Forum

Forum

Notifications
Clear all

Loxone 10.5 Beta  

Page 8 / 9
  RSS

L
 L
(@l)
Noble Member Admin
Joined: 5 years ago
Posts: 2252
08/04/2020 7:42 pm  

@_petr_ Rozumim a chapu. Mas pravdu, ze treba PPTP je konkretne ukazka toho, ze i dobre myslena vec muze spatne dopadnou. A je bohuzel i pravda, ze nejake low-cost routery muzou mit VPN derave.


ReplyQuote
Richard
(@richard)
Reputable Member Moderator
Joined: 2 years ago
Posts: 490
08/04/2020 9:52 pm  

chlapi, ted vazne... tesne potom co jsem tady dopoledne psal se mi rozblikalo svetlo. Kdo z vas v tom ma prsty?

priznavam, ze jsem mel jmeno admin a heslo admin 🙂

tak kdo to byl? Pokud nikdo z vas, tak je to zvlastni nahoda, co mi nahani strach 🙁


ReplyQuote
L
 L
(@l)
Noble Member Admin
Joined: 5 years ago
Posts: 2252
08/04/2020 9:58 pm  

@richard abychom ti to mohli udelat, museli bychom mit tvou IP adresu. Tu bych asi dokazal ziskat ja nekde v administraci wordpresu, ale ostatni ji urcite nevidi (a ja to nebyl :-)). Takze naprimo pres forum to nebude.

Pokud se ti tam nekdo dostal, tak teoreticky nejaky port scanerem scanovat otevrene porty pres vice adres a hledat loxone (jsou na to i ruzne sluzby, kde uz jen vyhledavas co oni nasly).

Napriklad lze scanovat vse v ulici, nejaky rozsah IP adres z vasi obce atd. Takze mozna nekdo, kdo bydli v tvem okoli a vi, ze mas Loxone. Nebo nekdo, ke komu si se nejak pripoijl (treba prave i webove stranky) a kde si "zanechal" svou IP adresu.

Z toho pak uz staci jen ten portscan, zjistit ktere porty sou otevrene, vyfiltrovat ty kde bezi http/https, podivat se co tam bezi a pokud je to loxone, zkusit prave treba admin:admin, ale klidne taky pustit tipovac hesel, ktery postupne v klidu zkousi nejaky slovnikovy utok nebo i bruteforce (ale ten uz mu nejaky cas zabere 😉 )

 


ReplyQuote
Richard
(@richard)
Reputable Member Moderator
Joined: 2 years ago
Posts: 490
08/04/2020 10:34 pm  

@l jako vubec to neni dobre videt blikat svetlo, ikdyz mam loxone jen jako testovaci ted na din liste na okne, pripojene jedno svetlo a dve LEDky.  fuj


ReplyQuote
L
 L
(@l)
Noble Member Admin
Joined: 5 years ago
Posts: 2252
09/04/2020 7:10 am  

@richard Treba to byl pozdrav z Loxone cloudu 😉


ReplyQuote
kobra23
(@kobra23)
Noble Member
Joined: 3 years ago
Posts: 1043
09/04/2020 7:14 am  
Posted by: @richard

chlapi, ted vazne... tesne potom co jsem tady dopoledne psal se mi rozblikalo svetlo. Kdo z vas v tom ma prsty?

priznavam, ze jsem mel jmeno admin a heslo admin 🙂

tak kdo to byl? Pokud nikdo z vas, tak je to zvlastni nahoda, co mi nahani strach 🙁

Zadna nahoda. Vitej v siti 21. stoleti. 

Kdyz mi pridelili verejnou adresu a vystavil jsem Mikrotik router svetu, tak do 5 minut mi ho zacali napadat a kdyz jsem videl jake k tomu pouzivaji hesla, tak se pri tvem admin/admin nedivim, ze tam byli hned.


ReplyQuote
kobra23
(@kobra23)
Noble Member
Joined: 3 years ago
Posts: 1043
09/04/2020 7:18 am  
Posted by: @l

@richard Treba to byl pozdrav z Loxone cloudu 😉

Asi novy zpusob jak Loxone dava vedet, ze spojeni s Cloudem Loxone je funkcni a ze maji Richarda pod kontrolou. Snad se to neobrati v jejich neprospech, az bude Richard laborovat a zrusi jim z Petrovic cloud pro cely svet 😂😂😂

This post was modified 2 months ago by kobra23

ReplyQuote
L
 L
(@l)
Noble Member Admin
Joined: 5 years ago
Posts: 2252
09/04/2020 7:33 am  

@kobra23 😉 Takova welcome message ;-).

Ale je to pekny zpusob, jak podtrhnout diskuzi na foru, kdyz ti pak do par minut rovnou nekdo napadne barak 😉


ReplyQuote
Richard
(@richard)
Reputable Member Moderator
Joined: 2 years ago
Posts: 490
09/04/2020 7:37 am  

jako nenapadlo me ze to nekdo zkusi. Proto jsem ani to jmeno a heslo nemenil. Vystrizlivel jsem  😀

ze to nekoho bavi. Misto aby se venovali uzitecnym vecem. 


ReplyQuote
Dáda
(@vary)
Honorable Member Moderator
Joined: 3 years ago
Posts: 618
09/04/2020 7:37 am  

Podívej se do logu, loguje se veškerý přístup... každopádně tomu nevěřím, že by se tam někdo dostal... brutalforce kravina ...po několika neúspěšných loginech se MS blokne na nějaký čas.


ReplyQuote
kobra23
(@kobra23)
Noble Member
Joined: 3 years ago
Posts: 1043
09/04/2020 7:42 am  

@vary

Tak já bych automaticky začal admin/admin přístupem a tam.pak není důvod, aby mě MS zablokoval, protože první pokus a úspěch.

Existuje software, v kterém chci nacházet jen určité IoT věci v celém světě. Protože vím co hledám a jaké to má od výrobce přednastavené porty, je to všechno mnohem jednodušší než si myslíte.


ReplyQuote
L
 L
(@l)
Noble Member Admin
Joined: 5 years ago
Posts: 2252
09/04/2020 7:44 am  

@kobra23 presne tak, admin:admin je uplne prvni, co kdo zkusi. 

Navic, ten bruteforce je taky legrace. Nejen ze to zablokuje pristup tobe, ale zablokuje to pristup i lidem z domu k Loxone. Takze pokud bych chtel nekoho fakt nasrat, tak mu neustale blokuju loxone a on pak nemuze nic delat 😉

Proste Loxone do verejne site nepatri.


ReplyQuote
LoxTom
(@loxtom)
Eminent Member
Joined: 3 years ago
Posts: 21
09/04/2020 8:29 am  

Je tu jeste jeden aspekt s bezpecnosti a to jsou nase - Ceske - pojistovny. Nektere totiz nebudou plnit nikdy pokud dojde k vykradeni domu a dum obsahuje "nejakou" domaci automatizaci, protoze v tomto pripade nedoslo k prekonani "fyzicke" prekazky. Nektere naopak plnit budou, nektere castecne (pouze poskozene komoponenty automatizace). Takze uz jen fakt mit cokkoli jako Loxone muze byt z hlediska legislativy problem.


ReplyQuote
_Petr_
(@_petr_)
Trusted Member
Joined: 2 years ago
Posts: 54
09/04/2020 8:33 am  

@richard Třeba to je jen fíčura cloudu. Takové upozornění, že admin/admin není dobré pouštět do světa

 

OT: Mimochodem, proč z menu fóra po přihlášení zmizí Latest posts?


ReplyQuote
elpaso
(@elpaso)
Honorable Member
Joined: 3 years ago
Posts: 500
09/04/2020 9:17 am  

nezousel nekdo, a je mi jasne, ze spis ne, vypublikovat Loxone skrz Azure Web Application Proxy?

je jasne, ze webovka fungovat bude, ale appka nejspis ne 🙁

pak by se dal udelat pre-auth pomoci certifikatu nebo pristup jen z AzureAD registered device a bylo by to vyreseno.

Zkousel jsem to na Sophos xGen WAFku s preauthem a tam to nejede.

jak uz jsem psal mockrat, za me je naprosto dostacujici nestandardni port a geoIP filetering jen na ceskou republiku... loxone nehlida banku, nemam doma umeni, nemam doma nic... a jestli mi nekdo bybere garaz... ok, tak vybere garaz 🙂 zlato a sperky tak nejsou


ReplyQuote
Page 8 / 9
Share: