Meine Vodafone Station wurde gehackt!

[CB_usr90]

Hallo

Ich habe in den vergangen Wochen bereits im Event Log der Vodafone Station zahlreiche Einträge samt DDos Attacken festgestellt.

Soeben sah ich unter der Portofreigaben folgende zwei Einträge;

Was ist hier los? Wie kann es sein, dass die Firewall der Vodafone Station so etwas durchgehen lässt?
Ich kann die Portfreigaben auch nicht mehr deaktivieren!

 

[Mojo1987]

Warscheinlicher ist das auf dem System mit der genannten LAN IP irgendwas installiert wurde und sich via UPNP entsprechende Freigaben eingetragen hat. UPNP deaktivieren und dann sollten sich die Freigaben entfernen/deaktivieren lassen, im Zweifel die Box zurücksetzen.

DDos Attacken in einem Ereignisprotokoll müssen damit nicht in Zusammenhang stehen.

 

[Darkblade08]

zahlreiche Einträge samt DDos Attacken festgestellt.

Hast du daraufhin Maßnahmen ergriffen?

 

[derchris]

evtl wurden die per upnp hinzugefügt?

 

[CB_usr90]

Hast du daraufhin Maßnahmen ergriffen?

Ich habe gegoogelt und in einigen Foren stand, dass das bei Kabel-Internet passieren kann.
Habe daraufhin die Vodafone Station für 24 Stunden vom Strom genommen um eine neue IP zu erhalten.
Danach kamen einige Tage später die DDos Einträge erneut.

Die Ports habe ich erst heute gesehen und per UPNP-Freigabe wurde von keinem Gerät etwas versucht freizugeben.

@Mojo1987

UPNP habe ich bereits deaktiviert, aber die Einträge lassen sich weiterhin nicht entfernen.

 

[Lawnmower]

Das sind höchstwahrscheinlich keine DDos Einträge sondern normale Abfragen die daherkommen - das ist heutzutage normal dass kaum hängt so eine Box im Internet dass die im sekundentakt, oft sogar mehrmals pro Sekunde, von irgendwelchen Bots und Services abgeklopft wird. Das hat überhaupt nix mit Ddos zu tun - wenn das wirklich stattfinden würde, wärst Du mit deiner dünnen Bandbreite ratzfatz offline. Und mit Kabel Internet hat das auch nix zu tun.
Und gehackt wurde ziemlich sicher auch nix.

Upnp muss man schon abschalten wenn man das im Griff behalten will - sonst macht jeder Client was es will mit den Port Freigaben da. Meistens total unnötig mEn.

 

[calippo]

Warscheinlicher ist das auf dem System mit der genannten LAN IP irgendwas installiert wurde und sich via UPNP entsprechende Freigaben eingetragen hat.

Das wäre auch meine Vermutung, @CB_usr90 was verbirgt sich unter der 192.168.0.7?
Ich vermute mal, dass es ein Windows PC ist und unter Thunder5 findet man z.B. das hier
https://www.liutilities.com/processlibrary/thunder5/
https://www.solvusoft.com/en/file-e...nzhen-xunlei-networking-technologies/thunder/

 

[CB_usr90]

Ich habe die Vodafone Station jetzt erstmal zurückgesetzt.
Upnp war standardmäßig aktiv.
Bei der Technicolor-Version von der Vodafone Station, die ich zuvor hatte, war UPNP standardmäßig deaktiviert.
Drum wundert mich das ganze nun dass das von Haus aus aktiviert war.

@calippo

Hatte die Seite eben auch gefunden nach dem ich nach "Thunder5 port" gegoogelt habe.
Es handelt sich hierbei um meinen Windows 11 PC.

Zum Glück nutze ich für Office, Internet, Banking usw. Linux Mint und Windows hin und wieder nur noch für manche Spiele die unter Linux nicht vernünftig laufen.

 

[calippo]

Windows hin und wieder nur noch für Spiele.

Und zufällig auch für einen Downloadmanager namens Thunder?

 

[CB_usr90]

@calippo
Nein, einen Download-Manager nutze ich nicht. Ich habe nur Steam installiert.
Wie bereits erwähnt: Windows nutze ich gelegentlich falls ein Spiel unter Linux nicht läuft.

 

[AwesomSTUFF]

Paranoia ist, wenn man trotzdem verfolgt wird.

Letztendlich ist es allein deine Aufgabe, dein Netzwerk zu sichern. Windows für Spiel muss inzwischen auch nicht mehr sein ...es macht auch überhaupt keinen Unterschied ob Du den PC 100 Stunden mit Windows am Netz lässt oder 20 Minuten -sobald die Ports benötigt werden holt es sich die oder wenn Du vorbeugst eben nicht...mit allen Konsequenzen die sich daraus ergeben.

 

[calippo]

Nein, einen Download-Manager nutze ich nicht. Ich habe nur Steam installiert.

Dann würde ich Windows trotzdem mal platt machen, denn mit ziemlicher Sicherheit hat sich das irgendwas, dass sich Thunder5 nennt per UPNP ein Portforwarding eingerichtet.

Oder ist es vielleicht War Thunder? Mich würde es auf jeden Fall interessieren, woher diese Einträge kommen.

 

[CB_usr90]

@calippo

Nein, WarThunder habe ich nicht auf der Platte. Würde mich ebenfalls interessieren. Werde heute Abend einen Scan vollziehen und prüfen ob es sich hierbei um ein Virus handelt.

 

[mibbio]

Bei der Technicolor-Version von der Vodafone Station, die ich zuvor hatte, war UPNP standardmäßig deaktiviert.
Drum wundert mich das ganze nun dass das von Haus aus aktiviert war.

Mein Vermutung: die Leute haben den Support von Vodafone damit "belästigt", dass XY nicht übers Internet funktioniert. Manche Sachen brauchen ja eine Portfreigabe (bspw. um ein NAS von außen zu erreichen oder wenn man den Multiplayer eines Spiels hostet) und viele Nutzer wissen das halt nicht und auch nicht, wie man Portfreigaben einrichtet.

Entsprechend ist UPnP als Komfortfeatures default an, damit das mit den Portfreigaben automatisch passiert und weniger Leute deswegen beim Support anrufen. Nachteil davon ist halt, was legitime Programme können, kann dann auch Schadware machen - beliebige Portfreigaben einrichten.

 

[Lee Monade]

Ich habe gegoogelt und in einigen Foren stand, dass das bei Kabel-Internet passieren kann.

Du solltest weder Googlen noch in irgendwelchen Foren suchen, mach lieber mal einen Computer Kurs!

Habe daraufhin die Vodafone Station für 24 Stunden vom Strom genommen um eine neue IP zu erhalten.
Danach kamen einige Tage später die DDos Einträge erneut.

Weißt du überhaupt was ein DDOS ist?
Diese Einträge haben auch weder was mit Vodafone oder deiner Vodafone Station zu tun sondern es handelt sich um UPNP Ports die irgendwelche Hardware bei dir Zuhause geöffnet hat,
Schau lieber mal ob dein PC nicht mit einem Trojaner infiziert wurde!

Die Ports habe ich erst heute gesehen und per UPNP-Freigabe wurde von keinem Gerät etwas versucht freizugeben.

Doch sonst wären diese Ports nicht offen

 

[CB_usr90]

Weißt du überhaupt was ein DDOS ist?
Diese Einträge haben auch weder was mit Vodafone oder deiner Vodafone Station zu tun sondern es handelt sich um UPNP Ports die irgendwelche Hardware bei dir Zuhause geöffnet hat,
Schau lieber mal ob dein PC nicht mit einem Trojaner infiziert wurde!

Ja weiß ich und nein, es handelt sich bei den Ddos Einträgen nicht um meinen PC.
Der Eintrag hat eine externe IP angezeigt, die aus China stammt die versucht hat Zugriff auf den Router zu erlangen.
Und wenn du "Ddos Vodafone Station" bei Google eingibst, findest du einige andere User denen das gleiche wiederfahren ist.

Wenn ein Router Schwachstellen hat und diese erfolgreich ausgenutzt werden, kann ein Hacker doch die Ports selbst freigeben.
Der Hacker muss doch lediglich meine IP kennen und kann den Angriff versuchen durchzuführen und so kommen die zahlreichen Einträge im Log des Routers zustande oder nicht?

 

[Lawnmower]

Ja das ist normal, da kommt die ganze Welt mal vorbei im Laufe der Zeit - nix ungewöhnliches, ist so weil ist so und mit DDOS hat das Null zu tun.
Häufig findet man da IPs aus China, Russland und der USA, aber auch viele andere Länder sind da vertreten - an einem Tag werden da locker mehrere tausend Einträge zusammenkommen was aber jeder Billig Router im Schlaf abhandelt weil er das einfach "dropt".

Das potentiell einzige Problem ist der unbekannte Port Forwarding da; da Du den Router jez resetet hast, dürfte der weg sein oder? Wenn der nicht mehr auftaucht, muss man sich auch nicht auf dem PC einen abkämpfen um nach der Ursache zu suchen weil womöglich ist das Tool bzw der Service was da verursacht hat schon (lange) weg.

Wenn ein Router Schwachstellen hat und diese erfolgreich ausgenutzt werden, kann ein Hacker doch die Ports selbst freigeben oder nicht?

Klar, aber dann bräuchte er ja immer noch ein Dienst/Service/Tool auf einem Client im LAN um das verwenden zu können - einfach nur ein Eintrag da, bringt erstmal nix.

 

[CB_usr90]

Das potentiell einzige Problem ist der unbekannte Port Forwarding da; da Du den Router jez resetet hast, dürfte der weg sein oder?

Ja, nach dem Reset sind die zwei Einträge verschwunden.

 

[Lawnmower]

Gut und wenn UPNP jetzt aus ist, wird/sollte auch da nix mehr automatisch daherkommen.