[Doodle]

In der Ereignisanzeige der FritzBox 7490 finden seit einiger Zeit immer wieder fremde Zugriffe, an manchen Tagen mehrmals, auf die Benutzeroberfläche, die offenbar allesamt am falschen Kennwort scheitern. Ich habe einen Auszug mal als Screenshot beigefügt. Die Namen der Angreifer variieren z.B. admin, dj, inno, manu, support oder Fiete.net. Keiner dieser Namen gehört zum Netzwerk. Und es scheint auch kein Angreifer durchgedrungen zu, obwohl die Box mit einem relativ schwachen PW gesichert ist.

Die Frage ist nun, was tun? Ignorieren oder sollte man was machen? Und wenn ja, was? Und woher kommt der Mist jetzt auf einmal?

[Ruby3PacFreiwald]

Auf keinen Fall ignorieren, dass ist weder normal, noch ein versehen.
Es sind ja auch öffentliche IPs und keine internen aus dem eigenen Netzwerk, da will jemand von außen auf dein Router zugreifen.

Wie ist das überhaupt möglich? Benutzt du irgendwelche Dienste um von unterwegs auf deine Fritzbox zugreifen zu können? Bei mir können zb nur Geräte im Netzwerk darauf zugreifen, genau aus so einem Grund, auch wenn ich dadurch gewisse Features nicht habe.
Da wirst du dann nicht viel machen können, außer deine IP, bzw Dyndns Adresse oder was auch immer du da benutzt zu ändern, damit die Anfragen der Leute ins leere laufen.

https://www.abuseipd...ck/185.232.52.7
"Hacking Brute‑Force Web App Attack"

Hattest mit deinem schwachen Passwort bisher wohl nur Glück.

Auch die andere IP ist dafür bekannt. Würde den Zugriff aus dem Netz komplett verbieten, dann hast du Ruhe, ansonsten sicher dich richtig ab und guck das du deine Adresse geändert bekommst. Auf jeden Fall das Passwort sicherer machen.

Dieser Beitrag wurde von Ruby3PacFreiwald bearbeitet: 29. Januar 2023 - 12:31

[Doodle]

Und weiter geht's!

Das PW habe ich jetzt verstärkt. Der regulär mögliche Fernzugriff auf die FritzBox wurde deaktiviert (obwohl ich nicht glaube, dass es daran liegt). Die IP-Adresse ist dynamisch und nicht statisch. Der Router wurde in den letzten Tagen neu gestartet, und es geht anscheinend trotzdem munter weiter.

Woher kommt das?

[Ruby3PacFreiwald]

Berichten auch viele andere, vermutlich werden einfach alle möglichen IP Bereiche abgescannt und durch probiert, bis sie eine finden wo sie es immer und immer wieder probieren können. Ohne fernzugriff, nicht die Option das der Anbieter sich einklinken kann, sondern die Option worüber du selber Zugriff übers internet auf die fritzbox haben kannst, sollte der spuck vorbei sein.
Auch sowas wie myfritz Accounts am besten raus nehmen falls vorhanden

[Doodle]

Ich habe alles rausgenommen, was den Fernzugriff erlaubt, auch AVM-Datenübertragung usw. und nun noch einmal neu gestartet. IP-Adresse hat sich geändert (ist ja dynamisch) und nun mal sehen. Es gab in der Vergangenheit auch wohl sporadische Internetabbrüche. Ob das mit den Angriffen zu tun hat? Ich werde das mal im Auge behalten.

[Ruby3PacFreiwald]

Nein damit haben die Abbrüche eher nichts zu tun. Da müssten sicher schon einige Anfragen pro Sekunde rein kommen, dass die Fritzbox überlastet und dagegen gibt es sicher auch ein internen Schutz. Die Fritzbox würde dann vermutlich auch eher freezen oder Neustarten und nicht nur die Internetverbindung verlieren.

Kommt drauf an mit welcher Fehlermeldung und wie oft du die Abbrüche hast.

Der tägliche 24 Stunden Disconnect?
PPPOE Fehler, alle 1-2-3 Monate mal? Oder eher einmal die Woche?
Ganz andere Fehlermeldungen?

Dieser Beitrag wurde von Ruby3PacFreiwald bearbeitet: 29. Januar 2023 - 18:46

[djl]

Gleiches bei meiner Fritzbox, 4 Zugriffsversuche von IP-Adresse 185.232.52.7 seit 26.01.2023.

IP-Adresse kommt von einem Provider auf den Virgin Islands.

Angehängte Miniaturbilder

• 

[Ruby3PacFreiwald]

Da bleibt wohl nur ein sehr sicheres Passwort, ober eben die Möglichkeit deaktivieren, sich von außen auf die Fritzbox einloggen zu können. Das selbe kann man auch bei Pi's beobachten.

[DON666]

Haha, "fiete.net" und "support" tauchen bei meiner Fritte auch im Ereignisprotokoll bei den Fehlversuchen auf. Scheinen wohl tatsächlich Bots zu sein, die das Netz nach ungesicherten Routern abgrasen.

Hatte auch noch:
- dj
- comro
- Mike
- manu
- PhoSiam
- dextart

IMMER von IP-Adresse 2.75.121.75.


Ist aber per se jetzt nichts Besonderes; man sollte halt ein sicheres Passwort eingestellt haben.

Dieser Beitrag wurde von DON666 bearbeitet: 30. Januar 2023 - 11:33

[Doodle]

Die aktuell riesige Menge an Attacken ist nicht mehr ganz normal. Das habe ich in dem Ausmaß jedenfalls noch nicht gesehen. Der Ausschnitt oben zeigt ja nur einen kleinen Teil. Da gab es im Vorfeld manchmal mehrere Versuche pro Minute. Ist aber auch egal. Ich werde heute Abend mal schauen, wie es da mittlerweile aussieht.

[DON666]

Wollte halt nur sagen, dass du damit nicht allein bist. Da sich die Namen teils gleichen, dürfte so ziemlich jeder diese Einwahlversuche im Protokoll finden, schätze ich mal.

Dieser Beitrag wurde von DON666 bearbeitet: 30. Januar 2023 - 14:31

[Chillkröte]

Moin zusammen,

ich habe über ein sehr ähnliches Thema vor kurzem meine Bachelorarbeit geschrieben und kann da vielleicht etwas zu sagen.

Die Zugriffsversuche, die du auf der Fritzbox siehst sind automatisierte Loginversuche von Bots. Es gibt tatsächlich Akteure im Internet, die mit diesen Bots versuchen Zugriff auf verschiedene System zu erlangen und dann ihre Payload aufzuspielen. Das ganze ist keineswegs zielgerichtet, die IP Adressen werden einfach vor und zurück ausprobiert bis etwas antwortet. In diesem fall die Fritzbox. Ist etwas gefunden werden bekannte oder häufig verwendete Passwortkombinationen ausprobiert um Zugriff zu erlangen. Die Masse der Anfragen ist dabei im übrigen auch (leider) normal!

Wenn die damit erfolgreich sind kann es passieren, dass man Versucht einen Cryptominer ein Botnetzclient oder andere Schadsoftware zu installieren (das passiert vorwiegent im SSH Protokoll!). Hier gilt: Je mehr Geräte infiziert sind, desto mehr ist das gesamte Netzwerk dem Angreifer wert. Teilweise werden diese Netzwerke dann auch vermietet (Stichwort: Cybercrime-as-a-Service). Bei einer Fritzbox könnte ich mir gut vorstellen, dass man versucht einen alternativen DNS Server einzustellen um Phishingattacken durchzuführen.

Aller wahrscheinlichkeit nach ist deine Fritzbox über das Internet direkt aufrufbar, wenn man nur deine IP Adresse kennt (oder errät). Nutzt du das? Wenn nein schalte es ab. Wenn ja, schalte es auch ab, richte dir aber die VPN Funktion der Fritzbox ein und Verbinde dich damit in dein (geschlossenes) Netzwerk und greife darüber auf die Fritzbox zu.

[DanielDuesentrieb]

Das ist seit Fritz!OS 7.50 bekannt. Ich hatte es auch an meinem Telekom Anschluss mit der von @DON666 genannten IP. Hier ist das auch bekannt.

Ich habe dann den HTTPS Zugriff aus dem Internet unterbunden und bei den Benutzern den Zugriff aus dem Internet unterbunden. Seitdem ist Ruhe. Ja, ohne VPN kommt man dann aber nicht mehr von außen auf die Fritz!Box. Ich habe es bis heute verschmerzen können und es nur gebraucht, um das WLAN wieder einzuschalten oder zu schauen, ob ein Fax auch tatsächlich angekommen ist.

HIER noch weiter Betroffene mit der IP, die man ins Ausland wohl verfolgen kann.

Wer den HTTPS Zugriff deaktiviert, killt damit auch myFritz! im Web. Die Boxen sind dann im Account nicht mehr erreichbar.

Dieser Beitrag wurde von DanielDuesentrieb bearbeitet: 30. Januar 2023 - 17:50

[Doodle]

Das war's. Seit #5 ist Ruhe. Bislang kein einziger Fremdzugriff mehr. Ich werde das trotzdem weiter beobachten.

Zitat (Chillkröte: 30. Januar 2023 - 17:35)

Aller wahrscheinlichkeit nach ist deine Fritzbox über das Internet direkt aufrufbar, wenn man nur deine IP Adresse kennt (oder errät).

Da geht es wohl eher um erraten. Wer sollte eine dynamische IP kennen? Ich habe jedenfalls nun alles deaktiviert, was offiziell den Zugriff von außen erlaubt. Mal sehen.

Dieser Beitrag wurde von Doodle bearbeitet: 30. Januar 2023 - 20:50

[Stef4n]

Ich hatte solche Einträge im Log der Fritzbox 7490 auch oft. Hatte auch mal recherchiert, aber außer aussitzen kam nichts bei rum.
Habe mittlerweile eine 7590, aktuell im Log nichts zu finden.