https://www.heise.de/security/meldung/Trojaner-kommandiert-Raspberry-Pis-zum-Schuerfen-von-Kryptowaehrung-ab-3742058.html
Tja, dann muesste man nur noch den Trojaner hacken, die Bitcoins selbst behalten und Muell zuruecksenden...
Beitrag #5041816 wurde vom Autor gelöscht.
TLDR: versucht auf dem standard Post mit standard Login (pi und raspberry?) rein zu kommen.
Michael X. schrieb: > Mit linux wär das nicht passiert. > Oh, wait.. Gegen Genies, die Geräte mit unsicherer Standardkonfiguration ans Internet hängen, hilft kein Betriebssystem der Welt...
vn n. schrieb: > Gegen Genies, die Geräte mit unsicherer Standardkonfiguration ans > Internet hängen, hilft kein Betriebssystem der Welt... Doch, denn es gibt keine Windowssysteme die nach der Installation ein Standard Usernamen und Password haben. Von daher: doch gegen diese Art von Angriff dann das Betriebssystem schon helfen.
Da D. schrieb: > vn n. schrieb: >> Gegen Genies, die Geräte mit unsicherer Standardkonfiguration ans >> Internet hängen, hilft kein Betriebssystem der Welt... > > Doch, denn es gibt keine Windowssysteme die nach der Installation ein > Standard Usernamen und Password haben. Von daher: doch gegen diese Art > von Angriff dann das Betriebssystem schon helfen. der war nicht schlecht ! :-))
Rainer U. schrieb: > Ja wer lässt denn auch den ssh offen.. tsss Und schaltet im Router ssh frei. vn n. schrieb: > Gegen Genies, die Geräte mit unsicherer Standardkonfiguration ans > Internet hängen, hilft kein Betriebssystem der Welt...
Da D. schrieb: > Doch, denn es gibt keine Windowssysteme die nach der Installation ein > Standard Usernamen und Password haben. Von daher: doch gegen diese Art > von Angriff dann das Betriebssystem schon helfen. Windows hat auch kein SSH. BTW, auch nicht jede Linuxdistribution hat per se ein Standardpasswort. Nur halt die üblicherweise am Raspberry pi verwendete. Und da wird darauf hingewiesen, dass die Standardkonfiguration geändert werden soll.
:
Bearbeitet durch User
vn n. schrieb: > BTW, auch nicht jede Linuxdistribution hat per se ein Standardpasswort. > Nur halt die üblicherweise am Raspberry pi verwendete. Ich seh' genau da ja nen Problem, seid Jahren werden Geräte die mit Default-Passwort ausgeliefert werden Verteufelt, imho zurecht. Linux-Distributionen fragen für gewöhnlich bei der Installation ja auch alle nach nem Passwort. Jetzt wird auf nem Raspberry na nicht wirklich was Installiert, zumindest gibt es keinen Installer, da ist das also schwierig. Raspbian z.B. wird zwar auch mit Default-Login ausgeliefert, frag aber beim ersten Login nach nem Neuen Passwort. Ich seh da zumindest ne Teilschuld beim Distributor. Ja, natürlich, man Ändert nen Default-Passwort, man lässt kein sshd ans Innternet der Login per Passwort erlaubt. Das wissen Leute die sich damit auskennen, aber grade bei den Leuten die nen Raspberry pi betreiben ist die Menge der Leute die das nicht wissen, weil sie da einfach keine Erfahrung haben groß. Warum hilft die Software da nicht nach?
Dirk D. schrieb: > Ich seh da zumindest ne Teilschuld beim Distributor. Grundsätzlich natürlich richtig. Dirk D. schrieb: > Ja, natürlich, man Ändert nen Default-Passwort, > man lässt kein sshd ans Innternet der Login per Passwort erlaubt. > > Das wissen Leute die sich damit auskennen, aber grade bei den Leuten die > nen Raspberry pi betreiben ist die Menge der Leute die das nicht wissen, > weil sie da einfach keine Erfahrung haben groß. RTFM gilt auch für Raspberry-User! Der Schädling zielt auch auf Raspbian, und dort wird ja, wie du selbst schon festgestellt hast, nach dem ersten Login auf das ändern des Passwortes hingewiesen.
:
Bearbeitet durch User
vn n. schrieb: > RTFM gilt auch für Raspberry-User! Natürlich. Aber wie gut das nun in der Realität funktioniert sieht man jetzt nicht zum ersten mal... > Der Schädling zielt auch auf > Raspbian, und dort wird ja, wie du selbst schon festgestellt hast, nach > dem ersten Login auf das ändern des Passwortes hingewiesen. Raspbian weist nicht darauf hin, Raspbian fragt dich nach einem neuen Kennwort bevor er dir das erste mal ne Shell gibt. Niemand hindert dich aber da das alte erneut einzugeben, das würde ich dann aber wirklich als "selbst schuld" abtun. ... aber warum soll man Software nicht default-secure machen wenn es relativ einfach geht?
Dirk D. schrieb: > Raspbian weist nicht darauf hin, Raspbian fragt dich nach einem neuen > Kennwort bevor er dir das erste mal ne Shell gibt. Erbsenzähler. Dirk D. schrieb: > ... aber warum soll man Software nicht default-secure machen wenn es > relativ einfach geht? Dein Vorschlag? Default-Kennwort ist mangels herkömmlichem Setups im Gegensatz zu Linuxdistributuionen im PC-Bereich nun mal nötig. Aufforderung zur Eingabe eines eigenen Kennworts kommt eh schon. Was soll man deiner Meinung nach noch machen? Verhindern, dass man "raspberry" als Passwort eingibt? Klar, wäre denkbar, aber macht erstens ein anderes OS auch nicht (womit wir wieder bei "mimimi, unter Windows gibts das nicht" wären), zweitens beschwert sich der nächste über Bevormundung.
Oh, ich sehe Grade das ich Rasbian mit Armbian verwechselt habe, sorry. Armbian fordert dich zur Eingabe eines neuen Passworts auf bevor es weiter geht. Raspbian tut das nicht. vn n. schrieb: > Dirk D. schrieb: >> Raspbian weist nicht darauf hin, Raspbian fragt dich nach einem neuen >> Kennwort bevor er dir das erste mal ne Shell gibt. > > Erbsenzähler. Sorry, das war nen Missverständniss. > > Dirk D. schrieb: >> ... aber warum soll man Software nicht default-secure machen wenn es >> relativ einfach geht? > > Dein Vorschlag? > Default-Kennwort ist mangels herkömmlichem Setups im Gegensatz zu > Linuxdistributuionen im PC-Bereich nun mal nötig. Aufforderung zur > Eingabe eines eigenen Kennworts kommt eh schon. Was soll man deiner > Meinung nach noch machen? Verhindern, dass man "raspberry" als Passwort > eingibt? Klar, wäre denkbar, aber macht erstens ein anderes OS auch > nicht (womit wir wieder bei "mimimi, unter Windows gibts das nicht" > wären), zweitens beschwert sich der nächste über Bevormundung. Ich finde den Armbian-weg durchaus Okay. Wer ein Unsicheres Passwort eingibt, dem ist einfach nicht zu helfen, der ist aber einfach selber schuld.
Dirk D. schrieb: > Ich seh' genau da ja nen Problem > alle nach nem Passwort. > Jetzt wird auf nem Raspberry > Ich seh da zumindest ne Teilschuld beim Distributor. > Ja, natürlich, man Ändert nen Default-Passwort, > nen Raspberry pi betreiben Du has das mit 'nem' und 'ne' verstanden, nur mit dem 'nen' klemmts noch böse. Ist aber bei der Vorbildung leicht lernbar ;-)
Wieso eigentlich ssh mit Passwort? Mit Zerifikat geht das viel sicherer und wenn der Raspi aus dem Internet mit ssh nicht erreichbar ist, kann man sich das Passwort auf dem Zertifikat auch sparen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.