Hackeranfriff?

[juergen15115]

Ich habe seit Tagen in meinen Ereignissprotokoll ca. alle 4-5 Minuten einen Versuch sich auf meine Fritzbox einzuloggen.
Das sieht dann so aus:
12.12.20 15:25:14 Anmeldung des Benutzers admin an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
12.12.20 15:20:44 Anmeldung des Benutzers ragi an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
12.12.20 15:16:14 Anmeldung des Benutzers gigihome9622mkv an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
12.12.20 15:11:46 Anmeldung des Benutzers [email protected] an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
An wen kann man sich dabei wenden oder was kann ich dagegen tun? Auch wenn ich ein ziemlich sicheres Passwort habe bin ich trotzdem ein bisschen beunruhigt!

 

[Dinniz]

Hast du eine FB vom Anbieter oder eine eigene?

 

[tokon]

was kann ich dagegen tun?

Zugriff auf die Box übers Internet deaktivieren.
Und falls benötigt das über VPN lösen.

 

[juergen15115]

ist eine Vodafone Box, und ich hab meine Cloud darüber laufen ...
aber auch wenn ich sie ganz dicht macht finde ich es beunruhigend.
Ich habs mit Neustart versucht um eine andere IP zu bekommen, aber da reicht es wohl nicht, wenn man nur kurz offline geht. muss ich wohl die Box für länger ausschalten?

 

[Servior]

Um eine neue IP zu erhalten muss die Box über stunden offline sein. Das löst aber nicht dein Problem, sondern verschiebt es nur auf eine andere IP.

Das deine "Cloud" darüber läuft hat nichts mit der Weboberfläche der Fritzbox zu tun. Für deine Cloud gibst du einzelne Ports von extern frei oder nutzt besser gleich ein VPN. Deswegen muss deine Fritzbox allerdings nicht komplett im Internet erreichbar sein.

Edit: Ist bei dir die Option " Internetzugriff auf die FRITZ!Box über HTTPS aktiviert " eingeschaltet? Dann abschalten!

 

[juergen15115]

Ok, dann hab ich das jetzt deaktiviert.
Aber ich denke, wenn ich eine andere IP hab, findet mich der hacker doch nicht mehr. So wie es aussieht, ist es doch nur Zufall, daß er meine IP gefunden hat.
Früher hab ich schon nach 10 Minuten eine andere IP gekriegt. Heute dauert das so lange? Wie die Zeiten sich ändern

 

[__QT__]

Aber ich denke, wenn ich eine andere IP hab, findet mich der hacker doch nicht mehr.

Der probiert doch einfach eine IP nach der anderen durch. Dann wird er auch irgendwann wieder auf der neuen IP auftauchen...

Meinste, der hat es gezielt auf Dich abgesehen und hat irgendwie Deine ansich nicht bekannte IP ausfindig gemacht? Die scannen IP Bereiche von großen Providern und suchen nach offenen Ports. Wenn der Port offen ist, wirst Du in die Liste gepackt, wo dann mit user/password ein Zugang versucht wird. Das ist ein Prozess, der komplett automatisiert abläuft. Und wenn es "klingelt", dann kam man irgendwo rein und es kann sich jemand drum kümmern, was dort abgegriffen werden kann.

Daher: Alle Zugänge aus dem Internet dicht. Keine Portweiterleitungen. Lediglich VPN Zugang und hier die Software für den VPN Zugang aktuell halten.

 

[juergen15115]

Ok, danke,...
Kann mann das nicht irgendwo melden, damit die Angreifer irgendwie wur Rechenschaft gezogen werden? Und wenn sie nur von ihrem Provider gesperrt werden? Ich hab mal eine Mail zu dem provider der Angreifer IP geschickt aber noch keine Antwort erhalten...

 

[__QT__]

Meinste, die sitzen direkt auf der IP, von wo die Angriffe augenscheinlich kommen? Das wird auch nur ein anderer gekaperter Zugang sein, den man dann missbraucht, um von dort weiter vorzugehen. Das ist im Endeffekt eine Kaskade von IPs und die wahren Drahtzieher wirst Du so kaum ermitteln können...

 

[juergen15115]

Ich dachte... Aber dann ist es wohl sinnlos. Da kann man eben nix machen.
Danke für die Tipps!

 

[__QT__]

Da kann man eben nix machen.

Doch, Du kannst für die Sicherheit in und hinter Deinem Router sorgen.

Nochmal: Zugang zur Fritzbox aus dem Internet deaktivieren und alle Portweiterleitungen deaktivieren. Lediglich einen VPN Zugang einrichten und dann von unterwegs immer per VPN auf Dein LAN zugreifen.

 

[boba]

Kann mann das nicht irgendwo melden, damit die Angreifer irgendwie wur Rechenschaft gezogen werden? Und wenn sie nur von ihrem Provider gesperrt werden? Ich hab mal eine Mail zu dem provider der Angreifer IP geschickt aber noch keine Antwort erhalten...

Das ist ein Adressbereich eines Providers auf den Seychellen. Wenn du Glück hast und es ist ein seriöser Provider, wird er den entsprechenden Server sperren, aber in aller Regel suchen sich Spammer und Hacker unseriöse bzw. schludrige Provider, weil sie sonst ja praktisch sofort wieder gesperrt werden. Und in dem Fall ist die Bereitschaft dort unten, einen Server zu sperren, weil sich irgendwer im fernen Europa über einen Hacker beschwert hat, wohl doch eher etwas begrenzt.

 

[floh667]

Ist das deine E-Mail die oben angegeben wurde? Wenn ja solltest du evtl auch Mal deinen Computer genauer unter die Lupe nehmen. Evtl ist dein ganzes system gekapert worden

 

[juergen15115]

Ist das deine E-Mail die oben angegeben wurde? Wenn ja solltest du evtl auch Mal deinen Computer genauer unter die Lupe nehmen. Evtl ist dein ganzes system gekapert worden

Nein, das sind mittlerweile schon hunderte mailadressen, die ausprobiert werden. Ich denke, der hacker hat irgendwo eine Liste mit mailadressen ergattert und probiert sie alle durch. Aber nicht nur mailadressen sondern auch so Benutzernamen wie "Admin"

 

[__QT__]

Und da sind wir wieder beim Thema, was im Beitrag zum EPC3212 Ersatznetzteil diskutiert wird: wie gut die Fritzbox im Vergleich zu anderen Routern ist. In meinem Router würde ich die IP, von wo die Anfragen kommen einfach auf DROP setzen und alle Pakete verwerfen. In der Fritzbox hat man keine Ansatzmöglichkeiten die IP Pakete zu behandeln...

 

[juergen15115]

Hier mal ein paar Beispiele :

 

[juergen15115]

Und da sind wir wieder beim Thema, was im Beitrag zum EPC3212 Ersatznetzteil diskutiert wird: wie gut die Fritzbox im Vergleich zu anderen Routern ist. In meinem Router würde ich die IP, von wo die Anfragen kommen einfach auf DROP setzen und alle Pakete verwerfen. In der Fritzbox hat man keine Ansatzmöglichkeiten die IP Pakete zu behandeln...

Oder das man nach 3 fehlversuchen eine Pause einlegen muss... Oder der Zugang übers Internet und wlan ganz gesperrt wird. Wäre doch von AVM ganz einfach zu machen

 

[why_]

Und da sind wir wieder beim Thema, was im Beitrag zum EPC3212 Ersatznetzteil diskutiert wird: wie gut die Fritzbox im Vergleich zu anderen Routern ist. In meinem Router würde ich die IP, von wo die Anfragen kommen einfach auf DROP setzen und alle Pakete verwerfen. In der Fritzbox hat man keine Ansatzmöglichkeiten die IP Pakete zu behandeln...

IPs blocken ist so 2000, das ist das der selbe voodoo wie greylisting. Funktioniert nicht vernünftig aber Hauptsache man hat was gemacht und im Zweifel hat man sich dann selbst ausgesperrt. Einfach vernünftig Security machen dann muss man sich auch keine Gedanken darüber machen irgendwas zu sperren.

Oder das man nach 3 fehlversuchen eine Pause einlegen muss... Oder der Zugang übers Internet und wlan ganz gesperrt wird. Wäre doch von AVM ganz einfach zu machen

Das ist auch quark, die Lösung wären Client Zertifikate statt irgendwelche Passwort basierten Authentifizierungen.

 

[__QT__]

Wüssste jetzt nicht, was so dramatisch schlimm dran sein soll, wenn man die IP erstmal sperrt, bis man dann letztlich alles auf "vernünftige Security" umgestellt hat. Genau das wurde ja eh schon weiter oben angeraten, aber bis man soweit ist, könnte man dennoch irgendwas unternehmen...

 

[vsnap]

Wir woanders auch diskutiert: https://forum.vodafone.de/t5/Intern...n-aus-dem-Netz-auf-meinen-Router/td-p/2476654

Hast du eingestellt, dass ein Zertifikat von Let's Encrypt genutzt werden soll? Dann wird dein Hostname in einer öffentlichen Liste geführt (https://censys.io/certificates?q=parsed.issuer.organization.raw:+"Let's+Encrypt"&). Das filterst du z.B. auf myfritz.net und hast eine ganze latte an Fritz!Boxen (https://censys.io/certificates?q=parsed.issuer.organization.raw:+"Let's+Encrypt"+myfritz.net). Jetzt nem Bot geben und los. Was man dann damit machen kann ist ne andere Frage.

Wenn du sicherer sein willst, mach die Portfreischaltungen aus und nutze VPN (wie oben schon mehrfach erwähnt). Aber selbst für NAT gibt es funktionierende exploits. Ich bin da bei why_. Prinzipiell finde ich schon, dass man IPs autoblocken lassen kann, das hilft ein wenig (für Ordnung im Log). Letztlich muss aber alle sweg, was Passwörter nutzt.

 

[Holzlenkrad]

Bei mir probiert die gleiche IP-Adresse ebenso eine Reihe von Zugangsdaten aus. Im Gegensatz zu den meisten anderen Kommentaren hier bin ich aber nicht der Meinung, dass das pauschal ein Problem ist. Wenn das eigene Passwort sicher genug ist, dann erreicht man mit so einem brute force rein gar nichts - insofern wäre auch das Abschalten des HTTPS-Zugangs unnötig.

Problematisch wird es, wenn der Router eine Sicherheitslücke hat, die einen Zugriff ohne Passwort erlaubt. Theoretisch wäre das aber auch über VPN möglich, wenn auch unwahrscheinlicher.

Was aber wirklich etwas nervt ist der Spam im Logfile. Da könnte eine simple Fail2Ban implementierung von AVM wirklich ordentlich helfen, denn hier ist es ja nur eine IP-Adresse...
Wenn die Abuse-Stelle des Verursacher-Providers nicht zeitnah reagiert, dann sollte Vodafone auch einfach die entsprechende IP-Adresse blockieren finde ich!

 

[juergen15115]

Bei mir probiert die gleiche IP-Adresse ebenso eine Reihe von Zugangsdaten aus. Im Gegensatz zu den meisten anderen Kommentaren hier bin ich aber nicht der Meinung, dass das pauschal ein Problem ist. Wenn das eigene Passwort sicher genug ist, dann erreicht man mit so einem brute force rein gar nichts - insofern wäre auch das Abschalten des HTTPS-Zugangs unnötig.

Problematisch wird es, wenn der Router eine Sicherheitslücke hat, die einen Zugriff ohne Passwort erlaubt. Theoretisch wäre das aber auch über VPN möglich, wenn auch unwahrscheinlicher.

Was aber wirklich etwas nervt ist der Spam im Logfile. Da könnte eine simple Fail2Ban implementierung von AVM wirklich ordentlich helfen, denn hier ist es ja nur eine IP-Adresse...
Wenn die Abuse-Stelle des Verursacher-Providers nicht zeitnah reagiert, dann sollte Vodafone auch einfach die entsprechende IP-Adresse blockieren finde ich!

Genau das dachte ich mir auch. Ist aber nix passiert.
Ich habe jetzt, wie in dem oben angegebenen Beitrag, aber der Port 443 umbenannt und schon ist alles gut.

 

[Puhbert]

Hier mal ein paar Beispiele :Anhang 7200 betrachten

Hatte ich auch im gleichen Zeitraum. Seit gestern hat es dann aufgehört!

 

[boba]

Klingt jetzt vielleicht herzlos, aber so Hackerangriffe sind nichts besonderes. Mittlerweile wird das ganze Netz von Angreifern permanent automatisiert nach Schwachstellen gescannt, und sobald eine gefunden wird, und das sind auch Accounts mit schlechtem Passwort in der Fritzbox, wird die intern vermerkt und für die weitere Ausnutzung gespeichert und verkauft.

Es ist erforderlich, seine Systeme so abzusichern, dass auch wenn einer mit einem existierenden Benutzernamen ankommt, er wegen eines nicht bekannten Passworts trotzdem abgewiesen wird.
Es reicht nicht für die Sicherheit, dass man seine Dienste auf Non-Standard Ports auslagert - die werden über kurz oder lang ebenfalls gefunden. Wichtig ist, seine Dienste abzusichern, dass sie trotz Angriffen nicht gehackt werden können. Passworte sollten dabei ausreichend komplex sein und nirgendwo anders in Gebrauch. Für jeden einzelnen Account auf irgendeiner Maschine oder auf irgendeinem Dienst sollte man unbedingt ein anderes Passwort verwenden.

Bekannte gehackte Passwörter kann man z.b .auf Have I been pawned erkennen: https://haveibeenpwned.com/Passwords sowie wenn man schauen will, ob eine persönliche email-Adresse schonmal in einem Account-Datenbank Hack gestohlen und unter Umständen das Passwort in Klartext rekonstruiert wurde: https://haveibeenpwned.com/

Ich habe dort z.B. 7 Einträge für meine seit ca. 20 Jahre genutzte email-Adresse. Meine Passwortverwaltung (in google chrome) gleicht intern alle Passwörter mit dem Passwort-Check dort ab, und so habe ich gemeldet bekommen, wann immer ein von mir noch aktuell verwendetes Passwort in einer bekannten Passwortsammlung auftaucht.

Dabei sollte man noch beachten: es gibt keine unwichtigen Accounts. Bei keinem Account, und so unwichtig er einem erscheint, sollte man "12345" oder ähnlich simples als Passwort verwenden. Einem selbst mag der Account unwichtig erscheinen, und man verwendet ihn vielleicht auch nur ein einziges Mal. Aber das muss nicht für einen Hacker gelten, der den Zugriff darauf erhackt hat und damit unter fremder Identität unterwegs sein kann!


Was mir noch aufgefallen ist, Hackversuche finden praktisch ausschließlich über ipv4 statt. Auch wenn ich oben geschrieben habe, dass non-standard Ports sinnlos sind - wenn man wichtige lokale Dienste auf ipv6-only einstellt, dann hat man die Angriffsfläche aus Richtung Internet zum aktuellen Zeitpunkt deutlich reduziert. Das hat damit zu tun, dass es so extrem viele ipv6 Adressen gibt, so dass man ipv6 Adressbereiche nicht einfach durchprobieren kann. Eines der praktischen Vorteile von ipv6.