Abo
  1. Foren
  2. Kommentare
  3. PC-Hardware
  4. Alle Kommentare zum Artikel
  5. › Fritzbox: Routerhack bleibt dubios

Bin davon betroffen…

  1. Thema

Neues Thema Ansicht wechseln


  1. Bin davon betroffen…

    Autor: Sascha H. 06.02.14 - 17:16

    …aber angeblich ist keine meiner Email-Adressen mit Passwörtern in dieser Datenbank des BSI.
    Bei mir wurde ein "IP Phone" eingerichtet und mit diesem sehr oft nach Sierra Leone angerufen. Jeder dieser Anrufe dauerte zwischen 2 und 21 Minuten (auf die Sekunde genau).

    Ich persönlich halte die Erklärung mit dem BSI für Quatsch.

  2. Re: Bin davon betroffen…

    Autor: Sinnfrei 06.02.14 - 18:13

    Welcher Provider? Und ist es eine Box mit angepasster Firmware von denen? TR-069 (Port 8089) vielleicht auch über Web erreichbar (vielleicht benutzten die da ja ein Default-Passwort)? Oder was war sonst noch offen?

    __________________
    ...

  3. Re: Bin davon betroffen…

    Autor: Trockenobst 06.02.14 - 18:44

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > Ich persönlich halte die Erklärung mit dem BSI für Quatsch.

    Stumpfer Portscan, dann haben die mit einem Tool durchgecheckt was hinter der Adresse ist, dazu gibt es eine Brute Force Liste mit Passwörtern.

    Das ist ein automatisches Skript das da abläuft. Je nachdem was man hinter dem Port findet, gibt es Spamversand, Botnetz, Fernanruf usw. Die Tools kann man für 1000¤ im jeden Darknet-Knoten kaufen, inkl. Updates.

    In dem Fall: Fritzbox(a) in Deutschland(b) mit Fernnummer (c) für die keine Sperre eingerichtet war. Ganz simpel. Für den Netzuntergrund ist das Alltagsgeschäft, auf das jetzt ganz viele Aufspringen werden.

  4. Re: Bin davon betroffen…

    Autor: autidem 06.02.14 - 18:55

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Welcher Provider? Und ist es eine Box mit angepasster Firmware von denen?
    > TR-069 (Port 8089) vielleicht auch über Web erreichbar (vielleicht
    > benutzten die da ja ein Default-Passwort)? Oder was war sonst noch offen?

    Ja, ich vermute auch TR-069 als Ursache. Mal sehen, was da noch rauskommt, das wäre nämlich der Hammer!

  5. Re: Bin davon betroffen…

    Autor: User_x 06.02.14 - 18:56

    ist ein ip-phone eine voip-verbindung??? (dann haben die doch ausser meiner ip keine daten? kosten, egal da kein vertragsverhältnis?)

    hab zwar selbst eine fritzbox, telefoniere aber über ein voip-anbieter, da unitymedia keine flat für ein bestimmtes land hat...

  6. Re: Bin davon betroffen…

    Autor: Sascha H. 06.02.14 - 19:00

    Der Provider ist Unitymedia mit einer Fritz-Box für Kabel. Da ist eine angepasste Firmware von Unitymedia drauf. Eingerichtet war der Fernzugriff über https, vpn und ein paar Portweiterleitungen.

    Unitymedia hat natürlich auch Zugriff auf die Box um Updates einzuspielen. Das ist ja für den User gesperrt.

  7. Re: Bin davon betroffen…

    Autor: Trockenobst 06.02.14 - 19:04

    User_x schrieb:
    --------------------------------------------------------------------------------
    > hab zwar selbst eine fritzbox, telefoniere aber über ein voip-anbieter, da
    > unitymedia keine flat für ein bestimmtes land hat...

    In meinem Fritzbox Internettelefonie-Menü kann ich folgendes einstellen:

    ---snip---
    [ ] Festnetz-Ersatzverbindung verwenden
    Wenn die Anwahl über das Internet nicht möglich ist, wird die Telefonverbindung ersatzweise über den Festnetzanschluss der FRITZ!Box hergestellt.
    Hinweis: Sie telefonieren dann zum Festnetz-Tarif.
    ---snip---

    Somit agiert die Fritzbox dann als VOIP->Festnetz Bridge. Da hilft dann nur eine Landes-Sperre vom ISP/Anbieter, denn das knacken der Fernwartung erlaubt die Änderung des Settings auch ohne zusätzliches Passwort. Da ist man quasi immer "Root".

  8. Re: Bin davon betroffen…

    Autor: batmak 06.02.14 - 19:52

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > Bei mir wurde ein "IP Phone" eingerichtet und mit diesem sehr oft nach
    > Sierra Leone angerufen. Jeder dieser Anrufe dauerte zwischen 2 und 21
    > Minuten (auf die Sekunde genau).


    Sahen/Sehen Sie im Fritzbox-Log (System > Ereignisse) den Zugriff von außen auf das Webinterface? ("Anmeldung des Benutzers $Username an der FRITZ!Box Benutzeroberfläche von IP-Adresse $ipadresse")?

    Da auch fehlgeschlagene Logins geloggt werden, wäre es interessant, ob genau beim ersten Mal das Login klappte. Das würde bedeuten, dass der Angreifer bei Zugriff auf die Fritzbox ihre Zugangsdaten kannte. Dann wäre die Frage: woher?

    Nutzen Sie z.B. Handy-Apps für den Zugriff auf die Fritzbox von zuhause oder von unterwegs ? Auch welche von Dritt-Anbietern? Haben Sie dort ihr Passwort eingegeben?

    batmak

  9. Re: Bin davon betroffen…

    Autor: Maximilian_XCV 06.02.14 - 20:15

    Also wir haben auch eine Fritzbox von KabelBW und hier ist nichts passiert. Die Fernwartungsfunktion ist schon seit einem Jahr mit den gleichen Zugangsdaten eingeschaltet (gewesen; jetzt vorübergehend aus, bis die Ursache geklärt ist).

    Ich finde das ganze Thema auf jeden Fall sehr komisch und werde es weiter verfolgen.

  10. Re: Bin davon betroffen…

    Autor: Sascha H. 06.02.14 - 20:15

    > batmak schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > Sahen/Sehen Sie im Fritzbox-Log (System > Ereignisse) den Zugriff von außen
    > auf das Webinterface? ("Anmeldung des Benutzers $Username an der FRITZ!Box
    > Benutzeroberfläche von IP-Adresse $ipadresse")?
    Komischerweise gehen die Logeinträge nur bis dahin zurück, wo Unitymedia am 04.02. neue Einstellungen an das Gerät übertragen hat. Der "interessante" Zeitraum (31.01.14 02:18 Uhr) ist dort nicht mehr drin.


    > Nutzen Sie z.B. Handy-Apps für den Zugriff auf die Fritzbox von zuhause
    > oder von unterwegs ? Auch welche von Dritt-Anbietern? Haben Sie dort ihr
    > Passwort eingegeben?
    Ich benutze sonst nur die offizielle FRITZ!App für iOS über WLAN oder VPN. Das Passwort ist eigentlich auch keins, dass man in jedem Wörterbuch findet.

  11. Re: Bin davon betroffen…

    Autor: nicoledos 06.02.14 - 20:18

    ich weiss warum ich keine zwangsrouter mag

  12. Re: Bin davon betroffen…

    Autor: batmak 06.02.14 - 20:32

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > Komischerweise gehen die Logeinträge nur bis dahin zurück, wo Unitymedia am
    > 04.02. neue Einstellungen an das Gerät übertragen hat. Der "interessante"
    > Zeitraum (31.01.14 02:18 Uhr) ist dort nicht mehr drin.

    Das FritzBox Ereignis-Log ist nicht reboot fest. Nach einem Softwareupdate (incl. Reboot) fängt dieses folglich immer leer wieder an. Interessant ist die automatisch tägliche eMail-Zusendung dieser Daten (System > Push-Service > FRITZ!Box-Info)

    > > Nutzen Sie z.B. Handy-Apps für den Zugriff auf die Fritzbox von zuhause
    > > oder von unterwegs ? Auch welche von Dritt-Anbietern? Haben Sie dort ihr
    > > Passwort eingegeben?
    > Ich benutze sonst nur die offizielle FRITZ!App für iOS über WLAN oder VPN.
    > Das Passwort ist eigentlich auch keins, dass man in jedem Wörterbuch
    > findet.

    OK. Immerhin heißt das, dass schon vorher ein "IP-Telefon" als Telefongerät in der Fritzbox angelegt war. An meldet sich die FRITZ!App meines Wissens nach an. Bleibt die Frage, ob die "SIP-Anmeldung aus dem Internet" (welche in diesem Angriffsszenario wohl verwendet wurde) aktiv war (in den Eigenschaften des "IP-Telefon"-Eintragen).

    batmak

  13. Re: Bin davon betroffen…

    Autor: denta 06.02.14 - 20:32

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > Ich benutze sonst nur die offizielle FRITZ!App für iOS über WLAN oder VPN.

    Auch über fremde WLANs?
    Verschlüsselt die App sauer?

    > Das Passwort ist eigentlich auch keins, dass man in jedem Wörterbuch
    > findet.

    Nutzt Du das Passwort auch an anderen Stellen, so dass dort gesnifft werden konnte?

  14. Re: Bin davon betroffen…

    Autor: b_s101 07.02.14 - 08:18

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > > batmak schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > Sahen/Sehen Sie im Fritzbox-Log (System > Ereignisse) den Zugriff von
    > außen
    > > auf das Webinterface? ("Anmeldung des Benutzers $Username an der
    > FRITZ!Box
    > > Benutzeroberfläche von IP-Adresse $ipadresse")?
    > Komischerweise gehen die Logeinträge nur bis dahin zurück, wo Unitymedia am
    > 04.02. neue Einstellungen an das Gerät übertragen hat. Der "interessante"
    > Zeitraum (31.01.14 02:18 Uhr) ist dort nicht mehr drin.
    Das mit den "neuen Einstellungen" würde mich stutzig machen. Sicher, dass die von Unitymedia kamen? Hier kommt nämlich TR-069 zum Einsatz.

  15. Re: Bin davon betroffen…

    Autor: RcRaCk2k 03.03.14 - 20:21

    Einen Bekannten von mir hat es auch erwischt... Kein TR-069, alles manuell eingerichtet. FRITZ!OS 05.53 war zu dem Zeitpunkt installiert.

    Ich habe mir von seiner Box immer jeden Tag die Push-Messages schicken lassen. Was ich sehen kann:

    * Am 06.02 war der Fernzugriff noch aktiviert
    * Am 07.02 war dieser deaktiviert

    Es gab keine Einträge "Anmeldung des Benutzers $Username an der FRITZ!Box Benutzeroberfläche von IP-Adresse $ipadresse" ... Das ist eben das sehr komische.

    Ich habe alle Logs bis zurück in mehrere Monate. Es gibt keine Auffälligkeiten.

    Die Box war mittels BENUTZERNAME + KENNWORT verschlüsselt. Der Hacker wäre da niemals mit den Daten rein gekommen, da die Kombination schon echt schwer zu erraten ist und die Daten einmalig sind (werden kein zweites Mal verwendet). Im internen Netz wird ein sehr starkes Fritz!Box Kennwort verwendet, wo man immer auf den Zettel kucken muss, da man sich dies einfach nicht merken kann, so kryptisch ist dies.

    Ich denke, dass die Leute ohne Authentifizierung in das System gefunden haben.

    Es wurden keine IP-Telefone angelegt, sondern die VoIP-Daten ausgelesen und mit diesen direkt eine SIP-Verbindung zur Gegenstelle aufgebaut. Auch in den Call-Logs in der Fritz!Box ist in dem besagten Zeitraum nichts zu finden.

    Angerufen wurden folgende Nummern:
    +68687004 (0068687004)
    +22504163156 (0022504163156)
    +201151582627 (00201151582627)
    +263778796620 (00263778796620)
    +22504754175 (0022504754175)

    Vielleicht hat auch jemand diese Rufnummern bei sich gefunden. Ich denke dass es unterschiedliche Gruppen waren, die sich da den "Spaß" erlaubt haben.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DATAGROUP Köln GmbH, Köln
  2. novacare GmbH, Bad Dürkheim
  3. AWEK microdata GmbH, Bielefeld
  4. BWI GmbH, Stetten am kalten Markt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Call of Duty: Modern Warfare für 52,99€, Pillars of Eternity II für 16,99€, Devil May...
  2. 699,00€ (Bestpreis!)
  3. (u. a. Aorus Pro für 219,90€, Aorus Pro WiFi für 229,90€, Aorus Elite für 189,90€)
  4. (u. a. Sandisk SSD Plus 1 TB für 88,00€, WD Elements 1,5-TB-HDD für 55,00€, Seagate Expansion...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Vision 5 und Epos 2 im Hands on: Tolinos neue E-Book-Reader-Oberklasse ist gelungen
Vision 5 und Epos 2 im Hands on
Tolinos neue E-Book-Reader-Oberklasse ist gelungen

Die Tolino-Allianz bringt zwei neue E-Book-Reader der Oberklasse auf den Markt. Der Vision 5 hat ein 7 Zoll großes Display, beim besonders dünnen Epos 2 ist es ein 8-Zoll-Display. Es gibt typische Oberklasse-Ausstattung - und noch etwas mehr.
Ein Hands on von Ingo Pakalski

  1. Tolino Page 2 Günstiger E-Book-Reader erhält Displaybeleuchtung

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

  1. Watch Parties: Twitch ermöglicht Streamern Filmabende mit Followern
    Watch Parties
    Twitch ermöglicht Streamern Filmabende mit Followern

    Gemeinsam im kleinen oder großen Kreis einen Spiefilm oder eine TV-Serie per Streaming anschauen: Das können Influencer künftig auf Twitch - vorerst allerdings nur in den USA.

  2. Smartspeaker: Belauschen mit Alexa- und Google-Home-Apps
    Smartspeaker
    Belauschen mit Alexa- und Google-Home-Apps

    Mit verschiedenen Tricks gelang es Sicherheitsforschern, Apps für Google Home und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps überstanden den Review-Prozess von Google und Amazon.

  3. Epic Games: Fans frustriert über mehr Grind in Fortnite
    Epic Games
    Fans frustriert über mehr Grind in Fortnite

    Nach dem Start des zweiten Kapitels von Fortnite gibt es Frust in der Community: Es ist nun noch mehr Zeitaufwand oder Geld nötig, um alle Stufen des Battle Pass freizuschalten - und dabei wirbt Epic Games mit "Mehr Spaß, weniger Grinden".


  1. 17:38

  2. 17:23

  3. 16:54

  4. 16:39

  5. 15:47

  6. 15:00

  7. 13:27

  8. 12:55