Kodi hacked

  • Heute hat mich mein Sohn angerufen, mit dem Hinweis, dass sein XBMC seit 2 Tagen recht langsam wäre - und mit dem Wunsch, mal online nachzuschauen, was da los ist.
    Ok, Konsole an und los.

    • top: Prozessorauslastung ca. 190-200% (Celeron), Verursacher: xmrd - ein Daemon
    • uptime: > 6, kein Wunder, wenns ruckelt


    Jetzt wird's interessant:
    neue Dateien im home-Verzeichnis, natürlich alle ausführbar - etwas googlen offenbart, wofür die gut sind ;) :

    • vyattad
    • pty
    • udevd


    zusätzlich 2 Textdateien:


    Interessante Sachen finden sich dann noch unter /tmp, darunter besagtes xrnd, welches scheinbar zyklisch mit einem
    Key gestartet wird:

    Code
    ps -ef | grep xmrd
    xbmc     12370     1 99 19:15 ?        00:00:01 /tmp/xmrd -c x -M stratum+tcp://45Fj1P2s9LiVEVoW4p81cSKP5og6GSF3m9YUQc51o6KzXw1ByufNoTa88NEWBeE7dtjRZRCDj3Ly4a95by6sfzP3UmX3741.x@xmr-eu.dwarfpool.com:8005:8050:8080:8100/xmr

    Interessant, oder?

    AZi (DEV): Nexus auf LibreElec | Asrock J4205 | 4 GB RAM | 128 GB Sandisk| Rii mini
    DEV: PC Ubuntu 20.04 | Matrix
    AZi: Tanix TX3 | Android/CoreElec Dualboot (EMMC), Nexus
    WoZi: Nexus auf LibreElec | Asrock J4205 | 4GB RAM | 128 GB Sandisk SSD | Atric IR | URC7960

    NAS: unRaid, 3x6TB, 2x12TB | TV-Server: Futro S550 mit Hauppauge QuadHD DVB-C
    PayPal: paypal.me/pvdbj1

  • Sind dubiose Add-ons/Repos installiert?

    Nein. War meine erste Frage an Sohnemann ;) . Auch ein ls -l bringt nichts verdächtiges.

    AZi (DEV): Nexus auf LibreElec | Asrock J4205 | 4 GB RAM | 128 GB Sandisk| Rii mini
    DEV: PC Ubuntu 20.04 | Matrix
    AZi: Tanix TX3 | Android/CoreElec Dualboot (EMMC), Nexus
    WoZi: Nexus auf LibreElec | Asrock J4205 | 4GB RAM | 128 GB Sandisk SSD | Atric IR | URC7960

    NAS: unRaid, 3x6TB, 2x12TB | TV-Server: Futro S550 mit Hauppauge QuadHD DVB-C
    PayPal: paypal.me/pvdbj1

  • Im Home-Verzeichnis liegen noch ein paar interessante html's, die mehrfach runtergeladen/erzeugt wurden (allerdings fast zum gleichen Zeitpunkt):

    AZi (DEV): Nexus auf LibreElec | Asrock J4205 | 4 GB RAM | 128 GB Sandisk| Rii mini
    DEV: PC Ubuntu 20.04 | Matrix
    AZi: Tanix TX3 | Android/CoreElec Dualboot (EMMC), Nexus
    WoZi: Nexus auf LibreElec | Asrock J4205 | 4GB RAM | 128 GB Sandisk SSD | Atric IR | URC7960

    NAS: unRaid, 3x6TB, 2x12TB | TV-Server: Futro S550 mit Hauppauge QuadHD DVB-C
    PayPal: paypal.me/pvdbj1

  • Führt wohl am neu aufsetzen nichts vorbei. Spam/fishing Schleuder auch noch.

    Sehe ich auch so.


    Hast Du zu besagter Zeit mal ins auth.[definition='1','0']log[/definition] oder ähnliches geschaut

    Nein.

    AZi (DEV): Nexus auf LibreElec | Asrock J4205 | 4 GB RAM | 128 GB Sandisk| Rii mini
    DEV: PC Ubuntu 20.04 | Matrix
    AZi: Tanix TX3 | Android/CoreElec Dualboot (EMMC), Nexus
    WoZi: Nexus auf LibreElec | Asrock J4205 | 4GB RAM | 128 GB Sandisk SSD | Atric IR | URC7960

    NAS: unRaid, 3x6TB, 2x12TB | TV-Server: Futro S550 mit Hauppauge QuadHD DVB-C
    PayPal: paypal.me/pvdbj1

  • Nein, Kodi wird 'ganz normal' als Receiver/Mediacenter genutzt. Ich vermute einen Portscan auf die 22 und ein erfolgreiches Login. Der Schaden hält sich ja in Grenzen, da offensichtlich andere Ziele verfolgt wurden (Botnetz/Spamnetz). Im /tmp befinden sich zudem noch eine user.txt und passwd.txt mit den gängigsten Einträgen (findet man aber auch im Netz). Wenn ich wieder Zugriff auf die Maschine habe, werde ich sie mal hier posten. Für den einen oder anderen sicherlich interessant ;)

    Schlimmer wäre es bei einem gezielten Angriff auf das System/Kodi gekommen. Wie war das mit den gespeicherten Zugangsdaten in den Addons? ;)
    Plugin automatisch nachladen?

    AZi (DEV): Nexus auf LibreElec | Asrock J4205 | 4 GB RAM | 128 GB Sandisk| Rii mini
    DEV: PC Ubuntu 20.04 | Matrix
    AZi: Tanix TX3 | Android/CoreElec Dualboot (EMMC), Nexus
    WoZi: Nexus auf LibreElec | Asrock J4205 | 4GB RAM | 128 GB Sandisk SSD | Atric IR | URC7960

    NAS: unRaid, 3x6TB, 2x12TB | TV-Server: Futro S550 mit Hauppauge QuadHD DVB-C
    PayPal: paypal.me/pvdbj1

  • sofern der SSH Dienst nach außen offen ist und ein Standardpasswort verwendet wird ist es kein richtiger Hack. Hier ist es dann eher Sorglosigkeit.
    Es stellt kein Problem dar SSH nur für einen bestimmten Nutzer zu verwenden (der nur SSH darf und sonst keine Rechte hat) und für alle anderen SSH zu verbieten. Andere Aktionen können innerhalb der Session dann per su ausgeführt werden. Für den SSH Nutzer kann dann auch ein vernünftiges Passwort vergeben werden und evtl. zusätzlich sowas wie fail2ban nachinstalliert werden.

    Sofern du in den Plugins Logindaten hinterlegt hast die Geld kosten (z.b. Amazon), würde ich da auch das Passwort ändern

    Haupsysteme: Server: Asrock N3160ITX, Ubuntu 24.04, TvH /// DVBSky 952 /// Wohnzimmer: Nvidia Shield Pro 2019
    Nebensysteme 1: Telestar Digibit R1 mit sat-axe25 /// Wohnzimmer: Asrock N3700, Libreelec 12 /// TvH @RPI4 Server /// Gästezimmer: Corelec 2 Tanix TX3
    Nebensysteme 2: Server: Asrock N3455M, OpenMediaVault7, TvH, Telestar Digibit R1 /// 4 Clients: Coreelec S905X

  • sofern der SSH Dienst nach außen offen ist und ein Standardpasswort verwendet wird ist es kein richtiger Hack. Hier ist es dann eher Sorglosigkeit.

    Da gebe ich Dir vollkommen Recht :) .

    AZi (DEV): Nexus auf LibreElec | Asrock J4205 | 4 GB RAM | 128 GB Sandisk| Rii mini
    DEV: PC Ubuntu 20.04 | Matrix
    AZi: Tanix TX3 | Android/CoreElec Dualboot (EMMC), Nexus
    WoZi: Nexus auf LibreElec | Asrock J4205 | 4GB RAM | 128 GB Sandisk SSD | Atric IR | URC7960

    NAS: unRaid, 3x6TB, 2x12TB | TV-Server: Futro S550 mit Hauppauge QuadHD DVB-C
    PayPal: paypal.me/pvdbj1

  • Port 22 geht durch die Portweiterleitung ans Gerät - Fernwartung per SSH halt in Verbindung mit ungenügender Absicherung.

    AZi (DEV): Nexus auf LibreElec | Asrock J4205 | 4 GB RAM | 128 GB Sandisk| Rii mini
    DEV: PC Ubuntu 20.04 | Matrix
    AZi: Tanix TX3 | Android/CoreElec Dualboot (EMMC), Nexus
    WoZi: Nexus auf LibreElec | Asrock J4205 | 4GB RAM | 128 GB Sandisk SSD | Atric IR | URC7960

    NAS: unRaid, 3x6TB, 2x12TB | TV-Server: Futro S550 mit Hauppauge QuadHD DVB-C
    PayPal: paypal.me/pvdbj1

  • Kann dafür fail2ban sehr empfehlen. Dieses Tool bannt ips nach x erfolglosen Logins innerhalb y Zeit

    Ich hatte mir ein Script geschrieben, was mich per PushBullet auf dem Smartphone benachrichtigt, wenn sich per SSH eingelogt wurde.
    Das ist auch hilfreich,

  • Ist das irgendein *Elec oder was heißt standard Password?

    Das ist ein 14.04 Kodibuntu, damals hat man der Einfachheit halber xbmc/xbmc verwendet und in der Regel nicht abgeändert. Soweit das Ding abgeschottet im Heimnetz steht, passiert ja auch nichts.

    War denn der Webserver nun eigentlich auch von aussen erreichbar?

    Ich komme zur Zeit nicht drauf, da das Teil aus ist und 30km weit weg steht.

    AZi (DEV): Nexus auf LibreElec | Asrock J4205 | 4 GB RAM | 128 GB Sandisk| Rii mini
    DEV: PC Ubuntu 20.04 | Matrix
    AZi: Tanix TX3 | Android/CoreElec Dualboot (EMMC), Nexus
    WoZi: Nexus auf LibreElec | Asrock J4205 | 4GB RAM | 128 GB Sandisk SSD | Atric IR | URC7960

    NAS: unRaid, 3x6TB, 2x12TB | TV-Server: Futro S550 mit Hauppauge QuadHD DVB-C
    PayPal: paypal.me/pvdbj1

  • Ich hatte mir ein Script geschrieben, was mich per PushBullet auf dem Smartphone benachrichtigt, wenn sich per SSH eingelogt wurde.Das ist auch hilfreich,

    Hast du das Skript vielleicht irgendwo noch rumliegen? Fänd ich für meinen Seafile-Server eigentlich doch sehr sehr praktisch, würde mich jedenfalls beruhigen.

  • Port 22 geht durch die Portweiterleitung ans Gerät - Fernwartung per SSH halt in Verbindung mit ungenügender Absicherung.

    Däng....

    Das ist natürlich, wenn Standardmäßig offen und immer noch XBMC/XBMC als User/Passwort vergeben war ein Eigentor ;)

    Sorry, wenn man es so hart sagen muss.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!