Forum
@_petr_ Rozumim a chapu. Mas pravdu, ze treba PPTP je konkretne ukazka toho, ze i dobre myslena vec muze spatne dopadnou. A je bohuzel i pravda, ze nejake low-cost routery muzou mit VPN derave.
chlapi, ted vazne... tesne potom co jsem tady dopoledne psal se mi rozblikalo svetlo. Kdo z vas v tom ma prsty?
priznavam, ze jsem mel jmeno admin a heslo admin 🙂
tak kdo to byl? Pokud nikdo z vas, tak je to zvlastni nahoda, co mi nahani strach 🙁
@richard abychom ti to mohli udelat, museli bychom mit tvou IP adresu. Tu bych asi dokazal ziskat ja nekde v administraci wordpresu, ale ostatni ji urcite nevidi (a ja to nebyl :-)). Takze naprimo pres forum to nebude.
Pokud se ti tam nekdo dostal, tak teoreticky nejaky port scanerem scanovat otevrene porty pres vice adres a hledat loxone (jsou na to i ruzne sluzby, kde uz jen vyhledavas co oni nasly).
Napriklad lze scanovat vse v ulici, nejaky rozsah IP adres z vasi obce atd. Takze mozna nekdo, kdo bydli v tvem okoli a vi, ze mas Loxone. Nebo nekdo, ke komu si se nejak pripoijl (treba prave i webove stranky) a kde si "zanechal" svou IP adresu.
Z toho pak uz staci jen ten portscan, zjistit ktere porty sou otevrene, vyfiltrovat ty kde bezi http/https, podivat se co tam bezi a pokud je to loxone, zkusit prave treba admin:admin, ale klidne taky pustit tipovac hesel, ktery postupne v klidu zkousi nejaky slovnikovy utok nebo i bruteforce (ale ten uz mu nejaky cas zabere 😉 )
@l jako vubec to neni dobre videt blikat svetlo, ikdyz mam loxone jen jako testovaci ted na din liste na okne, pripojene jedno svetlo a dve LEDky. fuj
chlapi, ted vazne... tesne potom co jsem tady dopoledne psal se mi rozblikalo svetlo. Kdo z vas v tom ma prsty?
priznavam, ze jsem mel jmeno admin a heslo admin 🙂
tak kdo to byl? Pokud nikdo z vas, tak je to zvlastni nahoda, co mi nahani strach 🙁
Zadna nahoda. Vitej v siti 21. stoleti.
Kdyz mi pridelili verejnou adresu a vystavil jsem Mikrotik router svetu, tak do 5 minut mi ho zacali napadat a kdyz jsem videl jake k tomu pouzivaji hesla, tak se pri tvem admin/admin nedivim, ze tam byli hned.
@richard Treba to byl pozdrav z Loxone cloudu 😉
Asi novy zpusob jak Loxone dava vedet, ze spojeni s Cloudem Loxone je funkcni a ze maji Richarda pod kontrolou. Snad se to neobrati v jejich neprospech, az bude Richard laborovat a zrusi jim z Petrovic cloud pro cely svet 😂😂😂
@kobra23 😉 Takova welcome message ;-).
Ale je to pekny zpusob, jak podtrhnout diskuzi na foru, kdyz ti pak do par minut rovnou nekdo napadne barak 😉
jako nenapadlo me ze to nekdo zkusi. Proto jsem ani to jmeno a heslo nemenil. Vystrizlivel jsem 😀
ze to nekoho bavi. Misto aby se venovali uzitecnym vecem.
Podívej se do logu, loguje se veškerý přístup... každopádně tomu nevěřím, že by se tam někdo dostal... brutalforce kravina ...po několika neúspěšných loginech se MS blokne na nějaký čas.
Tak já bych automaticky začal admin/admin přístupem a tam.pak není důvod, aby mě MS zablokoval, protože první pokus a úspěch.
Existuje software, v kterém chci nacházet jen určité IoT věci v celém světě. Protože vím co hledám a jaké to má od výrobce přednastavené porty, je to všechno mnohem jednodušší než si myslíte.
@kobra23 presne tak, admin:admin je uplne prvni, co kdo zkusi.
Navic, ten bruteforce je taky legrace. Nejen ze to zablokuje pristup tobe, ale zablokuje to pristup i lidem z domu k Loxone. Takze pokud bych chtel nekoho fakt nasrat, tak mu neustale blokuju loxone a on pak nemuze nic delat 😉
Proste Loxone do verejne site nepatri.
Je tu jeste jeden aspekt s bezpecnosti a to jsou nase - Ceske - pojistovny. Nektere totiz nebudou plnit nikdy pokud dojde k vykradeni domu a dum obsahuje "nejakou" domaci automatizaci, protoze v tomto pripade nedoslo k prekonani "fyzicke" prekazky. Nektere naopak plnit budou, nektere castecne (pouze poskozene komoponenty automatizace). Takze uz jen fakt mit cokkoli jako Loxone muze byt z hlediska legislativy problem.
@richard Třeba to je jen fíčura cloudu. Takové upozornění, že admin/admin není dobré pouštět do světa
OT: Mimochodem, proč z menu fóra po přihlášení zmizí Latest posts?
nezousel nekdo, a je mi jasne, ze spis ne, vypublikovat Loxone skrz Azure Web Application Proxy?
je jasne, ze webovka fungovat bude, ale appka nejspis ne 🙁
pak by se dal udelat pre-auth pomoci certifikatu nebo pristup jen z AzureAD registered device a bylo by to vyreseno.
Zkousel jsem to na Sophos xGen WAFku s preauthem a tam to nejede.
jak uz jsem psal mockrat, za me je naprosto dostacujici nestandardni port a geoIP filetering jen na ceskou republiku... loxone nehlida banku, nemam doma umeni, nemam doma nic... a jestli mi nekdo bybere garaz... ok, tak vybere garaz 🙂 zlato a sperky tak nejsou