Scheinbar FB gehacked

[jensxp]

Hallo Leute,

ich hatte ja schon ein paar Tage Eindringversuche auf meiner Box, s. HIER.
Was soll ich sagen, heute war großes Kino. Ich dachte erst, das sich eine meiner FB verabschiedet (habe mehrer hier im Haus als mesh-repeater und LAN-switch), und dachte auch, ich hätte die defekte Box gefunden. Als dann "irgendwie das wlan nicht richtig ging" bin ich dann nochmal dran, und offenbar war jemand auf meiner FB.
Jetzt, nach 5h habe ich ein "Notsystem" laufen, den originalen Router von VF, und eine 4040 dahinter. Keine Portfreigaben und gar nichts, erstmal nur Internet und Email.
Auffälligkeiten waren zig An- und Abmeldungen im WLAN, von allen möglichen Geräten, insb. der Saugroboter im Wohnzimmer, dann sehe ich in den Ereignissen, dass Freigaben auf meiner FB6660 entfernt wurden (das war ich definitiv nicht), und am Ende war sogar das Fritzbox-Passwort nicht mehr gültig!
So sah der Spuk (auszugsweise) aus

Tja, jetzt bin ich offen gesagt etwas ratlos. Die FB6660 habe ich erstmal aus dem Verkehr gezogen. Eine Recovery-Flash-Datei gibt es für die 6660 nicht. Ich habe auch mal alle Geräte in meinem my-fritz-account gelöscht.
Ach, auch so eine Meldung heute: Nachdem ich die vermeintlich defekte 4040 gegen eine Ersatzbox getauscht hatte, kam abends eine Email von my-fritz:

Ob ich die mal mit einem anderen account registriert habe oder so, keine Ahnung. Die flashe ich morgen mal.

Fakt ist: Ich bin völlig durch den Wind, und weiß noch gar nicht so recht, was ich nun machen soll. Ich Vollpfosten habe noch eine Ersatz-6660 lahmgelegt, weil ich diese hinter den VF-Router einfach als meshmaster laufen lassen wollte, und hierbei habe ich den DHCP-Server ausgeschaltet, offenbar etwas falsch gemacht, und nun komme ich nicht auf die Box. Was brauche ich zum resetten? Ein altes Telefon mit TAE-Stecker. Was hat kein Mensch mehr im Jahr 2024 ....

Ich sag euch, meine Nerven liegen blank.

 

[Dr. McCoy]

eine Ersatz-6660 lahmgelegt

Notfall-IP? 169.254.1.1

 

[jensxp]

Direkt mit dem Laptop ohne DHCP-Server dazwischen? Muss ich probieren, jetzt nimmer.

 

[v3locite]

offenbar war jemand auf meiner FB.

Und das erkennst du woran?

zig An- und Abmeldungen im WLAN, von allen möglichen Geräten

Eigentlich nur zwei, oder? Der Saugroboter und irgendwas anderes. Und klar sind es "zig An- und Abmeldungen", weil diese Geräte dauernd die WLAN-Verbindung verlieren.

dann sehe ich in den Ereignissen, dass Freigaben auf meiner FB6660 entfernt wurden (das war ich definitiv nicht)

Wieso waren diese Ports denn überhaupt offen? Werksseitig sind sie es ja nicht. Also müssen bestimmte Geräte in deinem Heimnetz in der F!B via uPnP die Erlaubnis zur selbständigen Portfreigabe erhalten haben. Wenn das der Fall war, ist es vollkommen logisch dass sie diese Ports selbständig wieder schließen. Das sollen sie nämlich. Außerdem: Warum macht ein Eindringling Portfreigaben rückgängig, naheliegender wäre das Gegenteil.

Nachdem ich die vermeintlich defekte 4040 gegen eine Ersatzbox getauscht hatte, kam abends eine Email von my-fritz: ... ob ich die mal mit einem anderen account registriert habe oder so, keine Ahnung.

So wird's wohl sein. Ansonsten ist MyFritz ein Quell steter Verunsicherung. Als ich das letzte Mal mein Heimnetz auseinander gerupft habe gingen z. B. Wochen ins Land, bis sich die Übersicht registrierter Geräte aktualisiert hat.

Ich sag euch, meine Nerven liegen blank.

Ausschließen kann man ja nix, aber nach nem Hack sieht mir das nicht aus. Also erstmal ruhig bleiben. Setz den Kram auf die Werkseinstellungen zurück und richte deinen Internetanschluss neu ein. MyFritz-Berechtigungen dicht machen, Fernzugriff raus und neue Kennwörter vergeben. UPnP abschalten. Wie das mit deinem Mailserver und Plex dann weitergeht, klärt sich vielleicht in dem anderen Thread? 😉

 

[jensxp]

Ich hoffe ja, dass du Recht hast. Aber warum spinnt plötzlich das WLAN, warum funktioniert das FB pwd nicht mehr, ich wüsste auch nicht, welches Gerät selbständig Freigaben erteilen darf ...
Ich wäre auch deutlich weiter, wenn ich meine FB hätte bei VF registrieren können. Aber lt. Vodafone habe ich fehlerhafte Eingaben gemacht (ich habe die Kundennummer und den Aktivierungscode seit Jahren ausgedruckt im Ordner, hat bisher immer funktioniert). Also kann ich mich mit VF auch noch herumschlagen.

Ergänzung (2. April 2024)

Ach so: Die Ports waren offen, weil ich meinen Mailserver auf dem NAS betreibe, und Photostation laufen habe und so Sachen. Hier

Ergänzung (2. April 2024)

Angefangen hat ja alles damit, dass zwei meiner Fritzboxen und ein pi, auf dem ich Grafana laufen habe für meine PV-Anlage, nicht erreichbar waren. Also irgendwas war ja, nur was ....?

 

[Raijin]

Versuchen wir es mal so herum: Wenn jemand in deine Wohnung einbricht, wäre es da nicht ein wenig merkwürdig, wenn der Einbrecher das Schloss der Wohnungstür austauscht (Passwort geändert), deine "Bitte keine Tageszeitung" Aufkleber vom Briefkasten entfernt (Portweiterleitungen) und die Sender in deinem Küchenradio verstellt (WLAN) nachdem er 2 Zimmertüren verriegelt hat (Geräte nicht erreichbar)? Sicherlich nicht unmöglich, aber normalerweise ist ein Einbrecher - physisch wie digital - darauf bedacht, sich so lange wie möglich unbemerkt in deiner Wohnung bzw. deinem Netzwerk zu bewegen, um möglichst große Beute zu machen - oder entsprechend viel Schaden anzurichten, und damit sind nicht solche Spielereien wie "Haha, jetzt hat dein Saugroboter kein WLAN mehr" gemeint...

Ansonsten: Alles Resetten, alle Systeme scannen und säubern, weil du schließlich nicht wissen kannst was wie und wo der vermutete Eindringling getrieben hat.

Aber warum spinnt plötzlich das WLAN, warum funktioniert das FB pwd nicht mehr, ich wüsste auch nicht, welches Gerät selbständig Freigaben erteilen darf ...

Ich bin mit nicht 100%ig sicher, aber ich meine mal gelesen zu haben, dass UPnP bei Fritzboxxen ab Werk aktiviert ist. Zur Sicherheit solltest du das aber nochmal prüfen und ggfs abschalten. Hier erklärt AVM wie man UPnP ein- bzw. ausschaltet.


Ungeachtet dessen ob du nun tatsächlich Besuch von draußen hattest, solltest du dein Sicherheitskonzept grundsätzlich überdenken. Im anderen Thread, den du im übrigen einfach hättest weiternutzen können, wurde dir bereits zu VPN geraten. Mit jedem offenen Port vergrößerst du die Angriffsfläche. Je größer die Angriffsfläche, umso mehr KnowHow und entsprechend fortgeschrittenes Equipment sollte man mitbringen. Gerade in der heutigen Zeit wird es Otto Normal so einfach gemacht wie nie zuvor, zB einen Mail- oder Medienserver zu hosten, aber das heißt noch lange nicht, dass Otto es auch tun sollte. Sonst nimmt sich Otto als nächstes eine Rohrzange und rückt seinem Badezimmer zu Leibe - wie schwer kann das schon sein? - bis das Wasser im Bad dann kniehoch steht...

 

[Trefoil80]

Ich habe gelegentlich mal Angriffe auf meine Fritzbox, die ins Leere laufen (zuletzt am 28.3).
Hattest Du kein sicheres Passwort für Deine Fritzbox?

Hier mal etwas Input:
https://www.borncity.com/blog/2023/...on-bypass-schwachstelle-in-fritzos-sept-2023/ (Dein FritzOS ist hoffentlich aktuell?)

https://www.borncity.com/blog/2024/...itz-box-leitet-pltzlich-auf-externe-seite-um/ (temporär wurden so Passwörter abgegriffen)

https://www.borncity.com/blog/2024/...me-die-per-internet-erreichbar-sind-mrz-2024/ (resultierend in Passwort-Spraying-Attacken. Diverse abgegriffene Passwörter werden in Kombination mit diversen Benutzernamen durchprobiert).

 

[Raijin]

Ich habe gelegentlich mal Angriffe auf meine Fritzbox, die ins Leere laufen (zuletzt am 28.3).
Hattest Du kein sicheres Passwort für Deine Fritzbox?

Idealerweise hat man den Zugriff auf die GUI vom WAN aus sowieso abgeschaltet und dann gibt es auch keine brute force Attacken auf den Login, weil es gar keinen erreichbaren Login gibt... Stichwort: Angriffsfläche.
Auch das wurde bereits im Vorgängerthread besprochen. Allerdings war die GUI von @jensxp Fritzbox bis dahin wohl öffentlich erreichbar und somit kann ein ungebetener Gast natürlich über diesen Weg eingestiegen sein. Der Sinn und Zweck, der hinter den hier erwähnten Vorkommnissen stecken sollte, erschließt sich mir aber nicht.

Wenn ich Böses im Schilde führen würde und Zugriff auf einen fremden Router hätte, würde ich den Besitzer mit Sicherheit nicht mit der Nase darauf stoßen. Erst würde ich mich im Netzwerk ein wenig umsehen, den Router als Brückenkopf nutzen. NAS? Mailserver? Was sonst noch? n bischen ssh hier, sql injection da, Mailserver kapern, Spam in alle Welt verteilen, NAS kapern und Daten abgreifen oder Malware platzieren. Warum sollte ich einen Saugroboter aus dem WLAN werfen und Portweiterleitungen entfernen?

Zum Glück bin ich nicht böse, aber der vermutete Eindringling womöglich unfassbar dämlich oder einfach nur einfallslos..

 

[duAffentier]

Gestern Abend hatte mein AVM Repeater auch Probleme. Muss heute auch schauen, wieso das WLAN spinnt.
Trotz Neustarts etc., gabs Ärger.

 

[kartoffelpü]

Aktivierungscode seit Jahren ausgedruckt im Ordner

Lass dir mal nen neuen Code geben. Mir wurde mal gesagt, dass der nur ne bestimmte Zeit lang gültig ist.

 

[GALAX-ZERO]

Wenn mein Netzwerk offen wie ein Scheunentor ist, muss ich mich nicht wundern, wenn mich jemand direkt darauf stößt.
Ich würde mich sogar bei demjenigen bedanken, wenn er das ohne wirklichen Schaden anzurichten tut.

Die Syno-Apps kann man ohne offene Ports von außen benutzen.
Ich habe auf der Fritz!Box keinen einzigen Port offen und kann alles von unterwegs nutzen.

 

[jensxp]

Also erstmal nochmal danke. Nach erfrischenden 3h Schlaf heute Nacht muss ich auch den Kopf mal sortieren.
Also: Ja, auf allen meinen Boxen war die FW aktuell. Die Passwörter, die ich verwende, sind schon komplexer als "hallo123", also ich denke schon, dass diese "sicher" waren.
Ja, meine box war von außen erreichbar, habe dyndns bei selfhost laufen (aktuell auf der Box nicht eingerichtet), und per my fritz account (für VPN), derzeit ebenfalls nicht eingerichtet.
Ich konnte keinen fremden Benutzer oder einen "erfolgreichen login" feststellen, allerdings habe ich auch mal die FB neu gestartet und daher nicht mehr alle Ereignisse seit Tagen.

Ja, das Thema mit den Portfreigaben werde ich mir nochmal antun.

 

[Raijin]

Die Passwörter, die ich verwende, sind schon komplexer als "hallo123", also ich denke schon, dass diese "sicher" waren.

Passwortsicherheit ist vielschichtig. Selbst das sicherste Passwort ist hinfällig, wenn es - wie auch immer - geleakt wurde. Brute force bzw. Wörterbuchattacken ackern einfach nur ihre Liste an Benutzernamen und dazugehörigem Passwort ab, egal wie komplex letzteres ist.

Ein weiterer Angriffsvektor ist zB SQL Injection. Ich vermute zwar (oder hoffe), dass Fritzboxxen davor gefeit sind, aber wenn ein Webserver nicht entsprechend geschützt ist, kann ein Angreifer ggfs das Passwort direkt auslesen oder sich gar direkt Admin-Zugang verschaffen. Meistens werden Passworte zwar als Hash gespeichert und nicht in Klartext, aber je nach Länge und Komplexität des zugrundeliegenden Passworts kann man den generierten Hash möglicherweise in einer Rainbow Table nachschlagen.

Wie du siehst gibt es viele Risiken, wenn man einen Webserver wie zB die GUI eines Routers ins Netz stellt. Deswegen sollte man das auch nur tun, wenn man sich der Sicherheit dieses Servers gewiss ist. Die meisten wissen aber nicht mal etwas von den genannten Angriffsformen - und ich habe hier nur 3 erwähnt - und wenn man nicht davon weiß, kann man sie auch nicht ins Sicherheitskonzept einbeziehen.

Ich konnte keinen fremden Benutzer oder einen "erfolgreichen login" feststellen, allerdings habe ich auch mal die FB neu gestartet und daher nicht mehr alle Ereignisse seit Tagen.

Das ist auch so eine Sache. Ein versierter Angreifer wird versuchen, seine Spuren zu verwischen. Logs zu manipulieren bzw. zu löschen ist fester Bestandteil des "Workflows"

 

[chrigu]

Ja, meine box war von außen erreichbar

Über fernzugriff? Dann ist die Wahrscheinlichkeit eines Angriff hoch, aber ausser Redirects und Umleitungen einzupflanzen (DNS umleiten und man in the midle ) sollte der eingebaute wan-Anschluss ein Zugriff auf deine Geräte verhindern.

 

[jensxp]

Naja über dyndns ist man ja schon mal bei mir zuhause, und per myfritz ebenfalls.

 

[Raijin]

DDNS hat erstmal nicht wirklich etwas mit Sicherheit zu tun. Das ist nur ein dynamischer Eintrag im Telefonbuch des Internets. Die meisten Angriffe im Internet erfolgen aber nicht gezielt, sondern nach dem Prinzip Klinkenputzen, Scanbots mit Portscanner. Der kommt einfach irgendwann bei deiner WAN-IP vorbei, klopft bei einigen Standardports an und wenn etwas reagiert, wird das entweder vermerkt oder direkt ein automatisierter Angriff gestartet. Hast du aber keine offenen Ports, zieht der Bot einfach weiter. Wer hinter der aktuellen IP steckt, ist dem Bot herzlich egal, alle potenziellen Ziele sind gleichermaßen schmackhaft.

 

[jensxp]

So, mal zwei updates:
1. Ersatz-FB6660 ist wieder zurückgesetzt, hab mir in der Firma ein altes Tel ausgeliehen, 2min war das Thema erledigt.
2. Die Aktivierungscodes von VF sind inzwischen nur noch 6 Monatee gültig. Ich erhalte einen neuen per Post.
3. Synology QuickConnectID habe ich nun erstellt. Geht wohl etwas langsamer als bisher mit freigegebenen Ports, aber so what. Photostation funktioniert.

Es geht langsam vorwärts.