Pi hole wurde gehackt

Help Deutschsprachige Hilfe
1

Hallo,
bei einem IP-scan habe ich entdeckt, das sich der Pi-Hole Raspi als
host mit "PORNOMENGE.COM" meldet !! Ich habe PI-hole als DNS-Server laufen.

Weis jemand was da passiert ist ???

Starting Nmap 7.01 ( https://nmap.org ) at 2017-10-14 10:33 CEST
NSE: Loaded 132 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 10:33
Completed NSE at 10:33, 0.00s elapsed
Initiating NSE at 10:33
Completed NSE at 10:33, 0.00s elapsed
Initiating Ping Scan at 10:33
Scanning 192.168.0.25 [2 ports]
Completed Ping Scan at 10:33, 0.00s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:33
Completed Parallel DNS resolution of 1 host. at 10:33, 0.27s elapsed
Initiating Connect Scan at 10:33
Scanning pornomenge.com (192.168.0.25) [65535 ports]
Discovered open port 53/tcp on 192.168.0.25
Discovered open port 22/tcp on 192.168.0.25
Discovered open port 80/tcp on 192.168.0.25
Discovered open port 9981/tcp on 192.168.0.25
Discovered open port 9982/tcp on 192.168.0.25
Discovered open port 6600/tcp on 192.168.0.25
Completed Connect Scan at 10:33, 1.73s elapsed (65535 total ports)
Initiating Service scan at 10:33
Scanning 6 services on pornomenge.com (192.168.0.25)
Completed Service scan at 10:33, 16.07s elapsed (6 services on 1 host)
NSE: Script scanning 192.168.0.25.
Initiating NSE at 10:33
Completed NSE at 10:33, 5.02s elapsed
Initiating NSE at 10:33
Completed NSE at 10:33, 0.00s elapsed

Nmap scan report for pornomenge.com (192.168.0.25)
Host is up (0.0065s latency).
Not shown: 65529 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh (protocol 2.0)

53/tcp open tcpwrapped
80/tcp open http lighttpd 1.4.35
|http-favicon: Unknown favicon MD5: 2CE9555B2C4DF3AA682D512D2FA7C5E2
| http-methods:
| Supported Methods: OPTIONS GET HEAD POST
|http-server-header: lighttpd/1.4.35
|http-title: Website Blocked
6600/tcp open mpd Music Player Daemon 0.19.0
9981/tcp open http Tvheadend http config
| http-auth:
| HTTP/1.1 401 Unauthorized
| Basic realm=tvheadend
| http-methods:
| Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: HTS/tvheadend
|_http-title: 401 Unauthorized
9982/tcp open unknown
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at Nmap Fingerprint Submitter 2.0 :
SF-Port22-TCP:V=7.01%I=7%D=10/14%Time=59E1CBD3%P=x86_64-pc-linux-gnu%r(NUL
SF:L,29,"SSH-2.0-OpenSSH_6.7p1\x20Raspbian-5+deb8u3\r\n");
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

NSE: Script Post-scanning.
Initiating NSE at 10:33
Completed NSE at 10:33, 0.00s elapsed
Initiating NSE at 10:33
Completed NSE at 10:33, 0.00s elapsed
Read data files from: /usr/bin/../share/nmap
Service detection performed. Please report any incorrect results at Nmap OS/Service Fingerprint and Correction Submission Page .
Nmap done: 1 IP address (1 host up) scanned in 23.54 seconds

2

Keine Sorge, Du siehst lediglich ein Fehlverhalten des DNS-Servers, das in der aktuellen Entwicklerversion bereits korrigiert wurde. Ich füge gleich noch ein paar Details hinzu.

https://github.com/pi-hole/pi-hole/pull/1560

Dein Pi-hole gibt fälschlicherweise den ersten Eintrag aus den Blocklisten als eigenen Namen heraus. Im verlinkten Pull Request kannst Du sehen, wie Du die Änderung lokal bei Dir nachvollziehen kannst. Du musst hierfür die Datei /etc/dnsmasq.d/01-pihole.conf editieren.

3

Hallo,
so ganz nachvollziehen kann ich es nicht, in
/etc/dnsmasq.d/01-pihole.conf zeigt der erste Eintrag auf addn-hosts=.....gravity.list
und in der Datei steht nicht von "pornomenge.com", ich bin schon etwas beunruhigt,
wo zumal der Port 9982 irgend etwas macht, aber was weis ich nicht ?
Ich habe auf dem Raspi TvHeadend und den Music Player Daemon laufen, die werden
ja auch da im SCAN angezeigt.
???

4

Ändere die Reihenfolge der Einträge in der /etc/dnsmasq.d/01-pihole.conf doch mal so ab wie das in dem verlinkten PR vorgeschlagen ist. Danach sudo service dnsmasq restart nicht vergessen.

Lass mal

sudo netstat -tulpn | grep 9982

auf Deinem Pi-hole laufen um zu sehen wer diesen Port verwendet.

5

Hallo,
du hast recht gehabt, Danke.
Aber das ist schon etwas beunruhigend, das Pi-Hole so etwas macht.
Der Port 9982 gehört zu TV-Headend.

Danke.