+- Alarmanlagen-Forum - Alarmforum - Fachforum für Sicherheitstechnik (https://www.alarmforum.de)
+-- Forum: Einbruchmeldesysteme nach Hersteller (/forumdisplay.php?fid=97)
+--- Forum: wenn es nicht passt / andere Hersteller (/forumdisplay.php?fid=89)
+--- Thema: wurde ich gehackt? (/showthread.php?tid=13309)
wurde ich gehackt? - hihosilver - 13-02-2018 08:35
Ich finde leider nichts in der suche. Aber seit heute steht bei meinem Kamera Bild folgendes. Danya Pidor und Gosya molodec i hacker. Wisst ihr ob ich da jetzt ein Problem habe. Ich kann leider den Screenshot als Foto nicht einfügen. Vielleicht kann mir bitte jemand helfen. Danke Florian
RE: wurde ich gehackt? - evertech - 13-02-2018 09:25
Dem Text nach von zwei Russen.
Da warn wir wahrscheinlich wieder irgendwo nachlässig bei den Passwörtern.
RE: wurde ich gehackt? - hihosilver - 13-02-2018 09:55
Es sind lan Kameras, nicht im wlan. Anscheinend ist eine von 3 Kameras betroffen betroffen.
RE: wurde ich gehackt? - evertech - 13-02-2018 10:42
Und die Lan Cam darf nicht gehackt werden?
Wenn die nicht in einem isolierten Netzwerk läuft dann ist sie von aussen erreichbar und daher fällig. Es geht natürlich genau so über deinen WLan AP um in dein Heimnetzwerk zu gelangen und dann die Cam zu erreichen.
RE: wurde ich gehackt? - timbaum - 13-02-2018 11:16
Hallo,
(13-02-2018 10:42)evertech schrieb: Und die Lan Cam darf nicht gehackt werden?
Wenn das so einfach wäre.
Viele modernen Kameras und Recorder besitzen eine P2P Funktion und bei den meisten ist diese NICHT abgeschalten oder kann nicht abgeschaltet werden. Dadurch ist eine solche Kamera immer von Aussen erreichbar, da keine Portfreigabe erfolgen muss.
Über Scanner werden die Standardport eines Internetanschluss abgefragt und wenn sich dort ein Gerät meldet werden die Standardpassworte versucht.
Da 95% alle Benutzer den Port und die meisten auch das Passwort nicht ändern werden die "Hacker" halt fündig.
Da in einigen Routinen der Netzwerkprodukte Fehler sind, können Programme in die meist Linux basierten Geräte eingespeist werden. Ich habe schon Netzwerkrecorder gesehen, die als Spammaschine programmiert waren.
Gruß Tim
RE: wurde ich gehackt? - evertech - 13-02-2018 12:40
@timbaum
Genau so ist es. Darum nagelt man heute auch mit einer Firewall in beide Richtungen alles zu und gibt nur V-Lan sortiert und Gerätespezifisch frei. Sonst bist gleich mal Stargast bei Insecam
Ein Zugriff von Aussen auf sein eigenes Netzwerk stellt man generell NUR per VPN her. Alles Andere ist Datenexhibitionismus oder St*a*si auf freiwilliger Basis.
RE: wurde ich gehackt? - smith007 - 13-02-2018 18:33
Wäre jetzt auch mal interessant zu wissen, um welches Kameramodell es sich nun handelt.
Sieht auf jeden Fall so aus, als wenn du da aktuell ein großes Problem hast.
RE: wurde ich gehackt? - hihosilver - 13-02-2018 19:18
Die Kameras sind Hikvision DS-2CD2342WD und das Aufzeichnungsgerät heißt Hikvision DS-7600.
RE: wurde ich gehackt? - smith007 - 13-02-2018 21:56
Ok wurde die Anlage von dir damals in Betrieb genommen oder war das jemand anderes?
Wurden Passwörter geändert und wurde da auch ein Fernzugang eingerichtet?
Wurden die überhaupt mal geändert?
Ich kenne jetzt die Hikvison-Cams und das NVR nicht was Bedienung etc. angeht.
Von daher kann ich dir auch nur Tips zu den Grundlagen auf netzwerktechnischer Ebene geben.
Ich denke du hast die Cam via Wlan am NVR richtig?
Man kann jetzt schlecht abschätzen was da kompromittiert wurde.
Ich gehe mal von beiden Geräten aus.
Ich hab mir eben mal auf die Schnelle das Manual angesehen.
Es scheint als wenn da jemand den Text-Overlay benutzt hat um dir diese Nachricht zu senden.
Was aber erstmal anzuraten ist das du das Teil vom Netzwerk nimmst.
So hat die Cam und das NVR keine Verbindung mehr zum Internet.
Sofern die CAM aktuell kritische Bereiche beobachtet abdecken sonst bist du grade
irgendwo in einer Live-Show in Sibiren.
Am schnellsten realisierst du das in dem du die Geräte in ein Subnetz legst mit einer statischen Adresse.
Ich weiß jetzt nicht wie fit du in der Netzwerktechnik bist ansonsten hole dir hier jemanden der sich damit auskennt.
Bis dahin zieh den Netzwerkstecker oder schalte das Gerät aus.
Falls du ein wenig Kenntnisse in der Netzwerktechnik besitzt und verstehst was ich hier schreibe solltest du folgendes machen.
Ich gehe auch mal stark davon aus das das NVR seine IP Adresse via DHCP bekommt.
Ausgehend davon, dass du z.B. eine Fritzbox hast befindest du dich sicher im 192.168.178.x/24 Netz
Wir wollen nun das NVR in den 192.168.1.x/24 Bereich legen.
Hier gibst du deinem Rechner eine zusätzliche Ip4 Adresse in dem Bereich.
Beispiel: 192.168.1.100 mit Subnetzmaske 255.255.255.0
Somit ist dein Rechner nun in 2 Subnetzten vertreten.
Nun gibst du der NVR eine statische Adresse und zwar die 192.168.1.1 mit Subnetzmaske 255.255.255.0
DNS und Gateway bleiben leer. Sofern das Pflichtfelder sind, nimm hier 192.168.1.200
Dann laufen die ins Leere und können zumindest nichts mehr anrichten um ins Internet zukommen.
Nach dem das gemacht ist solltest du nun wieder Zugriff auf die NVR über die 192.168.1.1 bekommen.
Da die aber in einem Subnetz liegt und die Fritz diesen Bereich nicht kontrolliert sollte aus dem Netz
keine Verbindung mehr in das Internet möglich sein für die NVR.
Sofern es eine Fritzbox ist deaktiviere auch UpnP das ist das größte Sicherheitsrisiko schlecht hin.
Darüber können u.U. Geräte den Router selber konfigurieren und Portweiterleitungen einrichten.
Dann hätten wir dasselbe Problem trotz Subnetz im Worst Case wieder.
Hier auch unbedingt den Router anschauen was da eingerichtet wurde.
Alle Portweiterleitungen in das interne Netz deaktivieren.
Wenn Zugriffe von außen sein müssen dann macht man das nur via VPN.
Schau dir bitte auch mal die Logs an und versuche zu mal den Ablauf und den Zeitpunkt zu ermitteln
ob da nicht schon länger was im argen war. Speichere sie notfalls für spätere Analysen ab.
Das bedeutet jetzt aber nicht das wir schon fertig sind.
Das System ist immerhin kompromittiert und wer weiß was da noch alles gemacht wurde.
Empfehlen würde ich zu schauen ob es ob es eine neue Firmware gibt.
Diese ggf. Aufspielen und Sicherheitsmaßnahmen beachten.
Firmware flashen kann u.U. eine heikle Sache sein und im Worst Case hast du einen schönen Briefbeschwerer.
Nun muss das Gerät auf Werkseinstellungen zurückgesetzt werden und zwar beides Cam wie auch das NVR.
Hier kann es sein das das Gerät wieder in den DHCP Modus geht und eine IP Adresse beziehen will.
In dem Fall wird es sicher wieder die alte IP sein. Hier dann wie oben schon beschrieben die Geräte wieder
in das 192.168.1.x/24 Subnetz legen.
Danach neu Konfigurieren und schauen was da alles per Default schon aktiv ist was du nicht brauchst wird abgeschaltet.
und ganz wichtig Passwörter ändern und zwar alle!
Kein 1234test oder son Kram. Sei kreativ.
Das heißt aber auch nicht das hier u.U. eine andere Sicherheitslücke ausgenutzt wurde.
Von daher sagte ich auch schau nach ob es da Updates gab.
Das sind u.a. UpnP, DDns, HIk-Connect, PPPoE, Cloud etc... offline setzen.
Du nutzt das Teil ja nur sicher intern oder?
Und wenn du unbedingt einen Zugriff von außen brauchst dann geht das nur via VPN.
Wenn es hier eine APP gibt die via Hi-Connect arbeitet dann vergiss die.
Denn hier muss du wieder eine Internetverbindung herstellen und das Ganze geht alles schön via Fernost
und wie du siehst nicht unbedingt frei von Angriffen.
Ok ist jetzt ne Menge geschrieben aber für den Anfang schon mal ein Schritt weg vom Internet.
Bevor gar nichts passiert sicher ein Anfang.
Gruß Christian
RE: wurde ich gehackt? - evertech - 14-02-2018 09:03
Es bleibt nicht aus. Unter einer Hardware Firewall wie PF-Sense oder IP-Cop brauchst heute kein Netzwerk mehr betreiben. Der EBlocker ist auch ein nettes Gadget der einem zusätzlich die Frechheit so manche Appanbieter aufzeigt. Alle Gerätehersteller und Softwareanbieter haben irgendwo ihre Eigeninteressen und wenn nicht jetzt dann mal später. Somit ist heute leider jegliche Hard- und Software im Vorhinein als Spionageprodukt anzusehen das nur darauf wartet aktiviert zu werden. Hier sind die oftmalig pompösen Modemrouter der Netzwerkprovider nicht ausgenommen. Darum gehts nicht ohne unabhängige Hardware Firewall. Denn diese hat nur ein Interesse; Die Daten des Anwenders zu schützen.
Man wird in den Grundschulen demnächst rasch umdenken müssen und hier den Leuten im Pflichtfach Informatik die Grundlegensten Kenntnisse der Netzwerksicherung vermitteln müssen, ansonsten wird diese Volks(d)ümmliche Unwissenheit und Ignoranz dem Europäer zum Verhängnis werden.
Wenn die zuständigen Pädagogen hier nicht die Eigeninitiative ergreifen endet das in einer selbst finanzierten Volksversklavung durch Datenklau und 24/7 Überwachung.