- Anzeige -

Massenhaft Anmeldeversuche im Ereignisprotokoll

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

Massenhaft Anmeldeversuche im Ereignisprotokoll

Beitragvon derpfeffi » 29.05.2016, 16:23

Hallo,

ich habe seit vorgestern massive Einträge im Ereignisprotokoll meiner Fritz!Box 6490 - seht selber:

28.05.16 23:16:50 Anmeldung des Benutzers telsec an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 23:13:51 Anmeldung des Benutzers support an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 23:10:52 Anmeldung des Benutzers admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 23:07:53 Anmeldung des Benutzers user an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 23:04:54 Anmeldung des Benutzers dslrhremote an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 23:01:55 Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:58:56 Anmeldung des Benutzers ftpuser an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:55:58 Anmeldung des Benutzers wvnet an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:52:59 Anmeldung des Benutzers telsec an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:50:01 Anmeldung des Benutzers support an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:47:01 Anmeldung des Benutzers admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:43:54 Anmeldung des Benutzers user an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:40:55 Anmeldung des Benutzers dslrhremote an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:37:56 Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:34:56 Anmeldung des Benutzers ftpuser an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:31:57 Anmeldung des Benutzers wvnet an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:28:57 Anmeldung des Benutzers telsec an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:25:58 Anmeldung des Benutzers support an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:22:59 Anmeldung des Benutzers admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:20:01 Anmeldung des Benutzers user an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:17:02 Anmeldung des Benutzers dslrhremote an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:14:04 Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:11:05 Anmeldung des Benutzers ftpuser an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:08:06 Anmeldung des Benutzers wvnet an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:05:08 Anmeldung des Benutzers telsec an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 22:02:09 Anmeldung des Benutzers support an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:59:11 Anmeldung des Benutzers admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:56:12 Anmeldung des Benutzers user an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:53:13 Anmeldung des Benutzers dslrhremote an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:50:14 Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:47:15 Anmeldung des Benutzers ftpuser an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:44:16 Anmeldung des Benutzers wvnet an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:41:17 Anmeldung des Benutzers telsec an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:38:17 Anmeldung des Benutzers support an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:35:18 Anmeldung des Benutzers admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:32:18 Anmeldung des Benutzers user an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:29:18 Anmeldung des Benutzers dslrhremote an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:26:20 Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:23:21 Anmeldung des Benutzers ftpuser an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:20:22 Anmeldung des Benutzers wvnet an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:17:22 Anmeldung des Benutzers telsec an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).
28.05.16 21:14:23 Anmeldung des Benutzers support an der FRITZ!Box Benutzeroberfläche von IP-Adresse 206.191.154.170 gescheitert (falsches Kennwort).


Das ist nur ein kleiner Auszug - das geht den ganzen Tag ....

Was kann ich dagegen machen?
Neuverbinden - da bekomm ich ja nicht zwangsläufig eine neue IP ..... ?

Ich habe schon herausgefunden, das die IP-Adresse eine amerikanische ist - NSA? ;-)
Abuse meldung abschicken?

Wie verhaltet Ihr Euch in solchen Fällen?

LG
derpfeffi
2Play Premium 200 mit UploadBooster (Telefon-Komfort-Funktion); TV Digital; TV Start; HD Option
Fritz!Box 6490, Unitymedia HD Modul
Bild
derpfeffi
Kabelexperte
 
Beiträge: 171
Registriert: 03.03.2016, 14:54
Wohnort: Lünen

Re: Massenhaft Anmeldeversuche im Ereignisprotokoll

Beitragvon johnripper » 29.05.2016, 16:48

derpfeffi hat geschrieben:Was kann ich dagegen machen?
Neuverbinden - da bekomm ich ja nicht zwangsläufig eine neue IP ..... ?

Ich habe schon herausgefunden, das die IP-Adresse eine amerikanische ist - NSA? ;-)
Abuse meldung abschicken?

Wie verhaltet Ihr Euch in solchen Fällen?


1. Absue wird nicht viel bringen. Du musst technisch selbst in der Lage sein deine Rechte im Internet durchzusetzen.

2. Grundsätzliches zum Zugang zum Webinterface:
a) Ich persönlich würde das Webinterface der Box auf gar keinen Fall (dauerhaft) von außen erreichbar machen! Welchen Grund hast, wozu benötigst du eine Erreichbarkeit von außen?
b) Wenn von extern auf die Box zugegriffen werden muss, dann per VPN mit entsprechenden Sicherheitsmerkmalen (L2TP via IPSec, ..).
c) Weiterhin gilt a), aber wenn es schon sein muss, dass du direkt auf das Webinterface zugreifen muss, würde ich erst mal den Port von 443 auf etwas anderes (höheres) wechseln. Außerdem kann man dir nur empfehlen das einfach nicht dauerhaft offen zu halten und ein ausreichend starkes Passwort und eigenen Benutzername für den Zugriff von extern zu verwenden. Außerdem a).

3. Habe das Problem nicht, da a).

Eigentlich sollte man alle Systeme die mit Login und Passwort arbeiten mindestens mit Fail2Ban oder ähnlichem schützen, was in diesem Fall jedoch nicht gehen wird, da es unmittelbar der Router ist. Deswegen a).
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Massenhaft Anmeldeversuche im Ereignisprotokoll

Beitragvon derpfeffi » 29.05.2016, 18:41

johnripper hat geschrieben:
1. Absue wird nicht viel bringen. Du musst technisch selbst in der Lage sein deine Rechte im Internet durchzusetzen.

2. Grundsätzliches zum Zugang zum Webinterface:
a) Ich persönlich würde das Webinterface der Box auf gar keinen Fall (dauerhaft) von außen erreichbar machen! Welchen Grund hast, wozu benötigst du eine Erreichbarkeit von außen?
b) Wenn von extern auf die Box zugegriffen werden muss, dann per VPN mit entsprechenden Sicherheitsmerkmalen (L2TP via IPSec, ..).
c) Weiterhin gilt a), aber wenn es schon sein muss, dass du direkt auf das Webinterface zugreifen muss, würde ich erst mal den Port von 443 auf etwas anderes (höheres) wechseln. Außerdem kann man dir nur empfehlen das einfach nicht dauerhaft offen zu halten und ein ausreichend starkes Passwort und eigenen Benutzername für den Zugriff von extern zu verwenden. Außerdem a).

3. Habe das Problem nicht, da a).

Eigentlich sollte man alle Systeme die mit Login und Passwort arbeiten mindestens mit Fail2Ban oder ähnlichem schützen, was in diesem Fall jedoch nicht gehen wird, da es unmittelbar der Router ist. Deswegen a).


Danke für Deine Erläuterungen.
Ich brauche den Zugriff, um zum Beispiel über das Webinterface von unterwegs:
- einen meiner Rechner via Wake on lan zu starten
- die DECT-Thermostate zu steuern

Habe jetzt erst einmal den Port hochgesetzt - mit VPN muss ich mal sehen, ob das auch aus unserem Firmennetzwerk funktioniert. Werde ich morgen testen ....

LG
derpfeffi
2Play Premium 200 mit UploadBooster (Telefon-Komfort-Funktion); TV Digital; TV Start; HD Option
Fritz!Box 6490, Unitymedia HD Modul
Bild
derpfeffi
Kabelexperte
 
Beiträge: 171
Registriert: 03.03.2016, 14:54
Wohnort: Lünen

Re: Massenhaft Anmeldeversuche im Ereignisprotokoll

Beitragvon johnripper » 29.05.2016, 19:35

Die Veränderung des Ports darf halt keine Dauerlösung sein und wird ggf. aus verschiedenen Netzwerken (insb. Unternehmensnetzwerken) Probleme bereiten, da hoffentlich der ausgehende Netzwerkverkehr entsprechend eingeschränkt ist.
D.h. Ports 80, 443 und ggf. 8080 laufen meistens über Proxies, der Rest ist gesperrt, sofern nicht für andere Zwecke (Produktion, etc) benötigt

Außerdem bringt das ganze nur etwas gegen zu oberflächliche Skript-Kiddies und sonst nichts.

Soweit ich weiß lässt sich auf vielen Smartphones auch eine FritzBox-App installieren, wenn die Möglichkeiten des Webinterface (die ab FritzOS 6.50 sich doch sehr verbessert haben) nicht ausreichend sind. Natürlich müsste dann vom Smartphone eine VPN Verbindung gewählt werden, damit die App Zugriff erhält, aber Sicherheit ist eben ist keine Komfortfunktion.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Massenhaft Anmeldeversuche im Ereignisprotokoll

Beitragvon derpfeffi » 29.05.2016, 20:07

Danke nochmals.
Selbstverständlich habe ich schon immer einen eigenen Benutzer - allerdings unterstützt die FB nur Passwörter mit 32 Zeichen länge. Für alle sonstigen Zugänge nutze ich 64stellige Passwörter (habe ich mit Keepass so eingestellt), die aus allen möglichen Zeichen (incl. Klein-Großbuchstaben, Ziffern, Sonderzeichen etc. gebildet werden) und monatlich geändert werden.

Du siehst also, ganz bequem bin ich in Sachen Sicherheit nicht ;-)

LG
derpfeffi
2Play Premium 200 mit UploadBooster (Telefon-Komfort-Funktion); TV Digital; TV Start; HD Option
Fritz!Box 6490, Unitymedia HD Modul
Bild
derpfeffi
Kabelexperte
 
Beiträge: 171
Registriert: 03.03.2016, 14:54
Wohnort: Lünen

Re: Massenhaft Anmeldeversuche im Ereignisprotokoll

Beitragvon johnripper » 29.05.2016, 22:31

Na dann geht es ja.

Hintergrund der Loginversuche ist wahrscheinlich, dass man versucht eine Rufumleitung auf eine kostenpflichtige Auslandsnummer oder ein Telefoniegerät, das kostenpflichtige Auslandsnummern anruft einzurichten um hier Geführen zu betrügen.

In großem Stiel hatte dies ja bereits schon mal stattgefunden: viewtopic.php?f=90&t=27131 (hier realisiert über eine Sicherheitslücke).
Dass das Thema grundsätzlich nicht durch ist, sieht man uA an diese Artikel von heise.de

Wie auch immer, was mir noch eingefallen ist: Die FritzBox bietet unter System -> Benutzer ja grundsätzlich an verschiedene Benutzer einzurichten, die mit entsprechenden Rechten ausgestattet werden können. Zumindest die Option "Smart Home" ist dort vorhanden, sodass man nicht das Recht "FRITZ!Box Einstellungen" ("Benutzer mit dieser Berechtigung können alle Einstellungen der FRITZ!Box sehen und bearbeiten.") für einen User aus dem Internet vergeben muss.

Eventuell ist dies auch noch eine Option.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Massenhaft Anmeldeversuche im Ereignisprotokoll

Beitragvon MartinP_Do » 30.05.2016, 06:16

Ich würde trotzdem einen Abuse-Report an den Provider schicken.

Vielleicht wird da doch Providerseitig etwas getan.

Nachtrag:

Bist wohl nicht das einzige Attackierte von dieser Adresse:

http://www.liveipmap.com/217.68.164.199
MartinP_Do
Übergeordneter Verstärkerpunkt
 
Beiträge: 574
Registriert: 26.01.2016, 12:50
Wohnort: Ruhrgebiet

Re: Massenhaft Anmeldeversuche im Ereignisprotokoll

Beitragvon johnripper » 30.05.2016, 10:46

MartinP_Do hat geschrieben:Bist wohl nicht das einzige Attackierte von dieser Adresse:

http://www.liveipmap.com/217.68.164.199


Adresse ist 206.191.154.170 und nicht 217.68.164.199.
217.68.164.199 ist primacom
206.191.154.170 ist Voxel Dot Net, Inc. im AS 29791
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Massenhaft Anmeldeversuche im Ereignisprotokoll

Beitragvon MartinP_Do » 30.05.2016, 12:08

Ich beziehe mich auf drei verschiedene Posts in dem Thread, ich kann ja nix dafür, daß da kein eigener Thread aufgemacht wird, trotz der differierenden Adresse in Thread Titel ...


206.191.154.170 Trying to log in on home router

206.191.154.170 Is trying to log in on my home Router for one day every 3 minutes.
Reported on 29 May, 2016 07:00:28 AM



IP 206.191.154.170 is trying to login to my router every 3 minutes for at least one day

IP 206.191.154.170 tries to login to web login and ftp login
Reported on 29 May, 2016 02:29:30 PM



Trying to log in on home router

Is trying to log in on my home Router for one day every 3 minutes with difficult users
Reported on 30 May, 2016 09:06:41 AM



Kann mir übrigens nicht passieren - habe DSLite verpasst bekommen ;-)
MartinP_Do
Übergeordneter Verstärkerpunkt
 
Beiträge: 574
Registriert: 26.01.2016, 12:50
Wohnort: Ruhrgebiet

Re: Massenhaft Anmeldeversuche im Ereignisprotokoll

Beitragvon derpfeffi » 30.05.2016, 16:26

MartinP_Do hat geschrieben:Ich beziehe mich auf drei verschiedene Posts in dem Thread, ich kann ja nix dafür, daß da kein eigener Thread aufgemacht wird, trotz der differierenden Adresse in Thread Titel ...


206.191.154.170 Trying to log in on home router

206.191.154.170 Is trying to log in on my home Router for one day every 3 minutes.
Reported on 29 May, 2016 07:00:28 AM



IP 206.191.154.170 is trying to login to my router every 3 minutes for at least one day

IP 206.191.154.170 tries to login to web login and ftp login
Reported on 29 May, 2016 02:29:30 PM



Trying to log in on home router

Is trying to log in on my home Router for one day every 3 minutes with difficult users
Reported on 30 May, 2016 09:06:41 AM



Kann mir übrigens nicht passieren - habe DSLite verpasst bekommen ;-)


Der letzte Eintrag ist von mir selber :-)

Wie Du allerdings auf die IP 217.68.164.199 in Deinem Post von 5:03 Uhr kommst, weißt Du nur selber - hier war nur von der IP 206.191.154.170 die Rede
2Play Premium 200 mit UploadBooster (Telefon-Komfort-Funktion); TV Digital; TV Start; HD Option
Fritz!Box 6490, Unitymedia HD Modul
Bild
derpfeffi
Kabelexperte
 
Beiträge: 171
Registriert: 03.03.2016, 14:54
Wohnort: Lünen

Nächste

Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: Yahoo [Bot] und 15 Gäste