Unbefugter Zugriff von außen? Wie finde ich das herraus?

Allgemein
1

Hi,

ich bin mir nicht sicher, ob jemand auf mein System zugegriffen hat.

Gibt es eine Möglichkeit dieses rauszufinden?

Am Samstag bekam ich die Meldung, dass jemand auf mein System wollte.

1
1482×584 27.8 KB

2
21290×98 16.3 KB

Da ich zu diesem Zeitpunkt aber auch etwas umher gespielt habe, und unter anderem eine blueprint importiert habe, ging ich davon aus, dass ich das war.
Zumal der erste Import der blueprint fehlschlug, da ich mich noch einloggen musste.

Meine Alexa habe ich über Cloudflare eingerichtet, und als erstes Mal alle Geräte ausgeschlossen.

alexa3
alexa3496×592 44.3 KB

Steht auch noch nicht viel drin, da ich nur etwas am Testen bin. Zudem habe ich hier auch schon lange nichts mehr geändert.
Vorhin bekam ich auf einmal eine Nachricht von Alexa, dass sie 140 Geräte gefunden hätte.
Ich hatte aber nichts gemacht.

Im Log habe ich dazu folgendes gefunden:

alexa1
alexa11239×205 18.9 KB

alexa2
alexa2929×468 50.6 KB

3 Benutzer sind bei mir Admin:
Mein PC, mein Tablett, und 1 mobiler Nutzer.
Nur der mobile Nutzer darf auch außerhalb des Netzwerkes auf HA zugreifen, die beiden anderen nicht.
Multi-Faktor-Authentifizierung ist aktiv, und auch meine Passwörter sind knapp 20 Zeichen lang – daher kann ich mir eigentlich nicht vorstellen, dass jemand von außen drauf war…

Mein MQTT-Nutzer hat keine Multi-Faktor-Authentifizierung – da ich mir nicht sicher war, ob der damit noch funktionieren würde. Aber der ist ja auch nur Netzintern.

Ich hoffe, ihr habt eine Erklärung für mich, woran das liegen könnte?

2

Gib mal

whois 143.198.203.92

in die Suchmaschine deines Vertrauens ein. Sieht nach Spam/BruteForce Attack aus Singapur aus.

Über die Fritzbox z. B. kannst du solche IP-Adressen auf eine Blacklist setzen.

3

Ob sich jemand auch einloggen wollte, läßt sich aber nicht sagen.
Ich bekomm die Meldung auch, wenn ich die Login Seite aufrufe und ohne mich einzuloggen wieder schließe.

4

Du könntest einschränken aus welchen Ländern du über Cloudflare erreichbar bist.

image
image311×521 8.12 KB

Dort eine Regel erstellen, meine sieht z.B. so aus:
image
image1321×532 23.8 KB

Denk dran das da deine Urlaubsländer mit drin sein sollten sonst kommst du da im Urlaub nicht drauf.
Für Alexa kann es sein das du auch die USA da noch hinzufügen musst.

Dann kommt so eine Meldung wen man nicht in einem der Länder ist

image
image1072×846 36 KB

Edit:

Das dürfte für die Cloudflare Lösung nichts bringen, da es am Router vorbei getunnelt wird.

Bei mir wurden mit der Regel oben in den letzten 24 Stunden 20 Anfragen blockiert 2 davon von mir um den Screenshot zu machen.

Die meisten aus USA aber auch aus Russland.

image
image542×725 5.17 KB

LG
Tobi

2 „Gefällt mir“
5

Oje,
und ich dachte, ich bilde mir das nur ein…
Habe mich gleich bei Cloudflare eingeloggt, vielen Dank für den Tipp!
Hatte unter WAF erst nur USA- aber dann ging meine Alexa nicht mehr.
Habe dann gesehen, das Ireland drauf wollte.
Also das noch hinzugefügt, und jetzt geht alles wieder :slight_smile:

waf
waf1088×618 48.1 KB

Hier mein Traffic der letzen 24 Std
Schon ganz schön viel, oder?

traffic
traffic1234×656 48.7 KB

Und ich habe im Sicherheitscenter den Scan aktiviert.
Scheinbar habe ich hier auch eine Lücke.

sicher
sicher1382×541 72.9 KB

sicher2
sicher21250×606 72.6 KB

Weiß nur nicht, wie ich die schließen kann?
Weil dann muss ja bestimmt auch etwas im Adonn in HA geändert werden, oder?

Und stellt sich auch immer noch die Frage, woher “Alexa sent command Alexa Discover” her kam?
Und warum er trotz der Filter mir so viele Geräte/Entitäten dann in Alexa feuert?
LG
Dane

6

Hast du nur HA über den Tunnel zugänglich gemacht oder auch noch irgendwas anderes?
Oder Cloudflare will dich dazu bringen Zero Trust zu benutzen, ich habe die Free Version von Zero Trust und mir wird nur die andere E-Mail Meldung gezeigt.

LG

7

Hi,
ja, ich habe nur HA zugänglich gemacht, sonst nichts.
Danke, habe mir jetzt auch gleich die Gratisversion von Zero Trust geholt :wink:
Muss ich da noch etwas einstellen?

IMG_3827
IMG_38271920×1440 345 KB

LG

8

Ich habe da glaube ich nichts eingestellt.

9

Ok, dann mache ich das auch nicht :upside_down_face:

Somit ist hoffentlich ein Problem schon mal beseitigt!?!
Aber warum hat Alexa jetzt auf einmal alle Geräte durchgereicht?
Kommt dieses “discover” vielleicht immer mal in bestimmten abständen?
Und habe ich vielleicht einen Fehler in meinen Filter der Geräte?

VG

10

Moin,

ich wollte euch mal ein kurzes update geben:

Nachdem ich den Filter in Cloudflare aktiviert habe, ist es schon viel besser geworden.

Allerdings hatte ich trotzdem noch bis heute 3 Login-versuche – jetzt aus Deutschland Berlin laut IP.

Und auch die Monatliche Übersicht von Cloudflare sagte, dass ich über 45.000 zugriffe auf meine Seite gehabt hätte – aus Deutschland, ändere Länder wurden ja geblockt.

Die Geräte die Alexa gefunden hat, waren gar keine Geräte, sondern alles Entitäten.

Genauer gesagt, alle Entitäten von Reolink, ZHA und und Z-Wave. So wurden dann schnell aus 7 Geräte = 160 Entitäten in Alexa

Also habe ich wohl auch einen Fehler in meinen Filter, was auch immer…

Ich habe jetzt in HA Cloudflare beendet und den dazugehörigen Benutzer gelöscht. War nen netter versuch, aber es hat mir auch gezeigt, dass ich einfach zu wenig Erfahrung dafür habe.

Also werde ich einfach NabuCasa buchen und brauche mir keinen Kopf mehr machen :wink:
Danke für eure Unterstützung!