Хак моего MajorDomo или проблемы с системой

[voronrom]

Ребята помогите пожалуйста, может мои рассуждения чайника, но я уже не могу и не понимаю, что происходит с моим MajorDomo. Примерно 2-3 недели назад решил свою MajorDomo подружить с Интернетом, прикупил доменчик и опубликовал через свой домашний роутер по принципу NAT, изменил порты соответственно т.е. с наружи идешь по «хитрому» порту, внутрь домашней сети попадаешь по 80. Систему только начал «тыкать» и изучать, честно не провентилировал вопрос о безопасности и перехода на защищенный протокол 443, а так же авторизации. Да, знаю сам баран, но все сразу мне показалось объять не возможно и я решил, что кому я нужен. Но скан портов не такое уж и сложное дело. В целом после этого, как мне кажется начались проблемы, а именно: я настаиваю, изучаю, провожу тесты, потом на следующий день захожу и вижу, что страница «меню управления» не похожа на ту, которую я оставлял буквально вчера или пару часов назад. Удаляются менюхи, меняются местами, слетают стили оформления, делаются дубли разделов с названием «Copy» короче просто кошмар полный. Сперва думал, что может глюк, естественно делал после каждого глобального своего изменения бэкап, восстанавливаюсь и через какое-то время опять все начинается. Грешил и думал, может какие то обновления прилетают от MajorDomo, хотя не нажимал специально Обновить. Писал на форуме, ребята подсказали, что обновления сами автоматически не устанавливаются. Я решил фокус с обновлениями проделать самим, обновился, но ничего не изменилось, все опять по прежнему меняется и живет своей жизнью. Решил полностью пере инсталлировать систему, работаю на малинке, нашел образ «v3_31i_rus.img» установил, восстановил все из бэкапа, но счастье продолжалось не долго, стал падать основной цикл, сменил флешку, стало еще хуже, вчера съездил купил новую флешку суппер-пуппер скоростную, опять восстановился из бэкапа, но утром опять обнаружил свое меню перетасованное. Я уже совсем ничего не понимаю, подскажите, может все таки в логах MajorDomo есть моменты в логах когда и с каких IP были произведены изменения, если это взлом то хоть убедиться полностью.

[slgeo]

Не надо так открывать доступ, безопасность очень низкая, настрой OpenVPN и через него подключайся.

[skysilver]

Включи access лог Апача. Там увидишь когда и с какого IP ходят к тебе на сервер.

Правильнее будет поднять VPN-сервер и подключаться снаружи через VPN, а не открывать порты.

Выключи на недельку внешний доступ, станет понятно в нем причина или нет.

[voronrom]

Не надо так открывать доступ, безопасность очень низкая, настрой OpenVPN и через него подключайся.

Согласен сам баран, но вот как точно удостовериться, что это делает кто-то. Т.е. я точно знаю когда я вчера воcстановился из бэкапа. А утром сегодня я обнаружил очередные приключения, а значит, кто-то в ночное время устраивал диверсию. Можно в логах увидеть когда менялись какие то элементы????
А есть настройки с в MajorDomo для включения SSL и авторизации на странице???
OpenVPN как будет работать с мобильной версией для подключения через Ведройд?

[slgeo]

Врядли, посмотри логи апача

[voronrom]

Включи access лог Апача. Там увидишь когда и с какого IP ходят к тебе на сервер.

Правильнее будет поднять VPN-сервер и подключаться снаружи через VPN, а не открывать порты.

Выключи на недельку внешний доступ, станет понятно в нем причина или нет.

Хороший совет, спасибо, я уже думал об этом, что бы отключить внешний доступ, но вот сперва решил с Гуру посоветоваться, может подскажут как быстро отловить и уже на 100% знать, что проблема в этом, точнее в ком то.

[nick7zmail]

Вы что..."хитрый порт" - это 80 ? (по крайней мере я так понял ваш текст) Это ж стандартный http порт на него переадресовывает, если адрес порта не воткнешь, а просто url.
Порты ищутся на раз-два и, более того, лежат в открытом доступе.
Введите ваш домен в поиске на шодане - покажет все дыры, открытые порты, отсутствие паролей.
Несомненно первым делом надо хотя бы включить basic http авторизацию в config.php, и поменять пароли базы и для этой самой авторизации. На этом должны прекратиться такие "перетасовочки меню" и т.п. Но это не значит что вы от чего-то защитились. Далее поменять пароли на всех сервисах (типа mqtt, homebridge, samba, ftp(если есть), ssh, собственно сам пользователь и т.п.)
Вот здесь viewtopic.php?p=53843#p53843 описывал опыт установки и что где меняется.

И PS: 1) есть пару тем по защите доступа с инета 2) "хаком" это точно не назвать (проблемами с системой тем более), вы просто выставили свою систему на показ в интернет. Естественно туда будут заходить и что-то тыкать. 3) Не обязательно было создавать новую тему, достаточно было воспользоваться поиском, или в крайнем случае задать вопрос (более сокращенно) в теме по образу расбери.

[voronrom]

Вы что..."хитрый порт" - это 80 ? (по крайней мере я так понял ваш текст) Это ж стандартный http порт на него переадресовывает, если адрес порта не воткнешь, а просто url.
Порты ищутся на раз-два и, более того, лежат в открытом доступе.
Введите ваш домен в поиске на шодане - покажет все дыры, открытые порты, отсутствие паролей.
Несомненно первым делом надо хотя бы включить basic http авторизацию в config.php, и поменять пароли базы и для этой самой авторизации. На этом должны прекратиться такие "перетасовочки меню" и т.п. Но это не значит что вы от чего-то защитились. Далее поменять пароли на всех сервисах (типа mqtt, homebridge, samba, ftp(если есть), ssh, собственно сам пользователь и т.п.)
Вот здесь viewtopic.php?p=53843#p53843 описывал опыт установки и что где меняется.

И PS: 1) есть пару тем по защите доступа с инета 2) "хаком" это точно не назвать (проблемами с системой тем более), вы просто выставили свою систему на показ в интернет. Естественно туда будут заходить и что-то тыкать. 3) Не обязательно было создавать новую тему, достаточно было воспользоваться поиском, или в крайнем случае задать вопрос (более сокращенно) в теме по образу расбери.

Хитрый порт - это не 80, естественно, а 4-значный, понятно, что Интернет штука "злая" и гуляют пауки, которые сканят порты, я все прекрасно понимаю и осознавал когда выставлял систему в Интернет, прекрасно понимал, что незащищенный веб сервер легко уязвим. Я понимал когда создавал тему, что будут пинать, в принципе справедливо все, но вопрос основной именно наличия из "коробки" возможности отслеживания изменений в системе, есть ли такое? Выше ребята посоветовали настроить аппач, за это спасибо, но может быть есть способ уже сейчас глянуть без настройки логов. Спасибо за информацию, буду "курить" форум тщательней.

P.S. хаком можно все назвать, если подключаешься не к своему ресурсу и меняешь там настройки и конфиг и прочие без разрешений, другой вопрос компетенции при данных действиях, понятно, что в моем случае это обычный не защищенный сервер, но что бы подключиться к нему как мин. нужно понимать как сканировать порты на хостах.

[nick7zmail]

То есть каждый раз заходя на ресурс вконтакте (к примеру, он же не ваш, правильно?) вы хакаете его?)) информация о портах находится на открытом ресурсе, не в дип вебе, ни, тем более, в даркнете...так что по факту ваш сервер - просто система в интернете, которую по средствам обычного поиска может найти любой пользователь...другой вопрос - напакостить, или связаться с владельцем и рассказать об уязвимости - уже дело каждого...к чему это я...а да...короче сомнительное определение хакерства))

На сколько я знаю лог апача в образе включён по-умолчанию, и вы можете хоть сейчас зайти и глянуть кто к вам и когда ходил. Другой вопрос что там тупо ip адреса, и вы, максимум, сможете определить местоположения вышки оператора сотовой связи, или северной комнаты провайдера интернета.

Отправлено с моего Xperia XZ1 Compact через Tapatalk

[voronrom]

То есть каждый раз заходя на ресурс вконтакте (к примеру, он же не ваш, правильно?) вы хакаете его?)) информация о портах находится на открытом ресурсе, не в дип вебе, ни, тем более, в даркнете...так что по факту ваш сервер - просто система в интернете, которую по средствам обычного поиска может найти любой пользователь...другой вопрос - напакостить, или связаться с владельцем и рассказать об уязвимости - уже дело каждого...к чему это я...а да...короче сомнительное определение хакерства))

На сколько я знаю лог апача в образе включён по-умолчанию, и вы можете хоть сейчас зайти и глянуть кто к вам и когда ходил. Другой вопрос что там тупо ip адреса, и вы, максимум, сможете определить местоположения вышки оператора сотовой связи, или северной комнаты провайдера интернета.

Отправлено с моего Xperia XZ1 Compact через Tapatalk

nick7zmail Я не хочу продолжать спор по теме хака и прочего, на мой взгляд вдаваться в полемику на счет определения просто бессмысленно. Если Вам не нравится название моей темы, то лично я не против ее переназвания, если она кого то нервирует словом "Хак". В целом большое спасибо за предоставленную информацию, буду изучать. Я не планирую кого-то преследовать или искать, по IP конечный хост или человека, мне нужен факт, что это был не Я, а кто-то другой. Свои "белые" IP с которых я подключаюсь к серваку и время в которое я подключаюсь я знаю, по этому и планировал отличить "мух от котлет" - просто нужен факт для самоуспокоения, что это был др. человек, а не глюки системы или всего иже рядом.