Page 1 sur 1
Connexion refusée
Publié : 29 sept. 2020, 14:26
par atalec
Bonjour à tous,
Je rencontre un problème avec mon domoticz.
Je l'installe, il fonctionne très bien pendant qq temps, puis soudain il me met cette erreur
Alors que je n'ai rien fais dessus et que je peux tjs entrer en gestion via putty.
Qqun sait quel est le soucis ?
Merci
Re: Connexion refusée
Publié : 29 sept. 2020, 14:28
par Wolfen38
T'as vidé tout le cache ?
Envoyé de mon Mi 9T Pro en utilisant Tapatalk
Re: Connexion refusée
Publié : 29 sept. 2020, 15:19
par lost
atalec a écrit : 29 sept. 2020, 14:26
Alors que je n'ai rien fais dessus et que je peux tjs entrer en gestion via putty.
C'est un peu maladroit d'exposer ton domaine publiquement, mais au moins ça permet de vérifier ce qui est ouvert:
Code : Tout sélectionner
~$ nmap xxxxxx.dyndns.net
Starting Nmap 7.70 ( https://nmap.org ) at 2020-09-29 15:00 CEST
Nmap scan report for xxxxxx.dyndns.net (138.201.54.80)
Host is up (0.071s latency).
rDNS record for 138.201.54.80: server-dyndns.de
Not shown: 991 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp filtered smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
10000/tcp open snet-sensor-mgmt
Nmap done: 1 IP address (1 host up) scanned in 2.02 seconds
Mais en effet, si on arrive à récupérer le certificat (en forçant, autosigné) en https on se prends un 404... pareil sur le http (très imprudent de laisser cela ouvert sur l'extérieur, à réserver à son LAN ; pareil pour le FTP).
Ca ne résoud pas ton pb, mais sur le LAN cela fonctionne? Ou c'est un pb d'accès purement externe?
Ce qui pose question, sin on affine sur le port 80 par exemple:
Code : Tout sélectionner
~$ nmap -A -p 80 xxxxxx.dyndns.net
Starting Nmap 7.70 ( https://nmap.org ) at 2020-09-29 15:14 CEST
Nmap scan report for xxxxxx.dyndns.net (138.201.54.80)
Host is up (0.030s latency).
rDNS record for 138.201.54.80: server-dyndns.de
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd
| http-robots.txt: 1 disallowed entry
|_/
|_http-server-header: Apache
|_http-title: 404 Not Found
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.32 seconds
Le serveur detecté par nmap c'est Apache???!! Bon, possible de ne pas utiliser celui intégré à domoticz et d'utiliser Apache à la place mais pas très courant.
Attention, car l'ouverture de ton système te vaut d'être indexé sur shodan (je viens d'y tester l'IP du nmap), avec un CVE sur le service ftp qui ne demande qu'a servir:
CVE-2019-12815 An arbitrary file copy vulnerability in mod_copy in ProFTPD up to 1.3.5b allows for remote code execution and information disclosure without authentication, a related issue to CVE-2015-3306.
Code arbitraire executable à distance sans authentification... Le pire cas.
Re: Connexion refusée
Publié : 30 sept. 2020, 21:21
par atalec
Aie !!! J'avais pas fais gaffe à ça
Pour apache je sais pas trop j'ai installé jessy sur mon PI et j'ai installé domoticz via la commande curl.
En local ça me le fait aussi.
Des conseils à me donner et des tutos pour améliorer ma sécurité ?
Merci
Re: Connexion refusée
Publié : 01 oct. 2020, 13:33
par lost
atalec a écrit : 30 sept. 2020, 21:21
Aie !!! J'avais pas fais gaffe à ça
Pour apache je sais pas trop j'ai installé jessy sur mon PI et j'ai installé domoticz via la commande curl.
En local ça me le fait aussi.
Des conseils à me donner et des tutos pour améliorer ma sécurité ?
Jessie, c'est donc Debian 8... on en est à la 10 depuis ~2 ans et la 8 n'est plus supportée. AMHA, si tu n'as pas installé tout cela (Apache & co c'est pas vraiment dans une install de base), c'est assez étrange.
Personne ne peut savoir à ta place ce qui a été fait par toi, éventuellement inconsciemment... ou éventuellement des "invités".
La base, c'est de limiter au maximum les services au strict nécessaire, contraindre ceux qui ne sont pas sûrs/chiffrés (j'ai pour ma part un serveur FTP pour récupérer les captures de mes caméras, car c'est le plus universellement supporté selon les modèles, mais il n'est pas accessible de dehors) à son LAN par une combinaison de leur configuration, d'un firewall au niveau PI et règles NAT niveau routeur: Y bannir tout ce qui est UPNP également; C'est confortable, une machine hébergeant un service réseau peut demander au routeur d'ouvrir le port sans configuration... mais si la machine est vérolée, forcément, tout devient bien plus facile pour un attaquant voulant héberger son bazar.
Ici, ta machine héberge un serveur web (qui ne semble servir aucune page) qui n'est pas celui de Domoticz, un serveur mail, ftp, dns. Et le scan n'a été que pour les ports usuels. Pour un utilisateur qui aurait installé un système de base et juste Domoticz, ce me semble vraiment beaucoup! Sauf à avoir beaucoup bricolé sans comprendre ce que cela tirait derrière.
En pareil cas, à part sauvegarder sa BDD/scripts etc... et repartir sur une image Raspbian actuelle et propre pour réinstaller Domoticz stable, je n'ai pas de solution miracle.
Re: Connexion refusée
Publié : 01 oct. 2020, 19:36
par vil1driver
Salut,
Verifie au moins que ton domaine correspond bien à ton ip (box)..
Re: Connexion refusée
Publié : 01 oct. 2020, 22:14
par atalec
Merci à vous pour les conseils
Je vais repartir de 0 et j'ai changer mon nom de domaine
