Brute force Attacke auf meine Fritzbox?

[MarcDK]

In meinen Logs steht folgendes:

Anmeldung des Benutzers support an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 37.49.231.46 gescheitert (falsches Kennwort).22.07.18 18:57:49Anmeldung des Benutzers maint an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 37.49.231.46 gescheitert (falsches Kennwort).

Nach etwas googeln habe ich das hier zu der IP gefunden: https://www.abuseipdb.com/check/37.49.231.46
Probiert da jemand wirklich wahllos IP Adressen im Netz durch und guckt ob ein Router dabei ist? Mir war gar nicht bewusst, fsss die Fritzbox außerhalb von MyFritz per IP ihre Loginmaske läd.

Oder was passiert hier? Der Typ ist ja nicht bei mir im lokale Netzwerk.

 

[d2boxSteve]

Das ist eine IP aus Island. Natürlich ist deine Fritzbox weltweit erreichbar wenn du MyFritz aktivierst. MyFritz dient nur dazu, dass du einen leicht zu merkenden Namen dafür hast ala DynDNS.

• inetnum: 37.49.231.0 - 37.49.231.255
• netname: CLOUDSTAR-06
• descr: CLOUD STAR HOSTING SERVICES
• country: IS
• 
  
• organisation: ORG-CSHS2-RIPE
• org-name: CLOUD STAR HOSTING SERVICES
• org-type: OTHER
• address: 29 Laugavegur Reykjavik Iceland 101
• e-mail: admin@cloudstar.is

 

[majusss]

Sämtliche DynDNS services, MyFRITZ, Fernwartung und VPNs deaktivieren. Dann mindestens 20 h lang belesen, nachdenken und dann ggf. wieder einschalten.

 

[Asghan]

MyFritz abschalten, Webinterface nur intern erreichbar machen.

 

[MarcDK]

Man kann MyFritz nicht nur mit der Authentifizierung aktivieren ohne er gleich das Webinterface mit der Login-Maske ohne MyFritz-Password ins Netz stellt?

Mir ist schon klar, dass MyFritz genau das machen soll mit xyz12312213123@myfritz.net welches immer auf die IP meines Routers weiterleitet. Aber man könnte doch davor nochmal die Authentifierzung von MyFritz setzen.

Ok, aber ich muss es wohl so lassen. Mein Minecraft Server läuft darüber.

 

[Raijin]

myfritz ist ja nur ein DDNS, das hat noch nichts mit der Erreichbarkeit der Fritzbox an sich zu tun. Jedes Gerät in einem Netzwerk bzw. dem Internet - so auch die Fritzbox - wird ausschließlich über die IP-Adresse angesprochen! Myfritz und sonstige DDNS-Dienste sind nur eine Namens-Datenbank, die einer (Sub-)Domain eine dynamische IP zuweisen.

Wenn der Angreifer nun also direkt die öffentliche IP der Fritzbox scannt - bzw. eher einen IP-Bereich wo die Fritzbox dann eben drin ist - dann bringt es nix, myfritz abzuschalten.

Um es zu verdeutlichen:

Angreifer --myfritzadresse--> DNS
DNS --ipvonfritzbox --> Angreifer
Angreifer --atttttaaaaackeeee--> ipvonfritzbox

oder

Angreifer --atttttaaaaackeeee--> IP-Bereich inkl. ipvonfritzbox

In der Regel wird letzteres der Fall sein, weil einfach ein IP-Bereich gescannt und sukzessive angegriffen wird. Ersteres wird wenn überhaupt nur für gezielte Angriffe genutzt, eignet sich jedoch nicht wirklich für großflächige Angriffe.


Das A und O ist daher, das Webinterface des Routers nicht aus dem www verfügbar zu machen. Wenn die Fritzbox gar nicht erst auf etwaige Anfragen reagiert, kann sich auch niemand da reinhacken.

 

[Wilhelm14]

Die Fritzbox erreicht man auch ohne https und ohne nach außen zeigender Anmeldemaske, indem man nur VPN nutzt. Man kann myfritz als DynDNS nutzen um die Fritzbox mit ihrer IP auffindbar zumachen. Das Webinterface muss dabei nicht nach außen zeigen.

Edit: Minecraft-Server laufen doch bestimmt in deinem Heimnetz mit einer Portweiterleitung, oder? Das geht ja auch ohne, dass sich die Fritzbox nach außen per https mit ihrem Webinterface zeigt.
PPS: Geht Brute-Force überhaupt so richtig bei der Fritzbox? Je häufiger man das Passwort falsch eingibt, desto länger die Zeit, bis ich es erneut versuchen kann. Ist das nicht beim dritten Mal schon auf 30 Sekunden und dann gleich 2 Minuten oder so ähnlich? Moment, es sind 2, 4, 8, 16,... Sekunden.

 

[d2boxSteve]

Einfach das Passwort auf was ausreichend sicheres setzen und alles ist gut.

 

[razzy]

Mal abgesehen von dem deaktivieren der MyFritz-Dienste könntest du auch einen anderen "Management"-Port setzen, denn default ist es Port 80 / 443

 

[chrigu]

ich vermute, die bruteforce attacke ist eher dem minecraft server zu verdanken und die fritzbox will das nicht.
deshalb würde ich mal den server selber updaten und lücken schleunigst zu schliessen, inkl. einem bruteforce schutz, z.b. einer firewall.

 

[MarcDK]

ich vermute, die bruteforce attacke ist eher dem minecraft server zu verdanken und die fritzbox will das nicht.
deshalb würde ich mal den server selber updaten und lücken schleunigst zu schliessen, inkl. einem bruteforce schutz, z.b. einer firewall.

Nein. Das würde ich ja dort im log sehen. Das ist clean. Die Fritzbox zeigt mir diese Meldungen unter "Ereignisse" an.

 

[Hayda Ministral]

Einfach eine Mail an Abuse des Providers mit dem Protokoll. Island ist - im Gegensatz zu Schweiz, Österreich und GB, kein Bestandteil der Achse des Terrors und die Annahme, dass ein Isländischer Provider einen faulen Apfel aus seinem Korb entfernt sobald er von ihm Kenntnis erhält, daher statthaft.

 

[Wilhelm14]

Und warum nicht einfach das Webinterface nicht mehr nach außen zeigen? Um die FB von außen zu erreichen oder Minecraft-Server zu betreiben braucht man das Weinterface nicht nach außen zeigen lassen.

 

[MarcDK]

Und warum nicht einfach das Webinterface nicht mehr nach außen zeigen? Um die FB von außen zu erreichen oder Minecraft-Server zu betreiben braucht man das Weinterface nicht nach außen zeigen lassen.

Das war ja meine Frage wie das geht. Denn die myfritz Adresse brauche ich weil das der dyndns für den Server ist aber das web Admin Interface nicht. Wo mach ich das?

 

[Wilhelm14]

Internet, Freigaben, Fritzbox-Dienste, Internetzugriff. Dort bei https, ftps beide Haken raus.
Dann noch folgenden, evtl. redundanten Punkt prüfen:
Internet, Myfritz-Konto, Myfritz-Internetzugriff, https-Haken entfernen.
Myfritz/DynDNS an sich bleibt unverändert an und man erreicht immer noch die Fritzbox. Nur zeigt sie jetzt von außen beim Aufruf der WAN-IP kein Webinterface mehr. Der Minecraft-Server sollte eben auch noch weiter erreichbar sein.

 

[Robolon]

Um deinen Minecraft Server von außen zu erreichen brauchst du keine DDNS. Du kannst diesen auch über deine externe IP Adresse erreichen. Dazu musst du an deiner Fritzbox lediglich das Port 25565 auf die IP deines Server weiterleiten. Deine externe IP findest du hier raus: WhatsMyIp

Wie das mit dem MyFritz Dienst ist weiß ich leider nicht. Ich hatte noch nichts mit Fritz Boxen zu tun.

 

[MarcDK]

Aber wie soll ich denn jeden Tag den Leuten die neue IP kommunizieren wenn ich das nicht über DDNS mache?

 

[Raijin]

Portweiterleitung und DDNS haben nichts miteinander zu tun.


Die Portweiterleitung ist in jedem Fall notwendig, um das NAT des Routers zu überwinden. DDNS ist lediglich eine Art Postfach für täglich wechselnde öffentliche IP-Adressen. Notwendig ist DDNS für den Betrieb eines Servers nicht, aber eben sehr angenehm, weil man sich nicht täglich die aktuelle IP raussuchen muss.

 

[MarcDK]

Schon klar. Also DDNS brauche ich hierfür: https://mc.marc.tv/ Sonst funktioniert das Script nicht und die Leute wissen nicht, wie sie auf den Server kommen.

 

[Raijin]

Das war auch eher an Robolon gerichtet