Achtung wichtig: Massive Angriffe auf die Fritzboxen mit MyFritz Dienst

Da diese Scanner derzeit nur den Standard Port scannt brint das schon etwas.

Es ist ja eigentlich auch keine Lücke, sondern ganz normaler Log Spam, sowas gibt es immer mal.

Da ein Treffer zu landen, wäre so wie ein 6er im Lotto.

Zitat von Boogie2005

Ist übrigens bei mir immer die gleiche IP, von wo das kommt:

193.46.255.151

Einfach mal beim Provider/Inhaber melden, da wurde wohl ein Server oder Webspace gehackt, für den Missbrauch.

ASN AS47890 - UNMANAGED LTD
Hostname hostingmailto058.statics.servermail.org
Range 193.46.255.0/24
Company UNMANAGED LTD
abuse@unmanaged.uk

Naja soll ja auch Hoster geben die das nicht so genau mit dem nehmen wofür Kunden Ihre Server benutzen.

Was die Diskussion um andere Ports angeht: vor allem SSH setzte ich immer auf einen anderen Port als Port 22. Nein wenn ein Angreifer es wirklich auf einen abgesehen hat ist das kein zuverlässiger Schutz (dafür gibt es u.a. Pubkey statt Passwort), aber es hält einem die anderen 99% fern die Port 22 mit irgendwelchen Scripten bombardieren.

Was will der/diejenige damit eigentlich erreichen?

Macht sich das irdw bemerkbar, zB Internetverbindung schlecht oder bricht immerwieder ab?

Gut wenn ich nen Admin Account zu ner Fritzbox habe dann habe ich:

1. Ein Brückenkopf in ein fremdes Netzwerk#

2. Haben viele Fritzboxen eine aktivierte Telefonieoption mit der ich ggf. auf mich registrierte Mehrwertnummern anrufen kann.

ok, klar ist insgesamt natürlich nicht so toll.

Denkbar wäre vieles, aber ein konkretes ziel hat man wohl nicht festgestellt?

online banking zb?

bei mir gäbs, was daten angeht, momentan eh nixmehr zu holen

Wenn man sich mal den Screenshot von Boogie2005 anschaut dann betreibt der Angreifer wirklich aller beklopptestes Credential Stuffing mit einer Liste die er sich garantiert aus irgendwelchen illegalen Quellen zusammengeschustert hat.

Kaum einer wird wohl seine GMail Adresse zur Anmeldung an seiner Fritzbox nutzen.

Hier ist garantiert einer unterwegs der automatisiert versucht valide Zugänge zu Fritzboxen zu erlangen um Sie dann an Leute weiter zu verkaufen die diese weiter zu verwerten.

AVM könnt hier ganz einfach Abhilfe schaffen. 10x falsche Anmeldung = IP für 24 Stunden gesperrt etc. Ist nicht schwierig.

Hat AVM nicht schon dieses Time-Out Dingens?

Also je öfter du das PW falsch eingiebst, desto länger muss man warten bis zum nächsten Versuch.

Über die WebGUI ja, ist natürlich eine Frage wie das umgesetzt ist.

Wenn das jetzt nur ein JS ist was in deinem Browser das Feld für ein paar Sek ausblendet bringt dir das garnichts wenn die Anmeldung direkt über nen Post Request an die Api läuft.

Hört sicht ungut an, könnte ein Cybercrime-Rattenschwanz werden.

Also Router PW und BN ändern wäre nicht verkehrt.

thx

Zitat von darkside40

Über die WebGUI ja, ist natürlich eine Frage wie das umgesetzt ist.

Wenn das jetzt nur ein JS ist was in deinem Browser das Feld für ein paar Sek ausblendet bringt dir das garnichts wenn die Anmeldung direkt über nen Post Request an die Api läuft.

Läuft nicht nur über JS, läuft über einen Prozess in der Fritzbox. Erkennt man z.B. daran das ein anderer Browser den selben timeout bekommt wenn man schon in einem ist.

Oder einfach den Zugang vom Router nicht vom Internet aus zugänglich machen.

Wenn man heutzutage nicht sowieso für jeden Dienst (oder zumindest für die wichtigsten wo Geld etc. hinter stecken) eine eigene User/Pass Kombination ggf. mit 2 FA hat ist man eh so ziemlich verloren.

Zum Thema was ist wenn die den Zugang haben:

Wenn ich den Router habe kann ich sozusagen alles. Ich kann alles mitlesen weiterleiten umleiten. Perfekt um alles mitzuschneiden und manipulieren. Man in the middle im perfekten Zustand.

Zitat von RextheC

ok, klar ist insgesamt natürlich nicht so toll.

"Nicht so toll" ist an der Stelle maßlos untertrieben. Denk nur mal an all die, die Homeoffice machen und ein VPN in ihr unternehmen benötigen. Das in Kombination zu dem, was noob_at_pc sagt und die Hölle bricht über einen herein.

Zitat von HypsterX

Da diese Scanner derzeit nur den Standard Port scannt brint das schon etwas.

Ich will dir nicht zu nahe treten, aber du weißt, welchen Scanner er verwendet? Kennst du Shodan? Shodan hat eine API. Wenn ich dort einen Account habe, dann suche ich über Shodan einfach mal nach folgendem:

.*.myfritz.net

Das spuckt mir dann neben ALLER offenen Ports auch gleich noch die passenden CVEs aus, die dazu gefunden worden sind. Suche ich dann noch nach was speziellem, dann wirds sehr schnell, sehr düster für das Opfer.

Wenn ich das dann alles noch über die Shodan API mache, dann kann ich mich erstmal entspannt zurück lehnen und lasse mein Script seine Arbeit machen und warte auf die Ergebnisse. Diese übergebe ich dann meinem anderen Script welches etwas gezielter arbeiten wird.

Ich will damit nur sagen, dass ein administrativer Zugriff nicht von außen zugänglich gemacht werden sollte. Da hilft dir auch ein anderer Port nicht. Ich würde es ein wenig begrüßen, wenn hier nicht der Tenor rüber kommen würde, dass ein anderer Port alles ins rechte Licht rückt. Das tut es nicht.

Weiter hat AVM auch eine sehr gute Seite für die Einrichtung:

https://avm.de/service/wissen…%9Cbernehmen%22.

Da ist auch die Rede von 2FA und Authenticator-App. Ich würde dennoch immer den Weg über das VPN bevorzugen.

Man hat vollen Zugriff sozusagen.

Wenn ich aber nicht wichtiges aufm Rechner/ eigenen Netz hab?

Die müssten doch auf was spezielles aus sein was Kohle bringt!

Vermute mal wie von Dark erwähnt, das Treffer über Bruteforce etc weiterverkauft werden.

Um damit nochmehr schabernack zu treiben.

edit: schneller transfer von zugangsdaten gegen geld .. bevor isp die ipv4/6 zwangstrennung macht. whyNot

Bin absolut kein Profi aber hab den Fernzugriff deaktiviert und mich vorerst via Wireguard verbunden wenn es dann nötig ist.

Ist davon auszugehen das AVM da was macht oder eher weniger?

Zitat von DarkMasterCh1ef

Bin absolut kein Profi aber hab den Fernzugriff deaktiviert und mich vorerst via Wireguard verbunden wenn es dann nötig ist.

Ist davon auszugehen das AVM da was macht oder eher weniger?

Die werden gar nichts machen. Warum sollten sie auch

Es gibt etliche Bereiche im Netz wo administrative Zugriffe über ein Webinterfaces möglich sind. Ich denke da nur an sehr viele Wordpress-Seiten. Diesen Zugang muss man natürlich entsprechend absichern. Gutes Passwort, 2FA etc. Für Webseiten gibt es dann auch noch sowas wie "fail2ban" welches die angreifende IP sperrt. Leider ist das auch, wenn man es zu scharf konfiguriert, mit "false positives" behaftet.

AVM hat eine gute Anleitung geschrieben, wie man es absichert. Gegen fremde und automatisierte Login-Zugriffe kann man was machen, ich bin aber der Meinung, dass man das nicht muss. So wie du es gemacht hast, würde es ein Profi machen. Admin Zugang von außen zu und wenn ich den brauche, dann verbinde ich mich via VPN, welches ich ähnlich gut abgesichert habe.

Zitat von RextheC

Man hat vollen Zugriff sozusagen.

Wenn ich aber nicht wichtiges aufm Rechner/ eigenen Netz hab?

Die müssten doch auf was spezielles aus sein was Kohle bringt!

Du kannst dir gar nicht vorstellen, was im Darknet alles Kohle bringt

Und wie schon beschrieben...bin ich erstmal admin in deinem Netzwerk, dann kann ich schon recht viel Unsinn machen und Dinge sniffen. Dann warte ich halt 1-3 Tage oder Wochen solange bist du was wichtiges im Netzwerk machst. Ich kann deinen kompletten Internetverkehr über meinen DNS-Server leiten, den ich ins Netz gestellt habe. Ich kann mir einen Zugang zu deinem Netzwerk einrichten und mir dann eine VM in die Cloud stellen, die sich dann via VPN zu dir verbindet und die lasse ich dann allen möglichen Unsinn machen. Vielleicht gaukele ich dir auch die Webseite deiner Bank über diese VM vor und du loggst dich dann brav ein.

Ich habe das alles schon live gesehen. Wenn sich da jemand auskennt und du nicht merkst, dass da jemand in deinem Netzwerk ist, dann ist es nicht die Frage nach dem "ob". Nur "wann" und "wie"

okey, Also wenn ich mal am Hacken häng bringt auch eine neue ip vom isp nixmehr?! und/oder Zugangsdaten ändern.

Das ist scheI0e!

warum hat man 2fa beim user nicht aktiviert?
am pc dann noch mal schnell den 2fast (beispiel) https://apps.microsoft.com/detail/9p9d81glh89q?hl=en-us&gl=US und am handy auch irgendwas für kdbx installiert ( ich mag den: https://f-droid.org/de/packages/de…uthpass.fdroid/ ), schon ist mal 1-klick-glücklich *g*
und ich mag den google authenticator nicht *g* allein wegen des herstellers *lach*
muss ich nochmal editieren - ich gleich das zeug übrigens zw. den geräten mit dem freefilesync ( https://freefilesync.org/download.php ) ab - 0 arbeit für 100% gewinn *g*

Vor der Ausführung besonders sicherheitsrelevanter Einstellungen und Funktionen, wie z. B. der Einrichtung einer Rufumleitung oder eines IP-Telefons, werden Sie aufgefordert, diese durch eine zusätzliche Aktion zu bestätigen.Bestätigungsmöglichkeiten:

• Eingeben einer Tastenkombination an einem angeschlossenen Telefon (analog, ISDN oder DECT)
• Drücken einer Taste an Ihrer FRITZ!Box
• Eingeben eines Bestätigungscodes per Authenticator-App (Einmalkennwort)

da kann ich mich dann aber nur beschweren, dass ich nix gelesen hab, sorry ... und das sag’ ich, der security-anti-admin ...

Zitat von DarkMasterCh1ef

Bin absolut kein Profi aber hab den Fernzugriff deaktiviert und mich vorerst via Wireguard verbunden wenn es dann nötig ist.

Ist davon auszugehen das AVM da was macht oder eher weniger?

Was soll AVM dagegen machen? Es ist keine Sicherheitslücke.