1. Foren
  2. Kommentare
  3. PC-Hardware-Forum
  4. Alle Kommentare zum Artikel
  5. › Fritzbox: Routerhack bleibt…

Bin davon betroffen…

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Bin davon betroffen…

    Autor: Sascha H. 06.02.14 - 17:16

    …aber angeblich ist keine meiner Email-Adressen mit Passwörtern in dieser Datenbank des BSI.
    Bei mir wurde ein "IP Phone" eingerichtet und mit diesem sehr oft nach Sierra Leone angerufen. Jeder dieser Anrufe dauerte zwischen 2 und 21 Minuten (auf die Sekunde genau).

    Ich persönlich halte die Erklärung mit dem BSI für Quatsch.

  2. Re: Bin davon betroffen…

    Autor: Sinnfrei 06.02.14 - 18:13

    Welcher Provider? Und ist es eine Box mit angepasster Firmware von denen? TR-069 (Port 8089) vielleicht auch über Web erreichbar (vielleicht benutzten die da ja ein Default-Passwort)? Oder was war sonst noch offen?

    __________________
    ...

  3. Re: Bin davon betroffen…

    Autor: Trockenobst 06.02.14 - 18:44

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > Ich persönlich halte die Erklärung mit dem BSI für Quatsch.

    Stumpfer Portscan, dann haben die mit einem Tool durchgecheckt was hinter der Adresse ist, dazu gibt es eine Brute Force Liste mit Passwörtern.

    Das ist ein automatisches Skript das da abläuft. Je nachdem was man hinter dem Port findet, gibt es Spamversand, Botnetz, Fernanruf usw. Die Tools kann man für 1000¤ im jeden Darknet-Knoten kaufen, inkl. Updates.

    In dem Fall: Fritzbox(a) in Deutschland(b) mit Fernnummer (c) für die keine Sperre eingerichtet war. Ganz simpel. Für den Netzuntergrund ist das Alltagsgeschäft, auf das jetzt ganz viele Aufspringen werden.

  4. Re: Bin davon betroffen…

    Autor: autidem 06.02.14 - 18:55

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Welcher Provider? Und ist es eine Box mit angepasster Firmware von denen?
    > TR-069 (Port 8089) vielleicht auch über Web erreichbar (vielleicht
    > benutzten die da ja ein Default-Passwort)? Oder was war sonst noch offen?

    Ja, ich vermute auch TR-069 als Ursache. Mal sehen, was da noch rauskommt, das wäre nämlich der Hammer!

  5. Re: Bin davon betroffen…

    Autor: User_x 06.02.14 - 18:56

    ist ein ip-phone eine voip-verbindung??? (dann haben die doch ausser meiner ip keine daten? kosten, egal da kein vertragsverhältnis?)

    hab zwar selbst eine fritzbox, telefoniere aber über ein voip-anbieter, da unitymedia keine flat für ein bestimmtes land hat...

  6. Re: Bin davon betroffen…

    Autor: Sascha H. 06.02.14 - 19:00

    Der Provider ist Unitymedia mit einer Fritz-Box für Kabel. Da ist eine angepasste Firmware von Unitymedia drauf. Eingerichtet war der Fernzugriff über https, vpn und ein paar Portweiterleitungen.

    Unitymedia hat natürlich auch Zugriff auf die Box um Updates einzuspielen. Das ist ja für den User gesperrt.

  7. Re: Bin davon betroffen…

    Autor: Trockenobst 06.02.14 - 19:04

    User_x schrieb:
    --------------------------------------------------------------------------------
    > hab zwar selbst eine fritzbox, telefoniere aber über ein voip-anbieter, da
    > unitymedia keine flat für ein bestimmtes land hat...

    In meinem Fritzbox Internettelefonie-Menü kann ich folgendes einstellen:

    ---snip---
    [ ] Festnetz-Ersatzverbindung verwenden
    Wenn die Anwahl über das Internet nicht möglich ist, wird die Telefonverbindung ersatzweise über den Festnetzanschluss der FRITZ!Box hergestellt.
    Hinweis: Sie telefonieren dann zum Festnetz-Tarif.
    ---snip---

    Somit agiert die Fritzbox dann als VOIP->Festnetz Bridge. Da hilft dann nur eine Landes-Sperre vom ISP/Anbieter, denn das knacken der Fernwartung erlaubt die Änderung des Settings auch ohne zusätzliches Passwort. Da ist man quasi immer "Root".

  8. Re: Bin davon betroffen…

    Autor: batmak 06.02.14 - 19:52

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > Bei mir wurde ein "IP Phone" eingerichtet und mit diesem sehr oft nach
    > Sierra Leone angerufen. Jeder dieser Anrufe dauerte zwischen 2 und 21
    > Minuten (auf die Sekunde genau).


    Sahen/Sehen Sie im Fritzbox-Log (System > Ereignisse) den Zugriff von außen auf das Webinterface? ("Anmeldung des Benutzers $Username an der FRITZ!Box Benutzeroberfläche von IP-Adresse $ipadresse")?

    Da auch fehlgeschlagene Logins geloggt werden, wäre es interessant, ob genau beim ersten Mal das Login klappte. Das würde bedeuten, dass der Angreifer bei Zugriff auf die Fritzbox ihre Zugangsdaten kannte. Dann wäre die Frage: woher?

    Nutzen Sie z.B. Handy-Apps für den Zugriff auf die Fritzbox von zuhause oder von unterwegs ? Auch welche von Dritt-Anbietern? Haben Sie dort ihr Passwort eingegeben?

    batmak

  9. Re: Bin davon betroffen…

    Autor: Anonymer Nutzer 06.02.14 - 20:15

    Also wir haben auch eine Fritzbox von KabelBW und hier ist nichts passiert. Die Fernwartungsfunktion ist schon seit einem Jahr mit den gleichen Zugangsdaten eingeschaltet (gewesen; jetzt vorübergehend aus, bis die Ursache geklärt ist).

    Ich finde das ganze Thema auf jeden Fall sehr komisch und werde es weiter verfolgen.

  10. Re: Bin davon betroffen…

    Autor: Sascha H. 06.02.14 - 20:15

    > batmak schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > Sahen/Sehen Sie im Fritzbox-Log (System > Ereignisse) den Zugriff von außen
    > auf das Webinterface? ("Anmeldung des Benutzers $Username an der FRITZ!Box
    > Benutzeroberfläche von IP-Adresse $ipadresse")?
    Komischerweise gehen die Logeinträge nur bis dahin zurück, wo Unitymedia am 04.02. neue Einstellungen an das Gerät übertragen hat. Der "interessante" Zeitraum (31.01.14 02:18 Uhr) ist dort nicht mehr drin.


    > Nutzen Sie z.B. Handy-Apps für den Zugriff auf die Fritzbox von zuhause
    > oder von unterwegs ? Auch welche von Dritt-Anbietern? Haben Sie dort ihr
    > Passwort eingegeben?
    Ich benutze sonst nur die offizielle FRITZ!App für iOS über WLAN oder VPN. Das Passwort ist eigentlich auch keins, dass man in jedem Wörterbuch findet.

  11. Re: Bin davon betroffen…

    Autor: nicoledos 06.02.14 - 20:18

    ich weiss warum ich keine zwangsrouter mag

  12. Re: Bin davon betroffen…

    Autor: batmak 06.02.14 - 20:32

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > Komischerweise gehen die Logeinträge nur bis dahin zurück, wo Unitymedia am
    > 04.02. neue Einstellungen an das Gerät übertragen hat. Der "interessante"
    > Zeitraum (31.01.14 02:18 Uhr) ist dort nicht mehr drin.

    Das FritzBox Ereignis-Log ist nicht reboot fest. Nach einem Softwareupdate (incl. Reboot) fängt dieses folglich immer leer wieder an. Interessant ist die automatisch tägliche eMail-Zusendung dieser Daten (System > Push-Service > FRITZ!Box-Info)

    > > Nutzen Sie z.B. Handy-Apps für den Zugriff auf die Fritzbox von zuhause
    > > oder von unterwegs ? Auch welche von Dritt-Anbietern? Haben Sie dort ihr
    > > Passwort eingegeben?
    > Ich benutze sonst nur die offizielle FRITZ!App für iOS über WLAN oder VPN.
    > Das Passwort ist eigentlich auch keins, dass man in jedem Wörterbuch
    > findet.

    OK. Immerhin heißt das, dass schon vorher ein "IP-Telefon" als Telefongerät in der Fritzbox angelegt war. An meldet sich die FRITZ!App meines Wissens nach an. Bleibt die Frage, ob die "SIP-Anmeldung aus dem Internet" (welche in diesem Angriffsszenario wohl verwendet wurde) aktiv war (in den Eigenschaften des "IP-Telefon"-Eintragen).

    batmak

  13. Re: Bin davon betroffen…

    Autor: denta 06.02.14 - 20:32

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > Ich benutze sonst nur die offizielle FRITZ!App für iOS über WLAN oder VPN.

    Auch über fremde WLANs?
    Verschlüsselt die App sauer?

    > Das Passwort ist eigentlich auch keins, dass man in jedem Wörterbuch
    > findet.

    Nutzt Du das Passwort auch an anderen Stellen, so dass dort gesnifft werden konnte?

  14. Re: Bin davon betroffen…

    Autor: b_s101 07.02.14 - 08:18

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > > batmak schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > Sahen/Sehen Sie im Fritzbox-Log (System > Ereignisse) den Zugriff von
    > außen
    > > auf das Webinterface? ("Anmeldung des Benutzers $Username an der
    > FRITZ!Box
    > > Benutzeroberfläche von IP-Adresse $ipadresse")?
    > Komischerweise gehen die Logeinträge nur bis dahin zurück, wo Unitymedia am
    > 04.02. neue Einstellungen an das Gerät übertragen hat. Der "interessante"
    > Zeitraum (31.01.14 02:18 Uhr) ist dort nicht mehr drin.
    Das mit den "neuen Einstellungen" würde mich stutzig machen. Sicher, dass die von Unitymedia kamen? Hier kommt nämlich TR-069 zum Einsatz.

  15. Re: Bin davon betroffen…

    Autor: RcRaCk2k 03.03.14 - 20:21

    Einen Bekannten von mir hat es auch erwischt... Kein TR-069, alles manuell eingerichtet. FRITZ!OS 05.53 war zu dem Zeitpunkt installiert.

    Ich habe mir von seiner Box immer jeden Tag die Push-Messages schicken lassen. Was ich sehen kann:

    * Am 06.02 war der Fernzugriff noch aktiviert
    * Am 07.02 war dieser deaktiviert

    Es gab keine Einträge "Anmeldung des Benutzers $Username an der FRITZ!Box Benutzeroberfläche von IP-Adresse $ipadresse" ... Das ist eben das sehr komische.

    Ich habe alle Logs bis zurück in mehrere Monate. Es gibt keine Auffälligkeiten.

    Die Box war mittels BENUTZERNAME + KENNWORT verschlüsselt. Der Hacker wäre da niemals mit den Daten rein gekommen, da die Kombination schon echt schwer zu erraten ist und die Daten einmalig sind (werden kein zweites Mal verwendet). Im internen Netz wird ein sehr starkes Fritz!Box Kennwort verwendet, wo man immer auf den Zettel kucken muss, da man sich dies einfach nicht merken kann, so kryptisch ist dies.

    Ich denke, dass die Leute ohne Authentifizierung in das System gefunden haben.

    Es wurden keine IP-Telefone angelegt, sondern die VoIP-Daten ausgelesen und mit diesen direkt eine SIP-Verbindung zur Gegenstelle aufgebaut. Auch in den Call-Logs in der Fritz!Box ist in dem besagten Zeitraum nichts zu finden.

    Angerufen wurden folgende Nummern:
    +68687004 (0068687004)
    +22504163156 (0022504163156)
    +201151582627 (00201151582627)
    +263778796620 (00263778796620)
    +22504754175 (0022504754175)

    Vielleicht hat auch jemand diese Rufnummern bei sich gefunden. Ich denke dass es unterschiedliche Gruppen waren, die sich da den "Spaß" erlaubt haben.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Softwaretester (m/w/d) für das Energiemanagementsystem Efficio
    Berg GmbH, Seeheim-Jugenheim bei Darmstadt oder remote
  2. Mitarbeiter (m/w/d) IT Support / Service Desk
    Camfil APC GmbH, Tuttlingen, Reinfeld
  3. Projektmanager Digitale Transformation (m/w/d)
    Hessen Trade & Invest GmbH, Wiesbaden
  4. IT-Administrator (m/w/d)
    SAGA IT-Services GmbH, Hamburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 1.168€
  2. 333€ statt UVP 699€
  3. 1.024 mit Rabattcode NBB25HARDWARE
  4. (u. a. AMD Ryzen 5 5600 für 179€, Palit RTX 3070 GamingPro für 669€, MSI RTX 3090 Gaming X...


Haben wir etwas übersehen?

E-Mail an news@golem.de