Router gehacked?

[Anonymer User]

Hallo ComputerBase Forum,

seit ca 1 Woche habe ich den Verdacht, dass mein WLAN Router, die "Vodaphone Station", gehacked wurde bzw. jemand sich Zugriff auf mein WLAN Passwort verschafft hat und mit unbekannten Geräten in meinem Netzwerk eingeloggt hat.

Wieso ich darauf komme? Weil im Ereignisprotokoll mir unbekannte MAC Adressen aufgelistet sind.

Nun bin ich kein IT Spezialist oder Fachmann, daher suche ich hier um Hilfe ob es sich eventuell doch um ein Missverständnis handelt meiner fehlenden Expertise geschuldet.


Daher meine erste Frage: kann ich das gesamte Ereignisprotokoll inklusive aller Mac Adressen hier unzensiert und ungefiltert posten?
Oder führt das dann auch schon zu Sicherheitsrisiken?

Das wäre Notwendig damit ihr, die ihr hoffentlich mehr Ahnung habt als ich, euch das ganze genauer anschauen könntet.

Danke schonmal Im Vorraus

 

[BFF]

Apple-Geraete im Haushalt oder Androiden die private/random MAC unterstuetzen?

Wenn Du meinst das ein Fremder das Passwort weiss, aendere es doch einfach ertmal.
Bekommen dann die unbekannten MAC wieder eine IP hast Du Geraete die o.G. machen.

 

[Malaclypse17]

seit ca 1 Woche habe ich den Verdacht, dass mein WLAN Router, die "Vodaphone Station", gehacked wurde

Das ist irgendwie immer die erste Annahme, warum auch immer, wir sind doch hier nicht in Stirb Langsam 4.0.

Nun bin ich kein IT Spezialist oder Fachmann, daher suche ich hier um Hilfe ob es sich eventuell doch um ein Missverständnis handelt meiner fehlenden Expertise geschuldet.

Dann kann man doch erstmal recherchieren, bevor man zu so drastischen Schlüssen kommt?
Denn dann wäre man relativ schnell zu der Info gelangt, dass Smartphones heutzutage regelmäßig ihre verwendete MAC-ID ändern, das ist also vollkommen normal.

 

[CoMo]

Apple-Geraete im Haushalt oder Androiden die private/random MAC unterstuetzen?

Das klingt nach der naheliegensten Erklärung. Auch Android-Geräte würfeln per default ihre MAC. Ich musste das hier explizit deaktivieren, da ich einen MAC-Filter für mein WLAN nutze. Dass sich da unzählige MAC-Adressen ansammeln, ist also völlig normal.

 

[chrigu]

Ähm. wlan Passwort ändern?
Resette die Box um eventuelle selbst konfigurierte fernzugänge zu schliessen.
händys haben ab Werk sogenannte Anonymisierungen, dabei wird beim wlan jedes Mal eine neue macadresse generiert. Die kann man im eigenen Netzwerk deaktivieren

 

[Ranayna]

Auch Android-Geräte würfeln per default ihre MAC.

Sogar Windows Geraete machen das inzwischen.
MAC Filter waren immer schon quatsch, heutzutage sind sie es erst recht.


@Anonymer User: Ist das zweite Zeichen der dir unbekannten MACs eine 2, eine 6, ein A oder ein E?
https://www.mist.com/get-to-know-ma...tely it is easy to,it is a randomized address.

Das hat keinen Anspruch auf Vollstaendigkeit, im Grunde kann eine Zufallsmac auch voellig zufaellig sein, aber es ist ein Anhaltspunkt.

 

[brettler]

Kann auch einfach jemand sein der sich einloggen will weil er glaubt das sei sein Gerät/W-LAN.

Was sagt denn das Router Log? Wurde sich konkret angemeldet oder wurde nur der Zugriff versucht und dann abgelehnt weil PW falshc?

 

[Anonymer User]

Sogar Windows Geraete machen das inzwischen.
MAC Filter waren immer schon quatsch, heutzutage sind sie es erst recht.


@Anonymer User: Ist das zweite Zeichen der dir unbekannten MACs eine 2, eine 6, ein A oder ein E?
https://www.mist.com/get-to-know-mac-address-randomization-in-2020/#:~:text=Fortunately it is easy to,it is a randomized address.

Das hat keinen Anspruch auf Vollstaendigkeit, im Grunde kann eine Zufallsmac auch voellig zufaellig sein, aber es ist ein Anhaltspunkt.

Ja, eine der MAC Adressen die ich nicht zuordnen kann beginnt mit "D2"

Ergänzung (21. September 2023)

Kann auch einfach jemand sein der sich einloggen will weil er glaubt das sei sein Gerät/W-LAN.

Was sagt denn das Router Log? Wurde sich konkret angemeldet oder wurde nur der Zugriff versucht und dann abgelehnt weil PW falshc?

Ich bin kein Fachmann daher weiß ich nicht, was die im Log angezeigten "Reason-Code=X" bedeuten.

In einem Fall hat eine mir völlig unbekannte mac Adresse auf den Router zugegriffen...da steht "associated to 2,4ghz
In der nächsten Zeile: device associated WG-MAC usw. In Channel=6
Dann in der nächsten Zeile:
Device disconnected fromm SSID, Reason-Code=8

Wie gesagt für mich als Laien ist das alles sehr schwer verständlich, was ich halt sehe und verstehe ist das mehrfach, verschiedene mir unbekannte MAC Adressen auf den Router zugegriffen haben.

Daher möchte ich das ganze, die gesamten Logs, von jemand Fachkundigen prüfen lassen.

Wenn sich jemand mit der Thematik und der vodaphone Station im speziellen auskennt und mir helfen möchte,meldet euch. Natürlich gebe ich auch gern ein kleines Trinkgeld als Dankeschön.

Die Logs sind nicht wirklich groß, so ein Zeitraum von 5 Monaten, cirka 60 Zeilen im Txt Dokument.

 

[Ranayna]

Ja, eine der MAC Adressen die ich nicht zuordnen kann beginnt mit "D2"

Dann wird es ein Geraet sein, das private MAC aktiv hat.
Findest du es, am besten die Funktion fuer dein privates WLAN abschalten, das geht immer auf Netzwerkebene, das feature stiftet sonst einfach nur Verwirrung.

Wenn du es nicht findest nachdem du alle eigenen Geraete ueberprueft hast bleibt eigendlich nur noch eins: den PSK aendern. Und idealerweise auf etwas langes und komplexes, je naeher an den maximal moeglichen 63 Zeichen desto besser.

Ergänzung (21. September 2023)

Ich bin kein Fachmann daher weiß ich nicht, was die im Log angezeigten "Reason-Code=X" bedeuten.

Die Reason Codes sind standardisiert:
https://www.cisco.com/assets/sol/sb..._Emulator_v1-0-1-5/help/Apx_ReasonCodes2.html

8 kann nun aber letztendlich viel bedeuten, "STA has left" kann sein das es ausser Reichweite ist, ausgeschaltet wurde, oder sich aktiv getrennt hat. Das ist eigendlich der normale Code fuer einen Verbindungsverlust.

 

[Anonymer User]

Okay, das werde ich schonmal machen.

Erkennt ein Antivirus wie bspw. Bitdefender eigentlich wenn jemand über mein WLAN eingeloggt wäre und Daten abgreifen würde?
Hatte im fragwürdigen Zeitraum immer auf allen meinen geräten bitdefender total Security laufen... wenn sich da jemand ins WLAN gehackt hätte, dann hätte Bitdefender doch Alarm geben müssen oder?

Und was könnte ein Angreifer in meinem WLAN Router alles anstellen? Könnte der Bildschirm Zugriff, also Screen recording oder keylogger auf meine geräte haben?

 

[redjack1000]

Device disconnected fromm SSID, Reason-Code=8

Erlärung->
Reason Code 8 is due to client leaving the BSS by means of AP moving the client to another access point using non-aggressive load balancing.

Die Logs sind nicht wirklich groß, so ein Zeitraum von 5 Monaten, cirka 60 Zeilen im Txt Dokument.

Ja dann, ab damit in das Forum

Und was könnte ein Angreifer in meinem WLAN Router alles anstellen?

Das hängt von der Sicherheit und den verwendeten Geräten in deinem Netzwerk ab. Nenne Details zu deinem Netzwerk inkl. der Geräte, je detaillierter die Beschreibung um so besser kann man was dazu sagen.

Cu
redjack

 

[BFF]

Erkennt ein Antivirus wie bspw. Bitdefender eigentlich wenn jemand über mein WLAN eingeloggt wäre und Daten abgreifen würde?

Nein.

 

[Ranayna]

Relevant hier ist aber, solange der Client immer nur kurz assoziiert und dann direkt wieder verschwindet, ist der noch nicht in deinem Netz. Evtl. loggt da der Router auch nur fehlgeschlagene Anmeldungen bloed.

Da ist es wesentlich interessanter sich die aktiven IP Adressen anzuschauen, denn das sind Geraete die im Netz sind.
Aber wie man das an der Vodaphone Station macht weiss ich nicht.

 

[X-Worf]

Sogar Windows Geraete machen das inzwischen.
MAC Filter waren immer schon quatsch, heutzutage sind sie es erst recht.

Warum?

Ist es nicht besser einen MAC-Filter zu aktivieren, wenn man eine weitere Hürde neben dem Passwort haben möchte?

 

[BFF]

Mit Blacklist ist die Hürde nicht existent wenn der Anfragende jedesmal mit einer anderen Adresse aufschlagen kann.
Also Whitelist und manuell immer schön pflegen.

 

[X-Worf]

Ich bin auch von einer Whitelist ausgegangen.

 

[Ranayna]

Vorallem ist der Filter Sinnlos, weil MAC Adressen im WLAN immer im Klartext uebertragen werden.
Das heisst ein "Wardriver" braucht nur ein paar Minuten mitlauschen und bekommt MACs auf dem Silbertablett geliefert, mit denen er sich anmelden kann.

Und in Zeiten von zufaelligen MACs auf allen WLAN Endgeraeten ist ein solcher Filter einfach nur eine massive Fehlerquelle und Irritation.

Und letztendlich sind sie auch nicht noetig. Ein hinreichend komplexes WPA 2 Passwort, (idealerweise maximale Laenge von 63 Zeichen) oder WPA 3 sind sicher.

 

[X-Worf]

Verstehe, Danke!