Ich mach Pause von Kodi

    Moin Leute…

    ich habe heute voller erschrecken festgestellt, dass sich irgendwer fremdes Zugriff auf mindestens 1 S905 mit CoreElec verschafft hat, genauer bzw. aufgefallen ist es mir in der Weboberfläche von TVHeadend. Dort gab es bei CA einen Eintrag denn ich nicht gemacht hatte und ein Benutzer namens „markus“ war in TVH angelegt. Ich habe sofort reagiert und alle Passwörter geändert, den Standarduser von TVH gesperrt, Portfreigaben in der Fritte gelöscht und was weiß ich noch alles. Heute Morgen war der User wieder in TVH eingetragen. Auch SSH war wieder aktiviert, was ich immer aus hatte.
    Mir ist klar, dass es tausende Möglichkeiten gibt, wie das passiert sein kann und das soll auch kein Thema hier sein.
    allerdings habe ich jetzt alle Boxen vom Netz genommen und nutze sie zur Sicherheit nicht mehr, sondern nur noch schnöde und simple Receiver, bzw. im TV integrierte. Nix mehr was Linux basiert ist, bei dem sich fremde Leute offensichtlich besser auskennen als ich.

    P.S.: ich bleibe hier natürlich erhalten. ;)

    Pony

    TVServer: origenAE (S16V) als DVBViewer MediaServer
    SAT>IP Hardware: 3x Digibit Twin
    Clienten: 1x DuneHD, 2x KII Pro DVB-S2 (S905) (CE 9.2.8), 1x FireTV Stick 4K MAX, 1x OctagonSF8008 E2 Receiver (openATV)

    So ein Schei.. Gibt es keine Möglichkeit, herauszufinden, wer oder was das war?

    Spoiler anzeigen

    Client: Nvidia Shield 2019 Pro Kodi 20.1, AVR Sony STR-DN 1080, Nubert NuBox Series 5.1, LG TV 55SM8600 Nanocell
    Musik über Pi4 mit Picore 8 und LMS am AVR.
    Gästezimmer:Shield TV 2017 Kodi 20.1
    Server: unRaid; Fractal Des. Define 7;Asrock B365M PROF-4, Intel i3-8100, 16GB RAM und 20TB Platten,
    Arbeitstier: DeepSilence 4, AX370M, AMD Ryzen 5 2600X; 8GB RAM, Samsung M2 970EVO 500GB, RX560 Grafik

    Zitat von Ponyriemen

    Portfreigaben in der Fritte gelöscht und was weiß ich noch alles

    Klingt einfach nach wird schon gehen. Das ist genau der Grund warum es bei mir nur für Emby die Port-Freigabe gibt.
    Alles andere ist nur per Wireguard VPN erreichbar.

    Dann viel Erfolg beim Absichern.

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

    Ich habe vor ca. 2 - 3 Jahren durch Zufall festgestellt, das ein User von extern (IP aus NL) mit unterschiedlichen Usern versucht hat, sich an meiner Fritte anzumelden.
    Habe daraufhin den Zugriff von extern abgeschaltet und gewartet, bis meine Fritte eine neue öffentliche IP bekommen hatte.
    Danach Zugriff aus dem Internet wieder aktiviert.

    Ich kontrolliere aber seitdem zyklisch über das Ereignisprotokoll, ob Anmeldeversuche aus dem Internet erfolgen !

    -------------------------------
    PI2 1 GB, LE12.0.0 Kodi 21.0 Omega
    PI3 1 GB, LE12.0.1 Kodi 21.1 Omega
    PI4 4 GB, LE12.0.0 Kodi 21.0 Omega
    PI4 8 GB, LE12.0.0 Kodi 21.0 Omega
    Windows 10 + 11, Kodi 20.3 Nexus + Kodi 21.0 Omega + Kodi 21.1 Omega

    Zitat von Ponyriemen

    ich habe heute voller erschrecken festgestellt, dass sich irgendwer fremdes Zugriff auf mindestens 1 S905 mit CoreElec verschafft hat, genauer bzw. aufgefallen ist es mir in der Weboberfläche von TVHeadend

    Dafür sollte man halt folgendes wissen:

    • CoreELEC ist wie LibreELEC ein System welches, wenn es nicht geändert wurde, ein Standardpasswort für den Root-User hat. Bei LibreELEC ist es libreelec und bei CoreELEC wird es coreelec sein.
    • TVHeadend verwendet als Sicherung einzig und allein ein sogenanntes "Basic-Auth". Das ist auch nur so "semi-sicher", wenn der TVHeadend Server auf der gleichen Kiste läuft und sich jemand als "root" Zugriff verschafft hat.
    Zitat von Ponyriemen

    Portfreigaben in der Fritte gelösch

    Wer ein "ELEC"-System offen ans Netz hängt mit einer Freigabe von außen, der sollte auch einfach wissen, was er tut. Grundlegend hätte es gereicht die Portfreigaben abzuschalten. Denn ohne eine Weiterleitung an den Port über die Fritte kommt erstmal niemand an die Kiste dran.

    Das der Zugriff auch ohne SSH funktioniert hat, kann über den Webbrowser funktioniert haben. Dieser hat gewisse Lücken. Kodi ist auch kein System, welches auf Sicherheit ausgelegt ist. Das ist aber klar und an jeder Stelle offen kommuniziert. Ja, es gibt auch ein CVE dafür. Vielleicht hat auch TVH eine Lücke.

    Und nur weil du SSH über Kodi ausgeschaltet hast, kann er sich einen Cronjob eingerichtet haben, der SSH jede Nacht zu einer gewissen Uhrzeit wieder aktiviert. Solange die Freigaben noch aktiv waren, solange kann der Zugriff stattgefunden haben.

    Sollten die Freigaben nicht mehr aktiv gewesen sein, dann kann es nur jemand gemacht haben, der direkten Zugriff auf dein Netzwerk hatte. Da gilt es dann dein Netzwerk an allen möglichen Stellen zu kontrollieren, die einen Zugriff von außen ermöglichen (bei deiner Fritz!Box angefangen....weiter über dein WLAN bis hin zu IoT Geräten, die noch in deinem Netzwerk sind).

    Empfehlung:

    • WLAN-Passwort ändern
    • FritzBox Passwort ändern
    • EINFACH ALLE DEINE PASSWORT ÜBERALL ÄNDERN (Amazon, Sparkasse, Tinder, eBay, SMB-Shares.....egal was...ALLES ÄNDERN!!!!! und wo es geht 2FA aktivieren)

      • wer weiß, was derjenige noch alles in deinem Netzwerk gemacht hat. Er war root auf deiner Kiste und kann ggf unter CoreELEC alles mögliche angestellt haben.

    Das Basic-Auth von TVHeadend zu ändern, wenn jemand "root" auf der Kiste ist, machen heutzutage die Praktikanten, die sich für eine Fachinformatiker Ausbildung interessieren. Das kann mittlerweile jeder 14 jährige, der sich ein wenig mit der Materie auskennt. Ist nicht böse gemeint. Ich will nur sagen, dass "Basic-Auth" grundlegend nicht sicher ist, wenn jemand root-Zugriff auf die Maschine hat.

    Wenn du dir und deiner Familie (falls vorhanden) einen Gefallen tun möchtest, dann setzt du ALLES zurück, was du jemals angefasst hast und prüfst alles bis aufs Kleinste wo ein Zugriff stattgefunden haben kann.

    Tut mir leid für dich und den Ärger, den du damit hast....aber du bist faktisch "gehackt" worden und wenn jemand weiß, was er tut (also der Angreifer in dem Fall), dann wirst du ohne das Zurücksetzen aller deiner Geräte und dem Vergeben neuer Passwort und Sicherheitsmechanismen noch sehr lange damit ärger haben und im ungewissen Leben.

    Einmal editiert, zuletzt von DaVu (5. März 2023 um 17:20)

    Zitat von Ponyriemen

    Portfreigaben in der Fritte gelöscht und was weiß ich noch alles.

    Das ist schon mal richtig. Es fehlt noch das Wort "Alle" vor Portfreigaben. Vielleicht meintest du das auch. Konkret bei der Fritzbox kenne ich mich nicht aus, aber wenn unter "was weiß ich noch alles" auch VPN Zugang fällt, sollte dein LAN eigentlich nicht mehr von außen erreichbar sein.

    Wenn allerdings das

    Zitat von Ponyriemen

    Heute Morgen war der User wieder in TVH eingetragen. Auch SSH war wieder aktiviert, was ich immer aus hatte.

    passiert, wird es (nach meinem Verständnis) schwierig. Der fremde User könnte einen Dienst installiert haben, der nach draußen funkt - dafür braucht man keine Portfreigaben.

    Könnte auch über WLAN eingedrungen sein. Wenn mal jemand in deinem Netz war, ist das grundsätzlich erst Mal alles kompromittiert. Oft kann man WLAN-Passwörter irgendwo auslesen. Würde das auf jeden Fall auch wechseln. Und je nachdem wie du Online-Banking, andere Accounts, ... nutzt/sicherst noch viel mehr wechseln.

    Das soll jetzt bestimmt nicht Salz in Wunden streuen sein, eher Mahnung an andere "normale" Nutzer - wer sich nicht wirklich sehr gut auskennt, sollte sein LAN von außen nicht zugänglich machen. Per Default ist das normalerweise auch nicht der Fall.

    Hier in der Nerds-Community haben natürlich viele irgendwelche "Server" laufen. Sollte man am besten auch restriktiv konfigurieren. Siehe z.B.: Access configuration - Tvheadend Da kannst du auch Mal nachlesen, wie du Zugriff auf dein LAN beschränkst. (Wobei das ohne Portfreigaben eigentlich nicht notwendig ist. Security beruht halt oft auf doppeltem Boden.)

    Kodi 21.1, 17.6, 21.1, 16, 20.5 on Windows 11 Pro, Android 6, Android 12, FireTV Box 2nd Gen, FireTV 4k Max 2nd Gen
    Media on NAS, OpenMediaVault 6 (Debian Linux).

    Ob oder wieviel geaendert werden muss ist eine Frage der Analyse wie weit so ein Hack hat vordringen koennen. Das macht natuerlich Arbeit und die Software verstehen.

    Hat denn CoreElec/LibreElec per default sshd am laufen, so das man da einfach von aussen mit default passwort als root auf die Kiste kommt ? Das waere ja straeflich. Kann ich mir nicht vorstellen. Aka: was waere denn der einfachste Zugriffsvektor um root auf so einer Kiste zu werden ? Sind da http ports anfaellig fuer stack hacks, oder wie ?

    Meiner Meinung nach funktioniert sicherheit nicht, wenn das nur auf basis von "folgen sie allen empfehlungen, sie muessen nix verstehen" gehen soll. IMHO muss man schon die Angriffsvektoren verstehen.

    Zitat von te36

    Hat denn CoreElec/LibreElec per default sshd am laufen, so das man da einfach von aussen mit default passwort als root auf die Kiste kommt ? Das waere ja straeflich. Kann ich mir nicht vorstellen.

    Klingt komisch, ist aber so.

    AZi (DEV): Nexus auf LibreElec | Asrock J4205 | 4 GB RAM | 128 GB Sandisk| Rii mini
    DEV: PC Ubuntu 20.04 | Matrix
    AZi: Tanix TX3 | Android/CoreElec Dualboot (EMMC), Nexus
    WoZi: Nexus auf LibreElec | Asrock J4205 | 4GB RAM | 128 GB Sandisk SSD | Atric IR | URC7960
    NAS: unRaid, 3x6TB, 2x12TB | TV-Server: Futro S550 mit Hauppauge QuadHD DVB-C
    PayPal: paypal.me/pvdbj1

    man kann und sollte bei corelec dass Passwort ändern man wird auch darauf hingewiesen.

    Am besten derartigen Zugriff nur per wireguard zulassen und gar keinen Zugriff mittels Port freigaben.

    @Ponyriemen am besten die Core/libre boxen neumachen

    Haupsysteme: Server: Asrock N3160ITX, Ubuntu 24.04, TvH /// DVBSky 952 /// Wohnzimmer: Nvidia Shield Pro 2019
    Nebensysteme 1: Telestar Digibit R1 mit sat-axe25 /// Wohnzimmer: Asrock N3700, Libreelec 12 /// TvH @RPI4 Server /// Gästezimmer: Corelec 2 Tanix TX3
    Nebensysteme 2: Server: Asrock N3455M, OpenMediaVault7, TvH, Telestar Digibit R1 /// 4 Clients: Coreelec S905X

    Zitat von tavoc

    am besten die Core/libre boxen neumachen

    Würde ich ebenfalls empfehlen, wenn nämlich deine Änderungen wieder rückgängig gemacht wurden, ist zumindest diese Box kompromittiert - z.B. über ein Addon, Skript oder Service.

    AZi (DEV): Nexus auf LibreElec | Asrock J4205 | 4 GB RAM | 128 GB Sandisk| Rii mini
    DEV: PC Ubuntu 20.04 | Matrix
    AZi: Tanix TX3 | Android/CoreElec Dualboot (EMMC), Nexus
    WoZi: Nexus auf LibreElec | Asrock J4205 | 4GB RAM | 128 GB Sandisk SSD | Atric IR | URC7960
    NAS: unRaid, 3x6TB, 2x12TB | TV-Server: Futro S550 mit Hauppauge QuadHD DVB-C
    PayPal: paypal.me/pvdbj1

    Aua. Da ist dann aber das reinkommen so einfach, das da kein Richter einen Einbruch feststellen wuerde.
    Das ist wie eine nicht abgeschlossene Haustuer mit Aussenklinke.

    Da ist dann natuerlich ein trojaner z.b. in crontab oder anderswo leicht vorstellbar.

    Soweit aber alles nicht gross aufwendig zu korrigieren. Neu installieren, und dann vernuenftige Passwoerter setzen.

    Wo es schwieriger wird fuer mich, ist sich auszumalen, wie leicht es dann ist von der Kiste aus das LAN anzugreifen. Da muesste man sich in der ScriptKid Ecke auskennen, was es da so an leicht verfuegbaren tools gibt, z.b. programm was die direkt auf die CoreElec Kiste runterladen koennen und das dann das LAN ausforscht.

    LibreELEC hat SSH nicht per default eingeschaltet. Bei der Erstinstallation gibt es im Wizard eine Abfrage dazu. Per default ist SSH ausgeschaltet.

    Ebenso ist der Kodi Webserver zur Steuerung via HTTP ebenfalls nicht eingeschaltet. Auch dieser ist nach Installation deaktiviert.

    Bitte einfach mal selbst versuchen. Das Team ist sich der Problematik bewusst, kann aber nichts dafür wenn die Konsequenzen durch das aktivieren von SSH, dem einrichten von Port-Weiterleitungen und dem Unterlassen der Passwortänderung dem Anwender nicht bewusst sind

    Zitat von rolapp

    So weit ich mich erinnern kann muß man ssh wie auch samba bei der Erstinstallation aktivieren

    Das ist immer das erste, was ich mache, wobei m.W. Samba per default aktiviert ist.

    AZi (DEV): Nexus auf LibreElec | Asrock J4205 | 4 GB RAM | 128 GB Sandisk| Rii mini
    DEV: PC Ubuntu 20.04 | Matrix
    AZi: Tanix TX3 | Android/CoreElec Dualboot (EMMC), Nexus
    WoZi: Nexus auf LibreElec | Asrock J4205 | 4GB RAM | 128 GB Sandisk SSD | Atric IR | URC7960
    NAS: unRaid, 3x6TB, 2x12TB | TV-Server: Futro S550 mit Hauppauge QuadHD DVB-C
    PayPal: paypal.me/pvdbj1

    Der einzige Grund, warum ssh per default eingeschaltet sein koennte ist, wenn man halt HDMI / USB Probleme hat, es also nicht hinbekommt nach der installation den Bildschirm und eine USB Tastatur zum laufen zu bringen. Und man da halt HDMI/EDID ueber ssh debuggen muss. Fuer alles andere sollte man ja auch SSH ueber die GUI aktivieren koennen.

    Zitat von rolapp

    Was gibt es für eine Grund eine Libreelec-Box von extern über ssh erreichbar zu machen?

    Von extern: keinen. Intern dagegen schon:

    • Änderungen an Dateien/Erstellung von Dateien im .config Ordner (edid, wireguard)
    • Übertragung von API-Keys in Addons im userdata/addon_data Ordner
    • Einspielen/Ändern der [definition='2','1']advancedsettings[/definition].xml
    • usw.

    AZi (DEV): Nexus auf LibreElec | Asrock J4205 | 4 GB RAM | 128 GB Sandisk| Rii mini
    DEV: PC Ubuntu 20.04 | Matrix
    AZi: Tanix TX3 | Android/CoreElec Dualboot (EMMC), Nexus
    WoZi: Nexus auf LibreElec | Asrock J4205 | 4GB RAM | 128 GB Sandisk SSD | Atric IR | URC7960
    NAS: unRaid, 3x6TB, 2x12TB | TV-Server: Futro S550 mit Hauppauge QuadHD DVB-C
    PayPal: paypal.me/pvdbj1

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden