Telekom-Abuse: DNS-Server offen @ Fritz!Box 7390

[WulfmanGER]

Hey,

ich bekomme seit paar Wochen immer mal wieder Abuse-Mails von T-Online. Da die auch wissen das nicht jeder jeder Mail auch traut, hab ich die Tage per POST auch noch mal ein Schreiben bekommen, wo drin steht, das die Abuse-Mails wirklich von T-Online sind.

Es wird darauf hingewiesen das ich einen offenen DNS-Server auf Port 53 habe. Wissentlich stimmt das NICHT. In den Portfreischaltungen ist ausschließlich 443 und 22 offen (und das ist auch Absicht). Im Service-Log sehe ich aber tatsächlich einen Eintrag der mir Port 53 nach draußen öffnet. Ziel ist die Fritz!Box. Der DNS-Server antwortet auch von draußen auf Anfragen. Das ganze ist somit definitiv kein Fake.

Jetzt stellt sich nur die Frage wie ich diese Interne Portweiterleitung/Öffnung deaktiviert bekomme. Ich hab mal spaßeshalber eine DNS-Weiterleitung eingerichtet - Ziel eine IP die es nicht gibt. Klappt nicht. Interne Einträge haben bei der Fritz!Box vor rang.

Jetzt stellt sich die Frage wie ich die Weiterleitung Entfernt bekomme? Hatte jemand sowas schon mal?

Es gibt hier einen Zusammenhang mit der VPN-Konfig - mit einer alten. Ich wollte DNS-Abfrage durch den VPN-Tunnel jagen - hatte hier aber einen Denkfehler ... wie andere im Netz auch, die "funktionierende" Konfigs präsentiert haben. Tja .... wenn VPN jetzt aktiv ist (nicht ready2use; nicht in nutzung), ist der DNS-Server offen. Ich hab die Konfig schon neu eingestellt (dieses mal eine saubere vom VPN-Tool von AVM), aber bringt nichts. Der Eintrag hat sich wohl selbstständig gemacht und bringt mir jetzt einen offenen Port nach draußen. Der muss aber doch schließbar sein?

Ich nutze die Fritz!Box mit aktueller Firmware (Lab)


Gruß
Wulfman

 

[ntloader]

Setz' doch zunächst mal die Fritzbox in den Auslieferungszustand zurück (Backup der Konfig vorher machen) und installiere die letzte offizielle Firmware. Dann richtest du nur deinen Internetzugang ein und schaust ob das DNS Problem nach wie vor besteht.

 

[BlubbsDE]

Eben, bei so etwas solltest Du wohl wissen, was Du da gemacht hast.

FB in den Auslieferungszustand setzen und sie neu konfigurieren.

Abuse Mails von T-Online solltest Du immer ernst nehmen. Reagierst Du nicht, schalten sie Dir auch den Netzzugang ab.

 

[DeusoftheWired]

Ist vielleicht UPnP in der FRITZ!Box aktiv und richtet die Freigabe durch die Anfrage eines befallenen Geräts in deinem Heimnetz ein?

 

[WulfmanGER]

Ja neueinrichten ist natürlich eine Option! Wird im Backup der Konfig den das DSL-PW gespeichert? Ich stand dann schon mal sehr doof da als ich das vor Jahren mal gemacht habe Nur da hatte ich eine vernünftige Ordnung und konnte das PW finden ... nur hab ich keine Ahnung wo das jetzt liegt Müsste sonst mal gucken ob ich das irgendwo neu anfordern kann. Daher hoffe ich mal jemand hat vielleicht schon mal so ein Problem gehabt und weiß wie man das auch ohne Factory-Default lösen kann?

Ergänzung (4. April 2016)

Ist vielleicht UPnP in der FRITZ!Box aktiv und richtet die Freigabe durch die Anfrage eines befallenen Geräts in deinem Heimnetz ein?

Nein - UPN ist nicht aktiviert und die Freigabe hat als Ziel die Fritz!Box ... die Fritz!Box beantwortet die DNS-Abfragen (allerdings nicht mit dem DNS-Server den man selber unter den Internet-Einstellungen bestimmen kann, sondern mit einem Internen der quasi noch davor geschaltet ist [der sich aber wohl vom Telekom-DNS speißt - wobei da glaub auch eine AVM-DNS-Server-Adresse drin ist (hab das log gerade nicht zur Hand und kann auch nicht zugreifen)]. Ich sehe auch einen Konfig-Eintrag im Service-Log welcher dafür verantwortlich ist.

Das Problem ist daher ganz klar bei der Fritz!Box - keine Viren etc. im Netz. LEIDER ... das wäre ja einfacher zu lösen


Wenn es wenigstens noch den SSH oder Telnet-Zugang auf die Box geben würde, könnte man auf diese weise ggf. den DNS-Eintrag entfernen ... aber der wurde ja entfernt von AVM

 

[BrainLagg]

Hm? Du willst deine Fritzbox resetten und dann das Backup wieder drüber? Dann hast du doch immer noch deine verkorksten Einstellungen drin? Oder kann man mittlerweile Backups "öffnen" und nur einzelne Teile übernehmen?
Bei mir wurden damals (vor 3-4 Jahren) keine Passwörter im Backup hinterlegt.

Zum Topic:
Auf jeden Fall Fritzbox resetten. Glaub mir, du kannst mächtig Ärger mit deinem Provider kriegen. Wenn die dir erstmal das Netz abschalten, dann dauert das Wochen bis die dir den wieder frei machen. Übrigens funzt dann auch VOIP nicht mehr, d.h. kein Telefon.

 

[PhilAd]

Alternativ zum offenen DNS Server solltest du überprüfen, ob du in deinem Netzwerk nicht einen oder mehrere Botclient(s) eingefangen hast, welcher (gespoofte) DNS Requests versendet und so wie ein Resolver von außen wirken kann.
Distributed DNS Amplification Attacks werden sehr häufig aus Botnetzen heraus gesteuert und sendet DNS Anfragen mit Random-Pattern Subdomains, um z.B. einen Rootserver außer gefecht zu setzen und so eine Domain nicht erreichbar zu machen:

abc.opfer.cn
cdf.opfer.cn
ghi.opfer.cn
....opfer.cn

um sicher zu stellen, dass du keinen Open Resolver betreibst, nimmst du einfach deine IP und fragst einen Freund, ob er ein 'dig google.de @deine-ip' durchführen kann.

T-Online betreibt Closed Resolver die nur aus dem AS3320 erreichbar sind. Botnetze umgehen diese Einschränkung indem sie Rechner in diesem AS infizieren. Weiteres Problem sind Open Resolver die von überall aus der Welt erreichbar sind.

Bestärkt sich der Verdacht von Malware könnte man hingehen und den Verkehr auf allen Clients per tcpdump / wireshark mitschneiden und schauen, ob komische DNS Anfragen versendet werden.
Die Möglichkeit zwischen Router und Clients etwas aufzubauen was alles mitliest ist denke ich zuhause eher seltener gegeben und die Fritzbox unterstützt glaube ich nicht das Mirrorn von Ports/WiFi.

 

[WulfmanGER]

Hey

also in die Konfig kann man reinschauen wenn man die sichert - durch die Verschlüsselung kann man diese aber nicht ändern "Ungültige Konfig".

Der Fehler ist definitiv die mit der VPN-Konfig übernommenen IKE-Konfig-Zeile

vpncfg {
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500", 
                            "udp 0.0.0.0:53 0.0.0.0:53";

Die 53 ist auf meinem Mist gewachsen. Jetzt denkt man ja: einfach alle VPNs löschen, dann sollte auch die VPN-Konfig weg sein. Tja - ist sie auch - bis auf die ike_forward_rules Die bleiben drin. Ich hab das jetzt als Bug an AVM gemeldet. Normal finde ich das nicht.

Hab spaßeshalber mal versucht die 53 ins Nirvana zu schicken - so wäre der Port zwar weiter offen - aber der Client auf den weitergeleitet wird, gibt es nicht mehr. Klappt nicht. Ich hab jetzt 4 rules in der Konfig ... die original 53 an erster, meine an zweiter stelle. Es gilt aber die an erster Stelle (was ich unlogisch finde ... in Konfigs überschreibt doch eigentlich die letzte Eintragung ähnliche Vorgänger...) und auch die geht nicht mehr raus.

Meines logischen Verständnisses nach, sollte beim Löschen oder Überschreiben, dieser Block auch neu gesetzt werden - das passiert nicht. Mal gucken was AVM dazu sagt. Wenn der Support so gut ist wie bei der illegalen Änderung der MAC-Adresse der PowerLAN-Adapter (die mir Probleme bereitete - AVM hat nach einem Update die MAC-Adressen zu einem komplett anderen Vendor geändert - MAC-Adresse-Bereiche die denen also nicht gehören), wo man mir die ganze Zeit weiß machen wollte das ich unbekannte Fremde Geräte im LAN habe und die MAC-Adressen definitiv nicht von deren Geräten sind ... dann wird das dauern ...

@PhilAd: da ist nix im LAN - selbst wenn alles ausgeschaltet ist, antwortet der DNS-Server der FritzBox
@BrainLagg: soweit ich weiß ist es nicht verboten einen DNS-Server zu betreiben? Nichts anderes mache ich gerade ... ungewollt ...

 

[PhilAd]

verboten ist es nicht ... es führt aber zu dem von mir beschriebenen verhalten.