request with invalid authentication from n178-18-0-h1.smr-jtc.metromax.ru (178.18.0.1). Requested URL: '/api/'. (GuzzleHttp/7)

Näyttää aika huolestuttavalta Onko tuo ihan "oikea" kirjautumisyritys vai jotain muuta?

Herätti huomitota tuo /api -kohta. Kokeilin itse kirjautua väärillä tunnuksilla ja silloin ilmoituksessa ei ollut tuota /api kohtaa vaan jotain /login tekstiä ja tietty oma ip -osoite.
Reitittimessä ei ole portteja auki. Käytössä on Tailscale -palvelu jonka kautta pääsen Home Assistantiin kotiverkon ulkopuolelta.

Itsellä ei ole kovin hyvä ymmärrys näistä verkkoasioista joten osaisiko joku kertoa mistähän tässä voisi olla kysymys ja voisiko asiaa jotenkin selvittää lisää?
Samaan aikaan kun tuo kirjautumisyritys oli tapahtunut testailin dockerissa linuxserver.io/heimdall dashboardia.. Voisikohan tällä olla jotain tekemistä asian kanssa?

 

[Hyrava]

Moi. Mulla on pyörinyt Home Assistant -ohjelmisto (dockerissa) jo useamman vuoden ilman ongelmia. Tänä aamuna huomasin että yöllä oli tapahtunut kirjautumisyritys joka oli blokattu:

Logger: homeassistant.components.http.ban
Source: components/http/ban.py:84
Integration: HTTP (documentation, issues)
First occurred: 28. syyskuuta 2022 klo 23.08.47 (1 occurrences)
Last logged: 28. syyskuuta 2022 klo 23.08.47
Login attempt or request with invalid authentication from n178-18-0-h1.smr-jtc.metromax.ru (178.18.0.1). Requested URL: '/api/'. (GuzzleHttp/7)

Näyttää aika huolestuttavalta Onko tuo ihan "oikea" kirjautumisyritys vai jotain muuta?

Herätti huomitota tuo /api -kohta. Kokeilin itse kirjautua väärillä tunnuksilla ja silloin ilmoituksessa ei ollut tuota /api kohtaa vaan jotain /login tekstiä ja tietty oma ip -osoite.
Reitittimessä ei ole portteja auki. Käytössä on Tailscale -palvelu jonka kautta pääsen Home Assistantiin kotiverkon ulkopuolelta.

Itsellä ei ole kovin hyvä ymmärrys näistä verkkoasioista joten osaisiko joku kertoa mistähän tässä voisi olla kysymys ja voisiko asiaa jotenkin selvittää lisää?
Samaan aikaan kun tuo kirjautumisyritys oli tapahtunut testailin dockerissa linuxserver.io/heimdall dashboardia.. Voisikohan tällä olla jotain tekemistä asian kanssa?

Ei tuo ainakaan yhtäkkiä hyvältä näytä. Ei kai sinulla ole HomeAssistantiin internetistä pääsyä (ilman VPN:ää tms)?

edit:
Tuo GuzzleHttp vielä viittaa johonkin PHP-pohjaiseen skriptiin eli en ollenkaan olisi yllättynyt että tuo olisi ihan oikea hakkerointiyritys.

 

[mikajh]

Reitittimessä ei ole portteja auki. Käytössä on Tailscale -palvelu

Joku aloitteleva hakkeri ilmeisesti 178.18.0.1 | Region Svyaz Konsalt LLC | AbuseIPDB

Kannattaa nyt hakkeroida itesensä ja etsiä ne avoimet portit. Myöskin Tailscalen tyyppisiin palveluihin sisältyy isoja riskejä ja joskus ne realisoituvat

 

[makeap]

Kiitos vastauksista. Pääsy Home Assistantiin netin kautta on toteutettu Tailscalen kautta. Ja itse asiassa otin sen käyttöön vasta muutama viikko sitten. Olisiko se sitten ollut reitti mistä pääsi kokeilemaan kirjautumista..? Lueskelin kyllä tuosta Tailscalesta ja vaikutti turvalliselta mutta kuten sanoin en oikein ole verkkoasioissa mestari.

Miten tuo itsensä hakkerointi olisi parasta tehdä? Riittääkö jos nmap:lla pommittaa omaa ip:tä toisen nettiyhteyden kautta ja katsoo löytyykö avoimia portteja? Ja jos tuo on hyvä idea niin millaisilla nmapin asetuksilla? Siinäkin näkyy noita vaihtoehtoja riittävän..

 

[Hyrava]

Kiitos vastauksista. Pääsy Home Assistantiin netin kautta on toteutettu Tailscalen kautta. Ja itse asiassa otin sen käyttöön vasta muutama viikko sitten. Olisiko se sitten ollut reitti mistä pääsi kokeilemaan kirjautumista..? Lueskelin kyllä tuosta Tailscalesta ja vaikutti turvalliselta mutta kuten sanoin en oikein ole verkkoasioissa mestari.

Miten tuo itsensä hakkerointi olisi parasta tehdä? Riittääkö jos nmap:lla pommittaa omaa ip:tä toisen nettiyhteyden kautta ja katsoo löytyykö avoimia portteja? Ja jos tuo on hyvä idea niin millaisilla nmapin asetuksilla? Siinäkin näkyy noita vaihtoehtoja riittävän..

Kaikenlaisia porttiskannereita on ihan netissäkin joilla voi skannailla oman liittymän avoimia portteja, niillä varmaan voi lähteä liikkeelle. Tietty jos nmapin käytöstä on kokemusta niin silläkin voi koittaa ulkoverkosta skannailla, on tosiaan aika paljon parametreja ja vähän tapauksesta riippuen saa eri tavalla skannailtua. Lähinnä kannattaa ensimmäisenä koittaa selvittää onko tuo HA:n portti auki ulkomaailmaan vai onko tuo yritys tullut jotenkin muuten sisään.

 

[Jondeli]

Eiköhän tuo liity tuohon Heimdall kokeiluun. Heimdall-Apps/HomeAssistant.php at master · linuxserver/Heimdall-Apps

Eli kannattaa katsella niitä asetuksia, avasiko se itsensä suoraan ulkoverkkoon jne.

Spoileri: Koodia Githubista

    function __construct()
    {
        //$this->jar = new \GuzzleHttp\Cookie\CookieJar; // Uncomment if cookies need to be set
    }

    public function test()
    {
        $attrs = [
            "headers" => [
                "Accept" => "application/json",
                "Authorization" => "Bearer " . $this->config->token,
            ],
        ];

        $test = parent::appTest($this->url("api/"), $attrs);
        echo $test->status;
    }

 

[mikajh]

Palomuurissa lienee myös UPnP päällä, että jokaisen laitteen epämääräiset sovellukset pääsevät availemaan kätevästi omat reikänsä

 

[makeap]

Palomuurissa lienee myös UPnP päällä, että jokaisen laitteen epämääräiset sovellukset pääsevät availemaan kätevästi omat reikänsä

Tarkastin, ei ole päällä.

Nmapilla ajoin toisesta liittymästä kaikki portit läpi ja tulos oli: "All 131070 scanned ports on xxxxx are in ignored states." Ilmeisesti kaikki siis tuon osalta kunnossa?

Eiköhän tuo liity tuohon Heimdall kokeiluun. Heimdall-Apps/HomeAssistant.php at master · linuxserver/Heimdall-Apps

Eli kannattaa katsella niitä asetuksia, avasiko se itsensä suoraan ulkoverkkoon jne.

Tuossa saattaa olla perää. Lisäsin nimittäin silloin illalla testatessani tuohon Heimdaliin Home Assistant "appsin" vai miksi niitä nyt kutsutaan. Ja tuossa koodissa näyttäisi olevan jotain tuohon kirjautumiseen liittyvää kuten esim. maininta tuosta api :sta sekä GuzzleHttp :stä. En nyt koodista paljoa ymmärtänyt mutta nuo näytti tutulta

 

[Hyrava]

Tarkastin, ei ole päällä.

Nmapilla ajoin toisesta liittymästä kaikki portit läpi ja tulos oli: "All 131070 scanned ports on xxxxx are in ignored states." Ilmeisesti kaikki siis tuon osalta kunnossa?


Tuossa saattaa olla perää. Lisäsin nimittäin silloin illalla testatessani tuohon Heimdaliin Home Assistant "appsin" vai miksi niitä nyt kutsutaan. Ja tuossa koodissa näyttäisi olevan jotain tuohon kirjautumiseen liittyvää kuten esim. maininta tuosta api :sta sekä GuzzleHttp :stä. En nyt koodista paljoa ymmärtänyt mutta nuo näytti tutulta

Niin, ja sitten jos tuon käyttämäsi VPN:n endpoint on venäjällä niin se selittäisi tuon venäläisen IP-osoitteenkin. Ei kyllä hirveästi ainakaan itsessäni herättäisi luottamusta jos noin on.

 

[makeap]

Niin, ja sitten jos tuon käyttämäsi VPN:n endpoint on venäjällä niin se selittäisi tuon venäläisen IP-osoitteenkin. Ei kyllä hirveästi ainakaan itsessäni herättäisi luottamusta jos noin on.

En nyt tiedä onko Tailscale vpn perinteisessä merkityksessä mutta tällä sivulla puhutaan DERP palvelimista: Now with more DERP
Ei näyttäisi olevan venäjällä derppejä..

 

[Hyrava]

En nyt tiedä onko Tailscale vpn perinteisessä merkityksessä mutta tällä sivulla puhutaan DERP palvelimista: Now with more DERP
Ei näyttäisi olevan venäjällä derppejä..

Käsittääkseni Tailscale on joku Wireguardin päälle rakennettu tekele ja Wireguard taas on VPN.

 

[mikajh]

Käsittääkseni Tailscale on joku Wireguardin päälle rakennettu tekele

Mikään asiallinen palomuuri ei salli Tailscalen toimintaa ilman jatkuvaa DERP:in (relayn) kautta kommunikointia. Eli silloin palomuurissa ylläpidetään reikää, ja relay-operaattorilla on suora hyökkäysväylä molempiin client-laitteisiin, ja sitä kautta niiden verkkohin.

 

[Jondeli]

Helpostihan tuota pystyy uudelleen laittamaan tuon Heimdalin pystyyn kuten viimeksi ja kattoo onko samankaltaista toimintaa samasta tai jostain muusta IPstä.

 

[makeap]

Mikään asiallinen palomuuri ei salli Tailscalen toimintaa ilman jatkuvaa DERP:in (relayn) kautta kommunikointia. Eli silloin palomuurissa ylläpidetään reikää, ja relay-operaattorilla on suora hyökkäysväylä molempiin client-laitteisiin, ja sitä kautta niiden verkkohin.

Tästä voisi päätellä ettet pidä Tailscalea kovinkaan turvallisena käyttää ?

Helpostihan tuota pystyy uudelleen laittamaan tuon Heimdalin pystyyn kuten viimeksi ja kattoo onko samankaltaista toimintaa samasta tai jostain muusta IPstä.

Joo voisi kokeilla toistaa homma uudelleen.

 

[mikajh]

Tästä voisi päätellä ettet pidä Tailscalea kovinkaan turvallisena käyttää ?

En todellakaan, sikäli kun se on root cause tuohon kirjautumisyritykseen venäläisestä ip:stä.

Näin ulkopuoisena on tietysti niin hatara käsitys mitä verkossasi olet tekemässä, että voihan se root cause olla joku muukin