Hallo,

ich bin gerade ein wenig am panikieren, wurde ich gehackt oder warum sind meine ports 80, 22, 443 und sogar 110 etc offen im Netz erreichbar.
Ich habe kein Port forwarding aktiviert zu diesen Ports.

Wie kann ich Port 22 unerreichbar von außerhalb machen ? Das sind hunderte Versuche sich einzuloggen. Gut dass ich ein gutes Passwort drauf hatte

wo kann ich ssh konfigurieren ?
Danke im vorraus für eure Hilfe

Update: Jetzt hat die VU+ sich ausgeschaltet (Ich bekam eine Broadcast Message) Zack - aus !

Ja sind sie. Bin per Teamviewer am testen.
Das habe ich mir auch schon gedacht. vielleicht wurde der Router gehackt und ein verstecktes Portforwarding eingeschleust.

Habe das Passwort vom Router geändert und auch die Ports VU+. Selbst wenn man die Port kennt, kann man keine Verbindung mehr von außen machen.

SSH = Dropbear, deswegen wurde ich nicht fündig.

beim ISP kann man wählen 80 + 443 und 23 sperren lassen oder nicht. und bei mir war das nich der Fall. Die Sperrung Ist jetzt aktiviert. Keine Ahnung wie so der Traffic direkt zur VU+ geleitet wurde.
Das kann effektiv der Router gewesen sein.

Bei meinen Eltern steht der gleiche Router, die haben die selben Ports offen.

Schwer zu sagen was das für einer ist. Ich vermute ein Alcatel. Ich habe nur User Rechte. Aber wenn da linux drauf läuft kann man ja alles machen mit den entsprechenden Zugänge.

Das Netzwerk ist vorläufig wieder sicher. Uff.

Falls jemand anderes ein ähnliches Problem hat...
Ich habe es nun so endgültig gelöst mit iptables (Firewall).

Ich blockiere alles außer das eigene Heimnetzwerk.
Für's erste logge ich auch alles was gedropt wird, um ein Feedback zu haben. Später werde ich ich das Loggen stark einschränken.

die Logeinträge findet man in /var/log/messages (unglaublich was hier abgeht bei mir, ).

in der Konsole iptables installieren:
# opkg install iptables

Dieses Modul dient dazu UDP zuverwalten (hier in diesem Beispiel nicht nötig)
# opkg install kernel-module-xt-tcpudp

Dieses Modul wird benötigt um zu loggen.
# opkg install kernel-module-xt-log

Datei /etc/iptables.rules erstellen:
(die Zahlen in den eckigen Klammern wurden automatisch von iptables-save erstellt.)
Firewall mit diesen Regeln ausführen in der Konsole
# iptables-restore < /etc/iptables.rules

Falls ihr euch ausgeschlossen habt, den receiver neustarten (Fernbedienung), Die Firewall startet noch nicht automatisch.
Ob die Firewall aktiv ist und welche Regeln aktiviert sind erfahrt ihr mit:
iptables -L
Wenn das alles funktioniert, muss nun nur noch die Firewall beim Hochfahren selber starten.
Datei /etc/init.d/iptablesautostart.sh erstellen mit folgendem Inhalt:
Dem Script die nötigen Rechte geben mit:
# chmod +x /etc/init.d/iptablesautostart.sh
und noch verlinken:
ln -sf /etc/init.d/iptablesautostart.sh /etc/rc3.d/S95iptablesautostart.sh

Ich gebe keine Garantie dass alle Löcher gestopft wurden, aber ich habe jetzt vorläufig Ruhe.
Falls jemand Verbesserungsvorschläge hat, sind diese Willkommen.

Gruß,
Shaka

ich habe was gefunden im Router.:

Die MAC Adresse von der Vu+ ist als DMZ-Host eingerichtet.

Leider kann ich den Eintrag nicht ändern, denn nach dem Speichern steht die VU+ wieder drin als DMZ Host. Ich werde das reklamieren falls ein Factory-Reset nicht hilft.

Danke für den Tipp.

Nun, das hilft auch nicht weiter. BBOX3 von Proximus in Belgien. Der Spuk ist vorbei. Komische Sache, vielleicht wurde ein Bugfix vom ISP installiert.

Danke!