wurde ich gehackt?

[smith007]

Ok wurde die Anlage von dir damals in Betrieb genommen oder war das jemand anderes?
Wurden Passwörter geändert und wurde da auch ein Fernzugang eingerichtet?
Wurden die überhaupt mal geändert?

Ich kenne jetzt die Hikvison-Cams und das NVR nicht was Bedienung etc. angeht.
Von daher kann ich dir auch nur Tips zu den Grundlagen auf netzwerktechnischer Ebene geben.
Ich denke du hast die Cam via Wlan am NVR richtig?

Man kann jetzt schlecht abschätzen was da kompromittiert wurde.
Ich gehe mal von beiden Geräten aus.

Ich hab mir eben mal auf die Schnelle das Manual angesehen.
Es scheint als wenn da jemand den Text-Overlay benutzt hat um dir diese Nachricht zu senden.

Was aber erstmal anzuraten ist das du das Teil vom Netzwerk nimmst.
So hat die Cam und das NVR keine Verbindung mehr zum Internet.
Sofern die CAM aktuell kritische Bereiche beobachtet abdecken sonst bist du grade
irgendwo in einer Live-Show in Sibiren.

Am schnellsten realisierst du das in dem du die Geräte in ein Subnetz legst mit einer statischen Adresse.
Ich weiß jetzt nicht wie fit du in der Netzwerktechnik bist ansonsten hole dir hier jemanden der sich damit auskennt.
Bis dahin zieh den Netzwerkstecker oder schalte das Gerät aus.


Falls du ein wenig Kenntnisse in der Netzwerktechnik besitzt und verstehst was ich hier schreibe solltest du folgendes machen.

Ich gehe auch mal stark davon aus das das NVR seine IP Adresse via DHCP bekommt.
Ausgehend davon, dass du z.B. eine Fritzbox hast befindest du dich sicher im 192.168.178.x/24 Netz
Wir wollen nun das NVR in den 192.168.1.x/24 Bereich legen.
Hier gibst du deinem Rechner eine zusätzliche Ip4 Adresse in dem Bereich.
Beispiel: 192.168.1.100 mit Subnetzmaske 255.255.255.0
Somit ist dein Rechner nun in 2 Subnetzten vertreten.
Nun gibst du der NVR eine statische Adresse und zwar die 192.168.1.1 mit Subnetzmaske 255.255.255.0
DNS und Gateway bleiben leer. Sofern das Pflichtfelder sind, nimm hier 192.168.1.200
Dann laufen die ins Leere und können zumindest nichts mehr anrichten um ins Internet zukommen.

Nach dem das gemacht ist solltest du nun wieder Zugriff auf die NVR über die 192.168.1.1 bekommen.
Da die aber in einem Subnetz liegt und die Fritz diesen Bereich nicht kontrolliert sollte aus dem Netz
keine Verbindung mehr in das Internet möglich sein für die NVR.

Sofern es eine Fritzbox ist deaktiviere auch UpnP das ist das größte Sicherheitsrisiko schlecht hin.
Darüber können u.U. Geräte den Router selber konfigurieren und Portweiterleitungen einrichten.
Dann hätten wir dasselbe Problem trotz Subnetz im Worst Case wieder.
Hier auch unbedingt den Router anschauen was da eingerichtet wurde.
Alle Portweiterleitungen in das interne Netz deaktivieren.
Wenn Zugriffe von außen sein müssen dann macht man das nur via VPN.
Schau dir bitte auch mal die Logs an und versuche zu mal den Ablauf und den Zeitpunkt zu ermitteln
ob da nicht schon länger was im argen war. Speichere sie notfalls für spätere Analysen ab.

Das bedeutet jetzt aber nicht das wir schon fertig sind.
Das System ist immerhin kompromittiert und wer weiß was da noch alles gemacht wurde.

Empfehlen würde ich zu schauen ob es ob es eine neue Firmware gibt.
Diese ggf. Aufspielen und Sicherheitsmaßnahmen beachten.
Firmware flashen kann u.U. eine heikle Sache sein und im Worst Case hast du einen schönen Briefbeschwerer.

Nun muss das Gerät auf Werkseinstellungen zurückgesetzt werden und zwar beides Cam wie auch das NVR.
Hier kann es sein das das Gerät wieder in den DHCP Modus geht und eine IP Adresse beziehen will.
In dem Fall wird es sicher wieder die alte IP sein. Hier dann wie oben schon beschrieben die Geräte wieder
in das 192.168.1.x/24 Subnetz legen.

Danach neu Konfigurieren und schauen was da alles per Default schon aktiv ist was du nicht brauchst wird abgeschaltet.
und ganz wichtig Passwörter ändern und zwar alle!
Kein 1234test oder son Kram. Sei kreativ.
Das heißt aber auch nicht das hier u.U. eine andere Sicherheitslücke ausgenutzt wurde.
Von daher sagte ich auch schau nach ob es da Updates gab.

Das sind u.a. UpnP, DDns, HIk-Connect, PPPoE, Cloud etc... offline setzen.
Du nutzt das Teil ja nur sicher intern oder?

Und wenn du unbedingt einen Zugriff von außen brauchst dann geht das nur via VPN.
Wenn es hier eine APP gibt die via Hi-Connect arbeitet dann vergiss die.
Denn hier muss du wieder eine Internetverbindung herstellen und das Ganze geht alles schön via Fernost
und wie du siehst nicht unbedingt frei von Angriffen.

Ok ist jetzt ne Menge geschrieben aber für den Anfang schon mal ein Schritt weg vom Internet.
Bevor gar nichts passiert sicher ein Anfang.

Gruß Christian