VIRUS sur DOMOTICZ

Posez ici vos questions d'utilisation, de configuration de Domoticz, de bugs, de conseils sur le logiciel lui même dans son utilisation et son paramètrage Concernant le Raspberry ou les scripts de toute nature des forums spécifiques sont ouverts
e111111
Messages : 107
Enregistré le : 11 déc. 2018, 19:44

VIRUS sur DOMOTICZ

Message par e111111 »

Bonsoir,

je me suis aperçu hier que certains de mes scripts .SH n'étaient plus exécutes, j'ai regardé un peu le cron
et la j'ai vu que CRONJOB editor était vide, hormis une ligne vide non configurée, le fichier crontab est totalement vide, et crond.log me log cette erreur à chaque tentative d'ajout d'une tâche, qui se solde par la disparition de la tâche dans la liste.

Code : Tout sélectionner

[size=85][color=#4000FF][/color]ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored[/size]
En fouillant un peu sur le net j'ai trouvé ça :

http://www.domoticz.com/forum/viewtopic ... 5&start=20
https://www.raspberrypi.org/forums/view ... p?t=242640

Mais bon, c'est tout en anglais et pas forcément adapté à mon Syno, alors avant de faire u ne ânerie regrettable, je préfère demander si quelqu'un ici à déjà été infecté et si quelqu'un sait donner une procédure de désinfection fiable.

Merci d'avance pour votre aide

lost
Messages : 455
Enregistré le : 12 nov. 2016, 11:01

Re: VIRUS sur DOMOTICZ

Message par lost »

e111111 a écrit :
18 juin 2019, 21:44
je me suis aperçu hier que certains de mes scripts .SH n'étaient plus exécutes,...
J'ai en effet vu cela sur le forum anglophone. A priori, c'est une injection SQL via la base de données de Domoticz exploitable a priori quand il est ouvert à tous vents (pas https seulement et avec authentification, est-ce ton cas? password solide?)... ce qui serait déjà hautement imprudent.

Les dernières versions (au moins depuis la dernière stable) ne seraient plus touchées.

Rien chez moi, avec 2 stables de retard (resté pour l'instant en v3.8153). L'accès distant ne se fait pourtant pas à travers un VPN (trop de contraintes à mon goût sur la machine de laquelle on se connecte, pas toujours à soi/administrable librement), mais HTTPS seulement et authentification. Le SSH ne s'ouvre lui que via un port-knocker (une séquence de ping sur différents ports ouvre celui du SSH juste pour l'IP demandeuse et avec 30s pour se connecter) car même si un fail2ban est là pour limiter les tentatives les deux, SSH est vraiment très très attaqué par brute-force comparé à HTTPS.

e111111
Messages : 107
Enregistré le : 11 déc. 2018, 19:44

Re: VIRUS sur DOMOTICZ

Message par e111111 »

Je ne dis pas que mon système est blindé, c'est peut être par là que ça pêche, je n'ai jamais réussi à faire fonctionner le HTTPS, toujours eu des messages d'erreur, à part cela j'ai des redirections de ports dans mon routeur.
Je suis en V4.97 , peut-être pas la dernière, mais sur Syno on à pas toutes les versions à disposition immédiatement.

lost
Messages : 455
Enregistré le : 12 nov. 2016, 11:01

Re: VIRUS sur DOMOTICZ

Message par lost »

e111111 a écrit :
19 juin 2019, 12:26
Je ne dis pas que mon système est blindé, c'est peut être par là que ça pêche, je n'ai jamais réussi à faire fonctionner le HTTPS, toujours eu des messages d'erreur, à part cela j'ai des redirections de ports dans mon routeur.
Je suis en V4.97 , peut-être pas la dernière, mais sur Syno on à pas toutes les versions à disposition immédiatement.
Il peut y avoir des message d'erreurs liés au certificat autosigné de base... Mais il suffit de se connecter de son réseau local une fois avec chaque appareil que l'on vet ensuite utiliser de l'extérieur et d'accepter ce certificat pour ne plus avoir de message et conserver une sécurité correcte.

Niveau réglages->paramètres, mettre un couple identifiant/mot de passe non trivial et n'autoriser la connexion libre que sur la plage d'adresse de son réseau local (+localhost, histoire de ne pas s'emmerder avec l'authentification pour les scripts tournant sur la machine même et utilisant l'API HTTP/Json de Domoticz), c'est en tout cas le minimum.

Si du SSH est utilisé, éviter de rester sur les utilisateurs par défaut archi-connus (pi sur un raspberry etc...), ce qui évite déjà de voir une partie du doublet de connexion facile à trouver et permet de se concentrer sur des tentatives visant le mot de passe...

Cela ne préserve pas de tout, mais tant qu'il suffira de se baisser pour trouver des systèmes ouverts à tous vents cela a quand même des chances de tomber sur d'autres!

Et avec shodan, il suffit vraiment de se baisser pour trouver des RDP/VNC (il peut être rigolo de s'y connecter, voir qqun en train de travailler sur la machine, bouger la souris ou taper "hello" dans son traitement de texte... et imaginer la tête de l'utilisateur, en espérant que cela fasse tilt), HTTP de caméras ou autres... ouverts à tous vents.

Quand on a un SSH qui n'est pas derrière un port-knocker et attaqué en permanence, un coup de nmap sur les machines qui font du brute-force permet de voir en général du RDP/VNC (bureaux à distance) ouverts probablement par leur utilisateurs sans conscience de le faire sur le monde. Permettant à d'autres d'utiliser ces machines en relais de leurs attaques.

Le problème, c'est que le jour ou cela tape une infra critique ou de la propagande terroriste ou autre, cela semble venr de chez toi et avec une expérience sympathique à la clef: Les amis du petit déjeuner à 6h00 du matin pour perquisition!

e111111
Messages : 107
Enregistré le : 11 déc. 2018, 19:44

Re: VIRUS sur DOMOTICZ

Message par e111111 »

Je n'utilise pas SSH, du moins à distance, il n'est activé qu'en cas de besoin, par contre je vais me pencher sur mon pb de HTTPS, dès que j'aurais éradiqué ce foutu virus, pour le moment même la mise à jour Synology ne veut pas s'installer, à priori ils ont des pb, et cette faille de sécurité semble dans les correctifs si je ne me trompe pas...

e111111
Messages : 107
Enregistré le : 11 déc. 2018, 19:44

Re: VIRUS sur DOMOTICZ

Message par e111111 »

Bon, après avoir réussi la mise à jour de DSM (enfin !) tout semblait revenu à la normale, mais ce matin re-belotte, et là plus de mise à jour possible, je ne sais pas comment réinstaller la même version sans tout perdre...

J'ai beau virer les fichiers mentionnés dans le lien cité plus haut, et essayer de faire tous les nettoyages possibles, avoir mis Domoticz hors réseau internet, rien n'y fait, cela revient tout le temps ...

Je baisse les bras pour le moment, j'attends que quelqu'un ici ait le même problème et explique comment s'y prendre ... :(

e111111
Messages : 107
Enregistré le : 11 déc. 2018, 19:44

Re: VIRUS sur DOMOTICZ

Message par e111111 »

Hello tous :)

A y est , j'ai viré la saloperie !
Cela fait maintenant 8 jours que tout tourne normalement, et j'ai rouvert Domoticz sur l'extérieur depuis deux jours, en sécurisant un peu mieux.

La cause de l'infection : mon provider qui m'a changé ma box, et en reconfigurant tout le bazar j'ai laissé passer l'UPNP activé, et là, le Syno s'en est donné à cœur joie pour ouvrir les ports qui lui semblait bons, et comme j'avais mal sécurisé Domoticz, en avant la porte ouverte ...

Leçon à retenir : c'est bien que le chauffage marche à la maison, mais il faut aussi consacrer un peu de temps à la sécurité, sinon tout le boulot pour rien...

Heureusement ils y a des articles très bien faits sur le net pour tout expliquer, et pas besoin de chauffage en ce moment ;)

J'y ai quand même passé quelques soirées, cela me servira de leçon.

cyberbob
Messages : 478
Enregistré le : 28 nov. 2016, 19:43
Localisation : Belgique

Re: VIRUS sur DOMOTICZ

Message par cyberbob »

pourquoi n'utilise tu pas OpenVPN sur le paquet "VPN Server" pour te connecter de l'extérieur sur le syno et domoticz ?
ensuite mettre openvpn sur les smartphone android.
c'est la sécurité maximum.
Domoticz Stable V4.9700 sur Synology DSM 6.2 / 2 x RFlink V48.4 - 433.92MHz(Dio/Chacon) & 433.42MHz(RTS) / Script en LUA & Blocky

e111111
Messages : 107
Enregistré le : 11 déc. 2018, 19:44

Re: VIRUS sur DOMOTICZ

Message par e111111 »

Bonsoir,

je n'utilise pas qu'a partir du smartphone (je ne sais pas si ça marche sur iOS), mais aussi d'autres
machines et surtout du boulot, et là je ne pense pas que ce soit possible avec openVPN, je peux pas installer sur le PC et le réseau est ultra sécurisé.

iloveraffa
Messages : 7
Enregistré le : 23 nov. 2018, 12:23

Re: VIRUS sur DOMOTICZ

Message par iloveraffa »

e111111 a écrit :
30 juin 2019, 16:22
Hello tous :)

A y est , j'ai viré la saloperie !
Cela fait maintenant 8 jours que tout tourne normalement, et j'ai rouvert Domoticz sur l'extérieur depuis deux jours, en sécurisant un peu mieux.

La cause de l'infection : mon provider qui m'a changé ma box, et en reconfigurant tout le bazar j'ai laissé passer l'UPNP activé, et là, le Syno s'en est donné à cœur joie pour ouvrir les ports qui lui semblait bons, et comme j'avais mal sécurisé Domoticz, en avant la porte ouverte ...

Leçon à retenir : c'est bien que le chauffage marche à la maison, mais il faut aussi consacrer un peu de temps à la sécurité, sinon tout le boulot pour rien...

Heureusement ils y a des articles très bien faits sur le net pour tout expliquer, et pas besoin de chauffage en ce moment ;)

J'y ai quand même passé quelques soirées, cela me servira de leçon.
Bonjour ! Peux-tu expliquer comment tu t'y est pris ? J'ai le même msg d'erreur tout le temps, et je viens de tomber ici et je vois que c'est relié à Domoticz... Aucune idée de quoi faire, dès que je tente un udpate, c'est aborté !

Répondre