Kurze Rundfrage an die Blog-Leserschaft, die eine FRITZ!Box betreiben, die direkt per Internet erreichbar ist. Habt ihr in den letzten Tagen verstärkt Zugriffsversuche von Dritten in den Protokollen gesehen? Ein Blog-Leser hat mich zum Wochenende mit einer entsprechenden Beobachtung konfrontiert. Nach dem Take-Down der Domain fritz.box der nächste Punkt, auf den Gerätebesitzer achten sollten.
Anzeige
Irgendwie scheinen Gerätebesitzer im Fokus von Angreifern zu stehen. Kürzlich berichtete ich im Blog-Beitrag Angriffe auf Synology OpenVPN-Server? (Feb. 2024) von Zugriffsversuchen durch unbekannte Dritte auf per Internet erreichbare Geräte. Und auch Besitzer einer FRITZ!Box haben sie Wochen Stress, weil eine externe Auflösung nach fritz.box zu einer externen Seite umleitet. Ich hatte im Beitrag FRITZ!Box-Problem: Eingabe der URL fritz.box leitet plötzlich auf externe Seite um erstmals berichtet und vorige Woche den nächsten GAU im Beitrag FRITZ!Box-Problem: Gekaperte Domain verursacht Stress angesprochen. Inzwischen ist die Domain fritz.box nach diesem heise-Artikel erst einmal aus dem Verkehr gezogen und nicht mehr öffentlich erreichbar.
Zugriffsversuche auf FRITZ!Box
Michael hat mich gestern per E-Mail kontaktiert, weil er in der Ereignisanzeige seiner FRITZ!Box auf zahlreiche Zugriffsversuche von Dritten gestoßen ist. Unter dem Betreff "Zugriffsversuche auf FritzBox – Läuft da was?" schrieb mir Michael folgendes:
Hallo Herr Born,
ich habe möglicherweise ein Thema für Ihren Blog bzw. vielleicht haben Sie dazu auch schon Informationen aus anderen Quellen:
Ich habe heute morgen eher durch Zufall in das Ereignisprotokoll meiner FritzBox geschaut und musste dabei feststellen, dass es über die vergangenen Tage eine immense Anzahl an Zugriffsversuchen gab.
Die Zugriffe wurden dabei, soweit Michael dies bis jetzt sagen kann, immer unterbunden, da das Kennwort falsch war. Der Versuch fand dabei immer von derselben IP-Adresse statt. Nachfolgender Screenshot von Michael zeigt diese Zugriffsversuche.
Zugriffsversuche auf die FRITZ!Box, Zum Vergrößern klicken
Im Ereignisprotokoll werden neben der IP-Adresse auch der Benutzername, unter dem der Zugriff versucht wird, angegeben. Dabei kommen laut Michael teilweise auch E-Mail-Adressen oder gar Klarnamen zum Einsatz. Neben den üblichen Versuchen wie "system", "admin", etc. scheint der Angreifer Brute-Force-Angriffe über Listen mit Benutzernamen und Kennwörtern durchzuprobieren.
Michael hat dann auch die FRITZ!Box seiner Eltern kontrolliert und festgestellt, dass es dort ebenfalls Versuche gab, von derselben IP-Adresse auf die Oberfläche bzw. das interne Netzwerk zuzugreifen. Diese Zugriffsversuche dürften aber nur bei Geräten auftreten, die per Internet erreichbar sind – was bei Michael der Fall war.
Dazu schrieb Michael: Meine FRITZ!Box und die meiner Eltern sind beide über das Internet erreichbar, sodass man sich auf das Web-Interface einwählen und ggf. Einstellungen verändern kann. Für kritische Änderungen ist eine 2-Faktor Authentifizierung notwendig. Die FRITZ!Boxen sind dabei bei AVM registriert und haben einen DNS-Namen vom AVM eigenen DynDNS-Dienst.
Michael gibt an, dass er nun den öffentlichen Zugriff für die FRITZ!Boxen nun erst einmal deaktivieren und ein VPN einrichten werde, sodass er Remote immer noch auf die Systeme zugreifen kann (ist ihm bei den Eltern wichtig). Michael fragte in seiner Mail, ob mir etwas bekannt ist – was ich verneinen musste. Frage an die Leserschaft: Stellt ihr diese Angriffsversuche ebenfalls fest?
Anzeige
Interessant: Nutzername fritz1234
Ergänzung 1: Ein Leser wies mich auf Mastodon auf einen weiteren Punkt hin. Er hat auf der FRITZ!Box einen ihm unbekannten Nutzer 'fritz1234' entdeckt. Es stellte sich heraus, dass der Name das Login aus dem Heimnetz ohne Nutzernamen ermöglicht. Das Ganze ist in diesem AVM-Dokument beschrieben.
Ergänzung 2: Inzwischen hat auch Golem das Thema in diesem Artikel mit einer Bewertung aufgegriffen. Mit aktuellem Kenntnisstand würde ich dafür sorgen, dass die FRITZ!Box-Oberfläche nicht per Internet für Fernzugriffe erreichbar ist und ggf. noch die in den nachfolgenden Kommentaren genannten IP-Adressen blockieren. Falls Fernzugriff zwingend benötigt wird, sollte man mindestens ein eigenes Kennwort, welches nicht bei anderen Diensten verwendet wird und nicht bei Have I been pwned auftaucht, verwenden. und auch bei Focus Online ist das Thema aufgeschlagen.
Ähnliche Artikel:
FRITZ!Box-Problem: Gekaperte Domain verursacht Stress
FRITZ!Box-Problem: Eingabe der URL fritz.box leitet plötzlich auf externe Seite um
Angriffe auf Synology OpenVPN-Server? (Feb. 2024)
2015
Kann ich bestätigen. Sieht bei mir genauso aus, inkl. derselben IP.
Hier auch so.
Von September bis November aus dem gleich IP-Netz nur mit der .53 hinten,
seit Anfang März jetzt von der oben genannten IP.
Kommt immer mal wieder in Wellen, aber so hartnäckig das es mehrere Monate die gleich IP ist war es selten.
Trotz Port > 50000 für den Fernzugriff.
Security through obscurity funktioniert nicht. Die "Sicherheitseinstellung", vom Standardport einer Anwendung abzuweichen, wird einen ernsthaften Anwender nicht abhalten. Du schießt Dir maximal selbst in den Fuß, wenn Du mal in einem regulierten LAN sitzt, während Du "nach Hause telefonieren" willst und das nicht kannst, weil eben nicht "any" in Richtung Internet erlaubt ist, sondern eben maximal Standardports für die entsprechenden Protokolle.
"Security through obscurity funktioniert nicht."
-> Das war mE schon immer falsch. Es müsste wenn dann heißen "Security *only* through obscurity funktioniert nicht."
Im konkreten Fall reduziert es die Anzahl der Zugriffsversuche erheblich, da die ganzen automatischen Scans oft nicht abweichend der üblichen Ports 80, 8080, 443, usw. suchen.
Damit wird das Log übersichtlicher.
Im übrigen wählt die FB ab OS 7.x automatisch einen Port 80, bzw. 443, wenn der Fritzbox-Dienst "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" aktiviert wird.
Heutzutage wird nicht mehr gescannt. Wer das glaubt, glaubt auch an den Mann im Mond. Es kostet NULL mehr Zeit, mal eben ein Kommando auf 65536 Ports loszujagen und zu schauen, ob man auf der IP-Adresse einen Treffer landet. "Ein bisschen schwanger" existiert auch nicht. Von daher ist Deines Erachtens vernachlässigbar, weil nicht zutreffend.
Meine Fritz!Box ist auch via myfritz-Adresse erreichbar, unbekannte Anmeldeversuche konnte ich bisher aber nicht feststellen.
Hat die Fritz!Box eine eigene öffentliche IP-Adresse? Liegt der Anschluss hinter einem CGN, so ist prinzipbedingt kein Zugriff von außen möglich. Leider kann man in diesem Falle dann auch kein VPN mehr nutzen.
hier das gleiche, auch selbige IP
Ja gut, ist halt jetzt der nächste erwartbare Schritt wenn Jemand im größeren Stil Zugangsdaten abgegriffen hat/hätte.
Ist nur dumm, wenn man nicht mehr weiß/wissen kann welche IP das Opfer aktuell hat bzw. random irgendwelche Zugangsdaten bei irgendwelchen Routern ausprobiert :-\
Eigentlich müsste zeitnah nach dem Abgreifen der Zugangsdaten ein Loginversuch auf die Fritz!Box stattgefunden haben. Davon würde ich auch ausgehen, alles andere wäre dumm. Keine Ahnung was man hier versucht. Entweder haben sich irgendwelche Betrüger gegenseitig verarscht oder die sind auch nicht die Hellsten. Kann man natürlich versuchen, wird aber Scheiße. Bei AVM würde ich schon erwarten, dass die reagieren und evtl. irgendwelche Einstellungen anpassen was Anzahl Fehlversuche und Zeitraum der Anmeldung angeht.
Die Zugangsdatenlisten, die hier abgearbeitet werden, stammen wahrscheinlich nicht aus einem Fritz!Box-Bezug. Sie werden einfach unter anderem bei Fritz!Boxen ausprobiert.
kann ich ebenfalls bestätigen. Sieht nach Bruteforce aus. Wechselnde Nurtzernamen
Von der gleichen IP
> oder die sind auch nicht die Hellsten.
Ein weit verbreiteter Fehler, nicht nur in der IT-Security, ist es, aus Unwissenheit heraus seinen Gegner zu unterschätzen. ;)
Möglicherweise ein Zusammenhang mit der Registrierung der Domain fritz.box?
Irgendwie ist es ja schon auffällig, dass erst diese Seite registriert wird und jetzt offenbar Passwörter gegen die Fritz!Boxen getestet werden.
Ist bekannt ob über die falsche fritz.box Seite nach Logindaten gephished wurde?
Das scheinen aber keine ganz neuen Aktivitäten zu sein. Ich nutze kein DynDNS von AVM und hatte trotzdem Zugriffe von der oben genannten IP-Adresse auf die Ports 80 und 443.
Da diese Ports per Port-Forwarding von der Fritz!Box an eine pfSence Firewall weitergeleitet werden, habe ich die Logs nach der besagen IP durchsucht. Die Zugriffsversuche erfolgten bereits Ende Februar:
Feb 29 03:37:34 pfSense filterlog[41940]: vtnet0,match,block,in,193.46.255.151,80
Feb 29 03:43:47 pfSense filterlog[41940]: vtnet0,match,block,in,193.46.255.151,443
Feb 27 03:59:16 pfSense filterlog[41940]: vtnet0,match,block,in,193.46.255.151,80
Feb 27 04:01:43 pfSense filterlog[41940]: vtnet0,match,block,in,193.46.255.151,443
Kann ich ebenfalls bestätigen, bei mir sieht die Liste genau so "lustig" aus. Die IP ist ebenfalls identisch.
Ist doch normal, das es immer wieder Wellen gibt wo alle im Internet erreichbaren
Geräte "abgetastet" werden, solange mein seine Geräte ordentlich gesichert hat ist das kein Problem.
Das gleiche wie bei den Webmail Adressen da hab ich auch täglich ein paar Dutzend Versuche reinzukommen… alle gescheitert.
Das ist doch Tagesgeschäft! Jedes mal wenn wieder ne neue Datenbank mit geklauten Daten on geht, stiegt das Aufkommen um dann wieder abzuflachen.
Sicheres PW, sichere Einstellungen (von aussen erst gar nicht erreichbar ;-p) und zusehen und amüsieren wie die Deppen Zeit vergeuden!
Alle Jahre wieder…:
https://www.heise.de/select/ct/2021/10/2108114224611544968
Wundert das nun wen? Wirklich? Manchmal pack ich es einfach nicht, was so alles erwartet und erhofft wird!
Die Spezies ist noch nicht soweit! Sie ist noch damit beschäftigt, aus kreisrunden Stammbäumen auszubrechen, stattdessen aber werden die Ansprüche für die Abiturprüfungen herunter geschraubt, damit ein gewisser "elitärer" Prozentsatz sich weiterhin auf die Schulter klopfen kann! Und da wird nun genau WAS erwartet…??
" werden die Ansprüche für die Abiturprüfungen herunter geschraubt"
Seit es zur gängigen Praxis geworden ist, das Noten im Zweifel von Urteilen eines Richters beeinflussbar sind, ist das Abitur nichts weiter als Makulatur. Bildung ein weiterer von finanziellen Möglichkeiten abhängiger Bereich der Kapitalismus-Gesellschaft. Man könnte das als Eingebauten Selbstzerstörungsmechanismus erkennen, welcher Ausgenutzt werden kann (oder wohl eher zutreffend: wird). Und so regeln sich Fehlentwicklungen über die Zeit von selbst. Ist nur die Frage wer darunter am meisten zu leiden hat. Besagter elitärer Kreis sicher weniger, so lange die über genug ererbtes Geld verfügen …
von einem Bruteforce-Angriff auf Fritz!Boxen zu fundamentalen Konstruktionsfehlern unseres Wirtschaftssystems. That escalated quickly. :D
@Stephan
Zuerst wollte ich auch etwas dazu schreiben, leider ist man und frau nun auch hier von "heiserischen Kommentaren" einiger Leute nicht mehr verschont…
Für den Bullshit, den Heise in dem Beitrag so von sich gibt, müsste der Verlag eigentlich verklagt werden. Bitte nicht nachmachen. Das sorgt maximal für Risikokompensation, aber nicht für Sicherheit. Mir kommt die Galle schon hoch, wenn ich "stealth mode" lese. Das gibt es nicht. Wäre ein Endgerät wirklich nicht da, würde der letzte HOP vor diesem Geräte sagen "Das Gerät ist nicht da". Wenn das Gerät nicht antwortet und der letzte HOP auch nichts sagt, ist das Gerät da, es antwortet nur nicht. Die Verlegung der Standardports schafft ebenfalls keine Sicherheit, das ist "security through obscurity", die maximal ein ScriptKid aus der Nachbarschaft abhalten kann, aber nicht einen ernstzunehmenden Angreifer. Man schießt sich maximal selbst in den Fuß, wie ich etwas weiter oben schon beschrieb.
Wer unbedingt meint, er müsse von außerhalb des eigenen (oder elterlichen) LAN Zugriff auf den Router haben, der richtet sich einen VPN Benutzer im jeweiligen Router ein. Mit unterschiedlichen Benutzernamen und deutlich unterschiedlichen Kennwörtern. Dann kann bei Bedarf ein VPN Tunnel aufgebaut werden und man ist Teil des lokalen Netzwerks, dessen Router man erreichen will.
Was man immer bedenken sollte: die bequeme Teilnahme am my.fritz ddns ist im Grunde ebenfalls eine Sicherheitslücke, weil dieser Dienst ausschließlich genau dafür zur Verfügung gestellt wurde, Fritz!Boxen über das Internet erreichbar zu machen. Wer daran teilnimmt UND die Fritz!Box übers Internet erreichbar macht, der veröffentlicht quasi die Route zum eigenen Haus und lässt das Fenster offen.
btw: der veröffentlicht quasi die Route zum eigenen Haus und lässt das Fenster offen.
Na und falls dort dann "plötzlich ein4 Meter tiefes Loch vor diesem Fenster klafft" und der "Unbefügte" dort drin festhängt, hilft dem das auch nicht mehr, es gibt für alles eine clevere Lösung, das muss ich dir doch nicht sagen.
Bei mir kommt keiner weiter als bis zur "Haustür".
Überheblichkeit, gepaart mit der Unterschätzung des Angreifers, ist die Definition von "Risikokompensation". 99 von 100 "Honeypots" im privaten Bereich sind keine Honeypots, sondern Einfallstore. Wie unwichtig die Daten auf Deinen Rechnern sind, muss ich Dir da nicht erklären. Allein die Fremdnutzbarkeit Deines Anschlusses ist interessant. Und von dieser Fremdnutzung kriegst Du nichts mit, weil Du ganz fest an Dein 4-Meter-Loch vor dem Fenster glaubst.
Woher weiß man denn dass das ein gezielter Angriff speziell auf Fritzboxen ist?
Könnte auch auch ein Angriff auf jegliche IP (und dahinter jeglicher Router oder Server) sein bei der festgestellt wurde das dort diverse Ports geöffnet sind und darauf reagiert.
Bitte meinen Kommentar nicht falsch verstehen, ist nicht böswillig gemeint.
Antwort auf deine Frage im 1. Satz: Wir wissen es nicht, könnte ein Angriff auf alle Geräte sein.
Folgeantwort auf deine Frage: Was bringt uns diese Erkenntnis? Nichts!
Als Blogger überlege ich mir schon, wie ich eine Botschaft verpacken muss, damit sie vielleicht von einigen Leute gelesen wird.
Hätte ich "Angriffsversuche auf alle Geräte" tituliert, hätte es a) x Kommentare der Art "mein Gerät wird nicht angegriffen" gegeben und b) hätten viele Leser das eher als "interessiert mich eh nicht" kategorisiert und übersprungen. So setze ich ein Aufmerksamkeitsbit "Du hast eine FRITZ!Box, schau mal nach". Zweitens: Jemand, der durch Zufall in der FRITZ!Box-Oberfläche die Zugriffsversuche sieht und dann im Internet recherchiert, bekommt die Chance, auf den Beitrag hier (der auch als Honeypot funktioniert) zu stoßen. Also eine Win-Win-Situation für alle.
PS: Hat übrigens funktioniert, die Abrufzahleng gehen steil.
Naja – bei einem Marktanteil von 70% in DACH wäre ein Angriff auf "alle Geräte", der nicht berücksichtigt, dass er's vor allem mit Fritzboxen zu hat, ein bisschen dämlich.
Zumal die Fritzbox ja auch bei den KMU massenweise im Einsatz ist, also sich da durchaus lohnenswerte Ziele ergeben.
In zweiter Näherung hat die starke Zunahme von Home-Office dazu geführt, dass hinter den Fritzboxen reihenweise (oft eher schlecht gesicherte) VPN-Zugänge zu richtig lohnenswerten Zielen locken.
Insofern ist es durchaus dienlich, das auf AVM zu fokussieren und da ordentlich Feurio zu schreien! Zumal ich nicht weiß, wie der Generationenwechsel bei AVM ausgegangen ist – wollten da nicht die Gründer vor 3, 4 Jahren ihre Anteile verkaufen?
Ich sag' mal so: Wenn Broadcom AVM kauft, sind wir am @rsch! ;)
Weil in dem Mustern der Benutzername "Fritz.box" vorkommt vielleicht???
nb natürlich ist der alles Mutmaßung, insofern kann nicht von "Wissen" die Rede sein. Aber genau darum geht es in diesem Blog ja.
@Günter
die vermutlich gestohlene Emailadresse in dem Bild Philip@…. sollte man ggf. schwärzen oder?
Ist verschleiert
Bei mir ebenso.
"über das Internet erreichbar, sodass man sich auf das Web-Interface einwählen und ggf. Einstellungen verändern kann"
Sollte man einfach gar nicht erst aktivieren. Eine potentielle Sicherheitslücke weniger und die Notwendigkeit für so eine Erreichbarkeit ist für 99,99% der Leute zu 99,99% des Jahres überhaupt nicht erforderlich.
Nachdem ich dieses Verhalten bereits mehrfach in der Vergangenheit bei Fritz!Boxen festgestellt habe, gibt´s keine Einwahl mehr mittels MyFritz!Konto auf das Web-Interface, sondern nur noch über VPN und einem DDNS-Anbieter, falls keine feste IP vorhanden ist.
Ist hier auch so, die Box ist *nicht* bei MyFritz registriert. Scheint also eher ein Scan über die Adressbereiche der deutschen Provider oder so was zu sein.
Ich mache mir da auch keine Sorgen, sowas ist mittlerweile leider ganz normal. Auf den Geräten, die ich beruflich betreibe und die per SSH aus dem Internet erreichbar sind, gibt es seit Jahr und Tag Login-Versuche, gerne auch mehr als 100 am Tag. Bei OpenVPN sieht es ähnlich aus.
Wo es möglich ist, kann man den Port des Dienstes auf einen anderen als den Standard legen, aber das geht nicht immer. Und wie gesagt, wenn der Login ordentlich abgesichert ist, besteht kein Grund zur Sorge.
Einfach die IP in der Fritzbox sperren:
"Internet" -> "Filter" -> Reiter "Listen" -> "IP-Sperrliste"
Dort dann die 193.46.255.151 eintragen und speichern.
Der Server mit dieser IP sitzt in Kenton (England):
www[.]abuseipdb[.]com/check/193.46.255.151
ISP: Unmanaged Ltd
Usage Type: Data Center/Web Hosting/Transit
Hostname(s): hostingmailto058[.]statics[.]servermail[.}org
Domain Name: unmanaged[.]uk
Man könnte es der Polizei melden, damit die das sperren lassen, den russischen Kunden des Service ermitteln und dann dessen Adresse an ein Karma-Team weitergeben.
Dann ist es morgen eine andere Quell-IP.
Wer hat denn die Anmeldungsseite seines Routers (egal welches Modell) auf der WAN-Seite offen??? Sorry, dem ist nicht mehr zu helfen. Da braucht es schließlich keinen Fritz.box Hack um Anmeldeseiten zu finden, sondern es reicht, einen Portscan auf bekannte DSL-IP-Adressbereiche zu machen, oder eine Abfrage auf Shodan und man hat genug Futter. Und den Rest erledigt das Handbuch des Routermodells, Benutzername meist admin, Defaultpasswort probieren und diverse Listen beliebter Passwörter.
Manchmal ist es auch einfach der Provider. Mein Provider macht das zb wenn man sein CGNAT nicht haben möchte und eine öffentliche IP kriegt ist 443 nach aussen offen. Soweit ich weiß gibt es bei der Fritzbox kein Whitelisting bzw. Geo-IP, deshalb ist er halt für alle offen.
Nachdem ich den Port dann einige male geschlossen hatte und er halt immer über TR69 geöffnet wurde, war dann irgendwann auch Schluss und er blieb zu.
TR069 ist seit 6.50 in der Fritz!Box deaktivierbar, wenn der Provider TR069 nutzt. Ansonsten ist der Menüpunkt nicht vorhanden.
Ich finde das auch keine gute Idee. Aber da AVM das explizit als Funktionalität am Start hat, mache ich nicht-technik-affinen Benutzer:innen da keinen Vorwurf draus. Die dürfen davon ausgehen, dass wenn AVM das vorsieht, dass es in Ordnung geht, das zu machen.
Wenigstens gibt es bei AVM keine öffentlich bekannten Standardpasswörter.
auf 3 Boxen bestätigt, selbe IP
Bei keine Versuche. Das gab es aber in der Vergangenheit schon mal mit den Versuchen des Zugriffs von außen.
Jepp, gleiche externe IP Adresse. Unendlich viele Versuche mit verschiedenen Namen.
Bei mir auch gleiche IP und diverse Versuche in den letzten Tagen.
IP auf die Blockliste gesetzt und mal schauen bis das ganze von einer anderen IP aus wieder los geht.
Bei den Betroffenen:
Nutzt ihr MyFritz von AVM? Habt ihr eure Boxen dort registriert, um Zugriff darauf zu erhalten?
Von mir betreute Boxen haben keinerlei Zugriffsversuche von außen, laufen aber auch nicht über myfritz.net.
Nur so als Sicherheitshinweis: Es ist ein worst case scenario, sich bei AVM mit den Boxen zu registrieren. Angreifer haben dann (fast) alle Systeme auf dem Silbertablett präsentiert.
Bolko hat ja schon gute Arbeit geleistet weiter oben. Ich würde aber erst mal den abuse-contact von Unmanaged Ltd. kontaktieren. Die IP-Adresse ist global bekannt für diese "Aktivitäten".
Ansonsten, wie von Bolko geschrieben, die IP auf die interne Sperrliste der FRITZ!Box und gut ist.
Hab eine Wireguard Site to Site laufen. Leider lässt sich diese nur mit einer MyFritz Dyn DNS Adresse anlegen obwohl ich eine Feste IP Adresse am Anschluss betreibe. Da merkt man halt das das Gerät für Heimanwender entwickelt ist.
Ja, aus genau diesem Grunde verzichte ich auf die WireGuard-Lösung. Es gibt zwar Frickel-Alternativen… aber die hebeln den eigentlichen Schutz aus.
MyFritz… Du solltest Dich nach einer Alternative umsehen, diese Angriffe werden immer und immer wieder erfolgen. AVM hat seine Systeme nicht im Griff. Irgendwann wird es da mal richtig krachen (es ist auch nicht der erste Angriff auf MyFritz!).
Na dann vielleicht auf ne ordentliche Firmenhardware umsteigen? Scheint sich ja nicht um eine "Heimanwendung" zu handeln. Ich werde das nie verstehen weshalb man in Firmen Heimanwenderendgeräte verwendet!
JA gute Hardware kostet mehr, bietet dann aber auch was man braucht und mehr Security.
Ja, alle 3 bei MyFritz…
Bei meiner Fritzbox auch die gleichen Zugriffsversuche und die gleichen Namen.
Ich hab einen Wireguard Zugang für mein Handy und meinen Notebook von außen, das mit einem eigenen DynDNS Dienst läuft, benötige also kein Fritz-Konto!? Läuft das hier anders als bei Site-to-Site?
Ich habe ebenfalls einen Wireguard laufen aber trotz statischer IP geht der Wizard erst weiter wenn ein Fritzkonto eingerichtet wurde. Mag sein das man das beim manuellen Anlegen übergehen kann.
Wenn Du einen VPN Zugang nutzt für Zugrife von außen, wieso ist dann Deine Fritz!Box offensichtlich zusätzlich per Webinterface erreichbar von außen?
Ich nutze DynDNS über einen anderen Anbieter, man muss nicht den MyFritz-Dienst verwenden. Mit einem alternativen Anbieter geht dann auch VPN per Wireguard.
"Es ist ein worst case scenario, sich bei AVM mit den Boxen zu registrieren."
So ist es! Ebenso den Internet-Verbindungs-Assistenten der Box zu nutzen. Immer manuel die Internet-Verbindung einrichten.
Bei mir auch das gleiche Spiel
Ja, das Problem besteht schon sehr lange. Die Lösung ist die IP-Adresse in der FritzBox zu sperren. Das geht so lange gut bis die Blödmänner eine neu IP-Adresse ausgraben. Zurzeit ist 193.46.255.151 aktuell.
Die Versuche ausgehend von Adressen des Anbieters unmanaged laufen bei meinen zwei Fritz!Boxen schon seit über einem Jahr. Der "Kunde" hinter der IP sitzt in Rumanien, und der in England ansässige Provider gehört auch einem Rumänen, der grundsätzlich auch keinerlei Beschwerdemails reagiert, ich hab schon einiges probiert. Der Name der Firma unmanaged LTD sagt ja schon alles, da kümmert sich niemand drum was dort passiert.
In neueren Versionen von FritzOS kann man eine Sperrliste füllen. Dort alle Adressen von unmanaged hineinkopieren und man hat Ruhe.
185.232.64.0/24
185.232.66.0/24
193.29.14.0/24
193.32.162.0/24
193.32.163.0/24
193.46.254.0/24
193.46.255.0/24
2.57.120.0/24
2.57.121.0/24
2.57.122.0/24
45.129.15.0/24
45.13.213.0/24
45.13.37.0/24
45.8.44.0/24
5.252.155.0/24
80.94.92.0/24
80.94.93.0/24
80.94.94.0/24
92.118.39.0/24
Danke für die Liste, IP-Adressen sind jetzt eingetragen!
Die Liste habe ich mal letztes Jahr erstellt. Aufgrund der Anmerkung von @Norddeutsch habe ich heute noch mal aktualisiert. Da hat es seit letztem Jahr noch mal Veränderungen gegeben.
AS47890 Unmanaged Ltd
AS Name Unmanaged Ltd
Country United Kingdom of Great Britain and Northern Ireland
Domain Name unmanaged.uk
Total IPv4 Address 13,568
Total IPv6 Address 9,223,372,036,854,775,808
2.57.120.0/23
2.57.122.0/24
45.8.44.0/24
45.13.37.0/24
45.13.213.0/24
45.129.14.0/23
45.138.96.0/23
45.138.98.0/24
45.148.9.0/24
45.148.11.0/24
80.94.92.0/23
80.94.94.0/24
92.118.37.0/24
92.118.39.0/24
140.228.17.0/24
140.228.18.0/23
140.228.20.0/24
140.228.28.0/24
141.140.0.0/22
185.232.64.0/24
185.232.66.0/24
193.29.14.0/24
193.32.162.0/23
193.46.254.0/23
193.47.69.0/24
200.229.31.0/24
207.182.48.0/20
216.24.221.0/24
2a0c:9f00:2::/48
2a0e:1d80:7::/48
2a10:9100:6::/48
2a10:9100:a::/48
Danke!
Aber fehlt da nicht noch die 193.46.255.151, welche aktuell auch auf meiner Fritzbox auftaucht(e).
Also für obige Liste die 193.46.255.0/2?
Woran erkennt man, ob /23 oder /24?
193.46.254.0/23 bedeutet
192.46.254.0 bis 192.46.255.255, also 512 Adressen. Damit ist 193.46.255.151 mit enthalten.
193.46.254.0/24 würde bedeuten
192.46.254.o bis 192.46.254.255, also 256 Adressen
Mit dem /23 spart man eine /24 Zeile, wenn beide in der dritten Zahl unmittelbar aufeinander folgen. Die ersten beiden Zahlen müssen gleich bleiben, es gibt also keinen Überlauf.
193.46.254.0/23 ist also
193.46.254.0/24 und 193.46.255.0/24
Ein /20 Netz hat sogar 4096 aufeinander folgende Adressen. (wobei in der Praxis normalerweise die x.x.x.0 und die x.x.x.255 nicht nutzbar sind)
Beste Grüße
Super, danke! Grüße
Bedankt für die Liste
:-)
Ach Herrjeh…ein Blog ..so was gibt#s noch und MIT Kommentarfeld ??? :-)
und JA auch meine Boxen müssen ihren Tüerstehern gerade Überstunden bezahlen.
Allerdings war unter den anmeldeversuchen auch einer mit einem Klarnamen und einer URL in Deutschland.
Mit dem Inhaber des Namens habe ich sogar telefoniert, er bekommt aktuell viele Anrufe von genervten FritzBox-Usern mit den gleichen Problemen. Offenbar wurde wohl mal eine Webseite mit EMail-Adressen gehackt und diese, möglicherweise ind Rumänien ansässigen Akteure, kamen auf diesem Weg wohl auch an eine Reihe von Zugangsadressen aber ohne Usernamen oder gar Passwörtern…
Wirklich effektiv was dagegen tun, können wir wohl nicht, allerdings scheint die Bedrohung auch eher gering zu sein.
Kann ich auch so bestätigen und auch sogar mit derselben IP Adresse.
Moin, kann ich bestätigen bis gestern. Ich wollte die Funktion vor Monaten schon abschalten. Werde es jetzt endlich machen. Danke für den Hinweis.
Generell sind solche Anmeldeversuche bekannt. Letztlich ist es "nur" ein Anmelde- Versuch per Bruteforce. Dies in den Logs nach Schema:
Dabei probieren Scripte User/Pw per Brutefroce durch. Oben mit zufälliger Verzögerung, Random +- ca 60 Minuten. Das Intervall ist beliebig – ich sah auch schon alle 12-24 Stunden über Wochen. Für User/PW nutzt man Wortlisten und Leaks. Aus realem Monitoring hier ein Beispiel, erstellt via Konsole, Emailadressen (ca.20%) gefiltert per:
a
a.artelt
adminamthuebe
arche-service
Benny
bitte
dacor
DarkSky
ede2016
Enrico
eva-admin
Fax
fernwartung
fritzadmin
fwz
gast
hallo
Hallo
kiracti
smcadmin
1. Ein HTTPS GUI hat mE ohne weiteren Schutz und Überwachung nichts im WWW zu suchen, auch nicht privat.
2. Lange Passwörter helfen, jedoch nicht bei Leaks und gegen Log-Spamming.
3. @Bolko @Logi – die Sperrliste ist super. Woher kommt die? Die Ranges
kann ich ebenso seit 2022 bestätigen. Die Liste will jedoch gepflegt werden, ist eher nur mittelfristige Lösung, gerade für Laien.
4. Ein VPN – von IPSEC bis Wireguard … kann ein zusätzlicher Schutzlayer sein. Er erhöht hier die Schwelle für einfache HTTPS-Login-Scripts. Er verhindert jedoch nicht, dass sich ein LOG zB bei fehlerhaften VPN-Anmeldeversuchen füllt.
5. @Dat Bundesferkel kann die Fritzbox überhaupt IPSEC oder Wireguard ohne MYfritz-DNS? Hab das selbst noch nicht geschafft. Gab immer Probleme bei Verbindungsaufbau und Authentizierung bei FB. Habe das Gefühl, dass FB-intern MYFritz und Zertifikate sauberer gemanaged werden.
Warum um alles in der Welt macht man seinen Router von extern erreichbar?
Wenn man schon die IP für den externen Zugriff nicht einschränken kann, dann wenigstens bitte per VPN. Alles andere ist hirnrissig!
Bin ja immer wieder schockiert wie fahrlässig mancher Dienstleister oder auch Otto-Normalverbraucher damit umgeht.
Die Fritzbox ist ja ein nettes Produkt aber bin mittlerweile soweit, dass ich die ausm Heimnetz verbannt habe. Redundante Firewall an ein DSL-Modem angeschlossen mit direkter PPPoE Einwahl ohne doppeltes NAT. Böse Zungen würden jetzt sagen "Und wenn deine Firewall eine Sicherheitslücke in der Firmware hat?" Das ist dann eben so. Aber immerhin SSL-Inspection usw aktiv und das Netz sauber segmentiert.
Haltet doch alle Mal den Ball flach. Das ist eine Fritzbox, ein Router, der hängt am WAN, hat eine öffentliche IP. Alles, was irgendwie erreichbar ist, wird ständig und immer wieder automatisiert abgescannt. Jetzt hat sich vielleicht ein Scanner auf Fritzboxen spezialisiert, aber im gewerblichen Serverbetrieb sind solche Logs nichts, wo ich meinen Kaffee wegstelle – da kümmert sich fail2ban drum. Das würde ich als Grundrauschen ansehen.
Zu "Haltet doch alle Mal den Ball flach." -> finde ich fatalistisch! Der Artikel hat das Ziel, die Leute für ein Thema zu sensibilisieren – es werden eh nur Menschen darauf anspringen, die Technik-affin sind. Diese können sich dann weiter informieren, bewerten und ggf. reagieren. Und wenn es das Abschalten der Oberfläche zum Erreichen über WAN ist. Imho. Dass man das im gewerblichen Umfeld ggf. anders handhabt, bin ich bei dir. Aber: Ich habe noch einen Artikel der Art "IT-GAU im Medizinwesen" in Petto – und wenn der Artikel dazu führt, dass ein IT-Dienstleister die FRITZ!Box bei seinem Kunden Dr. Sowieso mal überprüft, ist das Ziel erreicht.
Günter, lass Dich in Deinem Vorgehen zu dem Thema bitte nicht beeinflussen. Allein die Zahl der Kommentare unter Deinem Blogbeitrag, die definitiv den Bullshit-Stempel verdienen, gepaart mit den unter Aufbietung aller Kräfte ermittelten dynamischen Daten (warum werden ganze IP-Adress-Bereiche zwischen Nationen rotiert, und wieso betrifft das auch IP-Adress-Bereiche, die für die dynamische Einwahl gedacht sind), die als die Antwort auf alle Fragen (42) betrachtet werden, zeigt, dass Du hier nichts falsch machst in der Aufbereitung der Dir zur Verfügung stehenden Informationen. Es ist besonders durch die Kommentare unter diesem Beitrag ganz offensichtlich, dass eben nicht nur IT-Professionals hier lesen, sondern auch eine Menge Endnutzer mit gefährlichen Halbwissen. Die sind letztlich die, die einem Angriff uterliegen und das Gesamtnetz unnötig belasten.
Hier im Telekom Netz keine Versuche, aber auch kein externer Zugang von aussen eingerichtet, warum macht man sowas freiwillig?
Bei mir haben sie es bis jetzt nicht versucht.
Hier bei mir (bisher) auch noch nicht.
Ich habe jetzt mal die IP-Adressen von "Jogi" in die Sperrliste eingefügt (ein "Danke an Jogi!") – reine Vorsicht in der Porzellankiste (Fritz!Box 7490).
Dann ist die FB halt per VPN erreichbar, und über VoIP sowieso.
Macht also keinen wirklichen Unterschied ob nun so oder so.
Und nun mehrere Geräte betreiben machts aus kaum besser, außer dass man mehr Strom verbraucht.
Angriffsversuche erfolgen zufällig auf alle IPs.
Sieht bei unseren Boxen auch genauso aus. Immer die gleiche IP
Öffentlicher Zugriff für die FRITZ!Box ist aktiv und die FRITZ!Box ist bei AVM registriert und hat einen DNS-Namen vom AVM eigenen DynDNS-Dienst.
Hier aber keine Zugriffsversuche, möglicherweise ist der Grund:
Anrufe vom/ans Ausland sind blockiert.
Anrufe von Anonymen Rufnummern sind blockiert.
Anrufe von/an kostenpflichtige Sonderrufnummern sind blockiert.
Ps. Fritz1234 – dieser Name wurde schon am 1. Tag umbenannt.
usw.
Telefonanrufe (per VOIP) habe nichts mit IP-Zugruffen auf die Fernwarrungs-Anmeldeseite zu tun.
Ist klar, bei uns aber anders noch andere Hardware vor und hinter der FRITZ!Box, so ist diese bei mir nur mit einer Rufnummer erreichbar.
Trotzdem ist eine Rufnummernblockierung keine IP-Sperre.
Du hast es nicht verstanden.. -macht aber nichts!
Wenn ich als dein Provider d/eine Rufnummer blockiere dann ist das auch gleichzeitig eine IP-Sperre.
:-) @1ST1 – hast ja recht, evtl meint Benny mit "..aber anders noch andere Hardware vor.."(?) das er die FB hinter GW a'la DMZ nat`ed , dann SIP-Connects durchreicht (böse Länder dürfen auch nicht anrufen!), und dennoch myFritz aktiv hat… Lass uns lieber Frogger auf nem alten x86 spielen…
@Benny
Hier aber keine Zugriffsversuche, möglicherweise ist der Grund:
Anrufe vom/ans Ausland sind blockiert.
Anrufe von Anonymen Rufnummern sind blockiert.
Anrufe von/an kostenpflichtige Sonderrufnummern sind blockiert.
So auch bei uns und nicht nur das. Auch wurde in der FB der DNS Server abweichend konfiguriert, sodass alle DNS Abfragen ins Netz verschlüsselt übertragen werden. Und für alle Geräte hinter der FB bei denen es möglich ist, verwenden für die gesamte Kommunikation nur den nächst gelegenen lokalen VPN Internettunnelpunk eines parallel laufenden weltweiten Netzes und für den Ausstieg mit dort vorhandenen lokalen Endverbindungspunken alles verschlüsselt. Dieses Netzwerk wird kontinuierlich überwacht und gescannt und ist für jedermann kostenlos für den PRIVATEN GEBRAUCH nutzbar. Darüber hinaus hängt an der FB noch ein NAS welches weltweit rund um die Uhr erreicht werden kann. Jedenfalls gab es bis jetzt noch keinen einzigen Angriffsversuch auf keines der Geräte!
Hatte ich bei mir auch.
Lt. grafischem Tracert ist die IP in Rumänien ansässig.
Manchmal ist es auch einfach der Provider. Mein Provider macht das zb wenn man sein CGNAT nicht haben möchte und eine öffentliche IP kriegt ist 443 nach aussen offen. Soweit ich weiß gibt es bei der Fritzbox kein Whitelisting bzw. Geo-IP, deshalb ist er halt für alle offen.
Nachdem ich den Port dann einige male geschlossen hatte und er halt immer über TR69 geöffnet wurde, war dann irgendwann auch Schluss und er blieb zu.
Am Rande dazu, eines schönen Tages wird es sicherlich ein TR69 Desaster geben, ist eigentlich nur ne Frage der Zeit.
Ich habe ein paar Server im Internet stehe und da taucht er auch immer wieder mal auf, das Log sagt dann folgendes:
193.46.255.151 – – [29/Feb/2024:10:52:43 +0100] "GET //login_sid.lua HTTP/1.1" 404 134 "-" "python-requests/2.6.0 CPython/2.7.5 Linux/3.10.0-1160.108.1.el7.x86_64"
Ich habe noch eine IP gefunden: 95.214.25.170
unmanaged LTD ist ja nicht der einzige Provider, über den Loginversuche gestartet werden. Deine gefundene Adresse gehört zu Matrix Telecom Ltd auf den British Virgin Islands. Wer immer in seinem FritzBox Ereignisprotokoll solche Versuche sieht, kann die Adresse ja zu seiner Liste hinzufügen. Bei mir ist jetzt seit einem Jahr Ruhe, nachdem ich unmanaged gesperrt habe, weil alles aus deren Adresspool kam, immer mal wieder eine andere Adresse. Die "Firma" hat seit Gründung 2019 einen Direktor und null Angestellte und ein eingetragenes Kapital von 100 Britischen Pfund und gibt jedes Jahr gegenüber den Behörden die selben 100 Pfund als Firmenkapital auf Bankkonten und in bar an.
Die von mir genannte IP produziert aber exakt die gleiche Zeile im Server Log:
95.214.25.170 – – [31/Oct/2023:15:00:38 +0100] "GET //login_sid.lua HTTP/1.1" 301 162 "-" "python-requests/2.6.0 CPython/2.7.5 Linux/3.10.0-1160.80.1.el7.x86_64"
Laut AVM gibt es kein Wireguard ohne MyFRITZ!Net. Schließlich wir der Internetzugriff über HTTPS aktivert durch die MyFritz-Registrierung. Bliebe also nur ein anderer dyndns oder ne feste IP. Welcher (kostenlose) dyndns-Anbieter ist hier zu empfehlen?
Ich habe eine statische öffentliche IP, konnte aber auch nur mit myfritz den Wireguardserver einrichten. Dynu kann ich sonst empfehlen, braucht nicht alle Monate eine Bestätigung.
man kann sich auch einfach die aktuelle IP nach einem IP-Wechsel von der Fritzbox zumailen lassen. Dann braucht man gar kein dyndns. Ist natürlich aufwendiger aber wenn man es nur selten braucht.
@Andreas K @Stefan so einfach geht das leider nicht. Der dynDNS ist mE nur Teil-Problem (bei normaler Nutzung ohne Wireguard).
1. Welcher (natürlich kostenlose :-p ) dynDNS Services wär daher wohl zweitrangig. Dennoch: Ich würd selber scripten auf eigenen WWW-Server – oder Anbieter recherchieren, stabile Tips wären zB dyndns.org oder dedyn.io.
2. Die Option Wireguard (sowohl anderer dynDNS als auch fixed IP) hat jedoch FB-intern einige Hürden. Die FB muss dabei (auf mir bekanntem offiziellem Weg) MYFritz aktiviert haben, um den dynDNS-Prozess zu managen. Ansosnten "failed" der VPN-Anlege-Prozess der FB, so weit ich es mal analysierte:
Es gibt Berichte, wie man manuell umlenken kann, zB auf eigene dynDNS mit 200 OK. Ein möglicher ist "https //httpstat.us/". Dieser liefert – egal was kommt – die gewünschte Antwort "200" bei Aufruf von "https //httpstat.us/200". Diese Logik lässt sich auch selbst abbilden, zB nach Schema:
Ob dies lediglich für die Einrichtung o. den Wizard sein muss weiss ich nicht. Ob diese Anfrage wirklich nur HTTP ohne HTTPs war mag ich nicht mehr sagen (im Umkehrschluss zu klären: WAS genau wird ohne "Secure" an AVM übertragen. WAS wird durch diese Umlenkung offen gelegt, es ging mW zumindest aber ein DUMMY-User und -Passwort.
Schau doch mal in die Wireguard-Specs und Handshakes. Ebenso: Recherchiere, teste und berichte gern für uns hier. Will auch haben.
Ich hatte bis 2018 oder 2019 sporadisch den VNC-Port offen – schon die Jahre davon immer wieder mal, wenn ich unterwegs war.
Dann geriet ich auf den Radar eines Unholds, der fortan (erfolglos) versucht hat, den VNC-Zugang zu Bruteforcen. Allerdings hat der soviel Last auf Fritzbox und dem Zielrechner erzeugt, dass mir regelmäßig das Netzwerk zusammengebrochen ist. Ich konnte das auch kaum glauben – also nicht der Bruteforce-Versuch an sich, sondern dass der Angreifer sich gar keine Gedanken darüber gemacht hat, dass der Ressourcenverbrauch zur Entdeckung führen könnte – , aber der Spuk war sofort vorbei, nachdem ich den Port wieder geschlossen hatte.
klassisches VNC erlaubt nur Kennwörter mit maximal 8 Zeichen, sowas sollte man bitte nicht direkt per Portweiterleitung ins Netz stellen.
Wenn du Credential Stuffing oder Wörterbuchangriffe zähmen möchtest, hilft Rate Limitting. Das geht z.B. auf Linux sehr schön mit nftables.
Kann ich auch so bestätigen Inkl. der selben Zugriffs IP
Aktuell werden Sophos UTMs beprobt, mit teils lange nicht mehr existierenden Konten, die zur Domäne gehörten.
Ja, das fing hier schon vor ner Woche an mit dieser IP. Seitdem ich die IP in die Sperrliste gepackt habe, ist Ruhe.
Aber ich möchte mal was dazu sagen, dass man die Box nicht von außen offen lassen sollte. Ich benutze sie gerne als Cloud auf meinen Reisen, und Benutzername und PW sind sicher nicht zu knacken. Kann mir mal einer von den Experten hier sagen, wo das Problem bei mir ist?
Ich habe kein Mitleid mit Leuten, die admin mit 12345 setzen, schließlich wird seit Jahrzehnten gepredigt, dass man das nicht machen sollte. Wer seine Haustür nachts nur anlehnt, der ist doch auch selber schuld, wenn jemand reingeht, oder?
Ich bin in dieser Hinsicht sicher kein Experte, aber es ist mitunter auch schon vorgekommen, dass Webinterfaces von Routern Sicherheitslücken gehabt haben, auf die man erst sehr spät gestoßen ist. Dadurch konnte ein Eindringling an dem Login vorbei. Manche Router hatten auch schon fixe Logins (als eine Art Hintertüre). Das mag alles für die FB eventuell nicht zutreffen aber es ist eben ein gewisses Risiko, auf das man so keinen Einfluss hat. Außer man kennt den Sourcecode aller auf dem Gerät installierten Libraries.
Das gleiche schon seit Jahren hin und wieder auch bei mir, bei mehreren Fritz-Boxen der Familie, die ich verwalte… und weswegen ich tlw. den Fernzugriff darauf brauche. ;-)
Meistens werden bei den Zugriffsversuchen Standard-Accountnamen verwendet (ftpuser, admin, etc.), aber auch Listen mit Emailadressen, stammen vermutlich aus dem Darknet inkl. Passwort.
Da ich aber in jeder neuen Fritzbox immer zuerst einen neuen Account einrichte, mit dem man per Fernzugriff darauf zugreifen kann und dessen Name "ungewöhnlich" ist, und zudem ein relativ sicheres Passwort verwende, geht das ganze Risiko gegen Null.
…Es gibt frei verfügbare Portscanner, die einfach wahllos das gesamte Internet nach offenen FTP-Ports u.ä. abscannen, und dann schauen, ob der User mit Name und Passwort extrem unvorsichtig war, also z.B. statt nach einem bekannten Leak bei einem Netzdienst das PW zu ändern, es nicht getan hat…oder es einfach zu erraten ist.
Also alles "halb" so wild… denn:
Jedoch habe ich bei meiner Schwiegermutter, die nur einen lahmen 10 Mbit/s-Download an der Fritzbox bekommt, den Eindruck, als ob die Fritzbox während der vielen Zugriffsversuche langsamer wird… Ich konnte dann manchmal sogar nicht sofort rein per Fernzugriff, vermutlich weil die Box mit Abwehrversuchen beschäftigt war. Quasi wie eine DoS-Attacke.
Leider hilft nicht der ehemalige Tip, die Box per Menü neu zu starten, um sofort eine neue IP zu bekommen, die der Angreifer nicht mehr akut im Visier hat. Scheinbar wird die IP nur nachts erneuert, wenn sich die Fritzbox nach 24 Std. eh neu im Netz registriert.
Anm.:
Die Logliste der Fritzbox könnte aber etwas übersichtlicher sein, vor allem wenn es um Anmeldeversuche und insbesondere um die "erfolgreichen" geht, die man nicht selbst ausgeführt hat.. Etwas rote Schriftfarbe o.ä. würde schon sehr helfen- und wenn es nur zur eigenen Beruhigung ist, wenn man die Angriffe erst später im Log bemerkt.
Nachtrag:
ich habe mal die IPs der vergangenen Monate gesammelt, die mich auf diese Weise per BruteForce angegriffen haben, und sie in die IP-Sperrliste der Fritzbox aufgenommen:
Kann das jemand bestätigen ? (Ich hoffe, damit jetzt nicht zuviel wegzufiltern…)
2.57.121.230
34.76.158.233
35.216.237.60
185.142.236.36
62.140.233.15
193.46.255.53
193.46.255.151
Auch hier bei mir Anmeldeversuche. Mit verschiedenen Namen, bei denen der Anfangs-Buchstabe mit Groß- und Kleinschreibung getestet wird. Ebenso mit Admin, Alexa, heizcontrol etc. Dazwischen gestreut sind verschiedene E-Mail-Adressen. Das geht schon seit einigen Tagen so, aber erfolglos.
Kann ich bestätigen… mit gleicher IP massive Anmeldeversuche seit dem 03.03.2024 ab ca. 14:00 Uhr bis heute durch im ca. 30-60 Minutentakt.
@A.B.
34.76… und 35.216… ist Google, der Rest sind Provider, von wo aus gerne gehackt wird
Konnte noch nichts der Gleichen feststellen.
Ich habe jetzt aber gleich mal meine Sperrliste aktualisiert.
Kann ich ebenfalls bestätigen. Heute bislang rund 80 Anmeldeversuche, immer unter anderem versuchtem Namen. Gleiche IP (193.46.255.151).
Shields up… Ich werde diese IP noch heute Abend blocken. Unique Username und komplexes langes Passwort und der Drops ist gelutscht. Und durch den Wechsel von Username und Passwort werden die Karten neu gemischt. Auch an GMX und den dortigen Einstellungen beißen sich die Boys & Girls die Zähne aus.
Ich habe das auch gehabt …weil die Leitung abundzu langsam war.
Einfach habe ich die Firewall im Stealth Mode bei Fritz eingeschatet und Ruhe im Karton.
Port bleibt offen auch für die Kamera. Protokoll läuft mit push-Email.
aber über den Link kommen Sie auch ohne Port rein .
Jetzt alles wieder OK
Schon seltsam dass der Stealth-Mode was bringt, auch wenn ständig behauptet wird, dass er Unsinn ist.
Der bringt nix, auch ein hoher Port ebensowenig.
Loginversuche erfolge dennoch.
Seltsam, dass Du nicht mitkriegst, dass es "stealth" im Internet nicht gibt ohne knippex. Noch seltsamer, dass Du fest an das glaubt, was man Dir erzählt, obwohl es technisch eben ganz anders ist /und von mir in den Kommentaren zu diesem Beitrag sogar detailliert beschrieben wurde). Ergebnis: Du hast keine Ahnung von IP (Internet Protocol)
Falls es noch nicht gepostet wurde, diese Info steht bei AVM zu dem Thema in der Wissensdatenbank:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3299_FRITZ-Box-meldet-Anmeldung-des-Benutzers-gescheitert/
Das Standard Vorgehen, die Standard Tipps welche für jedes Gerät gilt, welches im Internet hängt.
Was die Leute eben bräuchten wäre ein PC/Internet Führerschein! Die Masse ist da eben dumm wie Brot.
Ich habe auch eine Frage dazu, bitte seht mir nach, dass ich von diesen ganzen Netzwerk Geschichten absolut keine Ahnung habe. Ich habe ein MyFRITZ Konto eingerichtet, allerdings dann nicht den Zugriff über Internet aktiviert. Dazu habe ich dann über WireGuard eine VPN Verbindung eingerichtet. Ist es nun nicht trotzdem so, dass meine FRITZ!Box weiterhin von dieser Angriffswelle betroffen ist, weil ja das MyFRITZ Konto Voraussetzung für die WireGuard VPN Verbindung ist?
nein, so hast du alles richtig gemacht, MyFRITZ aktivieren ist okay, man sollte nur nicht den fernzugriff aktivieren sondern wie du es machst eine VPN Verbindung aufbauen.
Hallo zusammen,
nette Blockliste, können bestimmt einige gebrauchen. Vielen Dank dafür.
Zu dem Kommentar mit den nicht technikaffinen Usern: Die sollten einfach die Finger vom System lassen. Die Router veröffentlichen sich ja nicht selbstständig im Internet. Standardmäßig machen FBs ihre Updates automatisch. Lediglich den Provider-Zugriff habe ich bei mir deaktiviert. Es sollte also keinen Grund geben, von außen auf das Interface zugreifen zu müssen. Ich bemängele schon seit vielen Jahren bei AVM, dass die FB zu einer eierlegenden Wollmilchsau mutiert. Heimanwender, die kaum dazu in der Lage sind, einen PC zu starten, geschweige denn, die Datenschutzerklärung von WhatsApp zu lesen, brauchen nicht mehr als Modem, Firewall und Switch. Also ziemlich genau das, was Vodafone mit dem Anschluss rauswirft.
Bei mir war NOCH NIE ein Router direkt vom WAN aus erreichbar. Als wir noch nicht bei Vodafone mit ihrem bescheidenen DsLite-Tunnel waren, hatte ich mir extra dafür eine DMZ aufgebaut. Türsteher war ein Netgear mit Portfreigabe zum Webserver. Die FB kam erst dahinter. Also sozusagen 4FA. Allerdings dann die FB im eigenen Subnetz.
Heute ist alles verriegelt und verrammelt – soweit es die FB mit ihren spärlichen Einstellungen zulässt. Ein Router von Lancom wäre mir auch lieber – die kosten aber selbst gebraucht bedeutend mehr…
LG vom nervigen Zwerg
Gimradan
Ich kann es auch bestätigen. Alle Angriffe kamen von der IP: 193.46.255.151
Zu dem von Fritz!Box automatisch angelegten Konto "fritz1234".
Das Passwort hier ist das gleiche wie bei der Anmeldung ohne Benutzernahmen.
Das wird bei der Inbetriebnahme das Box automatisch angelegt.
Bei der Inbetriebnahme soll ja das Passwort geändert werden (sollte man auch so machen).
Nach der vollständigen Inbetriebnahme sollte man einen neuen Benutzer anlegen.
Geht hier: ->Benutzeroberfläche ->System ->FRITZ!Box-Benutzer, sicheres Passwort erstellen -> Übernehmen -> (Jetzt erstmal sicherheitshalber alles notieren) -> Abmelden.
Bei der neuen Anmeldung "mit Benutzernahmen und Passwort anmelden" auswählen, wenn nicht schon angezeigt.
Dort das neue Konto auswählen und mit dem dazugehörigen neuen Passwort anmelden.
Auf der Benutzeroberfläche angekommen wieder zu ->Benutzeroberfläche ->System ->FRITZ!Box-Benutzer, das Konto mit dem Stift-Symbol aufrufen und deaktivieren oder mit dem Papierkorb-Symbol direkt löschen -> Übernehmen
Jetzt Abmelden.
Auf dem nun angezeigten Anmeldebildschirm ist nun keine Auswahl der Konten mehr möglich, es geht nur noch das neue Konto mit Passwort.
Infos zum vergessenen Passwort gibt's bei AVM.
PS: diese Einstellung ist auch wichtig.
Fritz-Oberfläche -> Internet -> Filter -> Listen -> runter Scrollen -> Globale Filtereinstellungen -> alles anhaken -> Übernehmen.
Für Normal-Nutzer keine Einschränkungen.
Was ich gerade getestet habe ist, den https-Zugang deaktiviert. Trotzdem konnte ich noch Verbindungen über VPN sowohl ipsec als auch Wireguard herstellen.
Dann ist ja alles gut, oder? Hatte ja diese IPs von oben nicht im Log bzw. gar keine erfolglosen Loginversuche.
Auch die gleiche Adresse.
Erster Versuch am 01.03.2024 um 21:23.22 Uhr. Typischerweise deutsche Namen. jens.schilling (mehrfach) Holger sven1971 paulchenk (mehrfach) rasti2@gmx.de
heute war nur der Buchstabe a…. dran.
Jep, hier auch, seit dem 02.03.2024.
So richtig brute ist die force aber nicht, denn ich sehe hier nur ca. alle ~15 Minuten einen Versuch. Zu schnell wollen sie wohl nicht ..
Dank der Liste weiter oben, kann man ein bisschen Spielverderber sein.
Abschalten werde ich den Zugang deswegen aber nicht, da ich einige Funktionen gelegentlich dann doch nutze und die müssten den Benutzernamen in Kombination mit einem recht langen Kennwort treffen – ziemlich unwahrscheinlich. Wäre zwar nicht schön, aber dann sind sie bei mir immer noch 'vor der Tür'.
Gegen Sicherheitslücken im Fritz!OS ist man zwar nicht gefeit, aber da setze ich darauf, dass AVM bisher noch immer zügig mit Updates reagiert hat, die die Fritz!Box automatisch zieht.
Werde das natürlich im Blick behalten.
Danke einmal mehr für die Berichterstattung hier 👍🏻
"Abschalten werde ich den Zugang deswegen aber nicht, da ich einige Funktionen gelegentlich dann doch nutze und die müssten den Benutzernamen in Kombination mit einem recht langen Kennwort treffen – ziemlich unwahrscheinlich. Wäre zwar nicht schön, aber dann sind sie bei mir immer noch 'vor der Tür'."
Nein, sind sie nicht. Und sie haben ja offensichtlich ausreichend Zeit, denn Du reagierst maximal träge und nicht mit den richtigen Maßnahmen. Ganz im Gegenteil, Du hältst Dich aufgrund der Wahl der Benutzernamen-Kennwort-Kombination für dermaßen sicher, dass Du nicht einmal auf die Idee kommst, den Zugang von außen zu verriegeln, indem Du VPN einsetzt und die Konfigurationsoberfläche der zentralen Schnittstelle Deines LAN zum Internet nur noch aus dem internen Netz verfügbar machst.
Kurz: Du bist genau das, worüber sich ernstzunehemde Angreifer, die keine andere Intention haben als die, Deinen Internetzugang für ihre Zwecke zu missbrauchen, die Hände reiben.
Herzlichen Glückwunsch. Sechs, setzen, Thema verfehlt.
Habe durch Zufall (wollte einfach mal wegen was anderen in den Ereignissen nachschauen) diese Zugriffsversuche gesehen. Habe natürlich nach Recherchen im Netz erst mal alle Zugänge von aussen gesperrt und die entsprechenden Filter gesetzt. Interessant, was man so an Informationen alles findet, wenn man gezielt nach diesem Problem im Netz sucht. Die Angriffe erfolgten bei mir seit dem 05.03.
Auch ich konnte mehrere Tage Einträge von Anmeldeversuchen in der Ereignisliste der FritzBox feststellen. Diese sind zwar immer gescheitert, aber es bleibt ein unsicheres Gefühl. Daraufhin habe ich unter der Benutzeroberfläche folgenden Punkt gefunden:Internet > Filter > Listen > IP-Sperrlisten > Blockierte IP-Adressen: bearbeiten.
Hier habe ich die IP-Adresse 193.46.255.151 von der die Anmeldeversuche ausgingen eingetragen und jetzt ist Ruhe im Karton. Keine Einträge mehr in der Ereignisliste.
Diese Zugriffsversuche finden doch bereits seit Jahren immer in Wellen statt, d.h. irgendwann ist erstmal wieder Schluss und nach einer Weile geht's von vorne los.
Ich kann den Beitrag von Arno N. bestätigen. Da ich allerdings feststellen konnte, dass innerhalb des Subnetzes 193.46.255.* durchaus mehrere Adressen verwendet werden können, habe ich den Eintrag unter den blockierten IP-Adressen auf das gesamte Subnetz ausgedehnt: 193.46.255.0/24 und der Spuk hört auf.
Hier mal noch ein Ansatzpunkt zu der Meldung. Ich hatte vor ca. 1 – 1 1/2 Jahren auch schon mal dieses Problem. Jeden Menge unautorisierte Anmeldeversuche bei zwei Routern (7490 und 7590). Habe dann mal die Einstellungen in beiden Routern überprüft und festgestellt unter Einstellungen Internet / Zugangsdaten / AVM-Dienste / waren Diagnose und Diagnose und Wartung aktiv geschaltet. Diese habe dann deaktiviert und schon war Ruhe. Seit dem keine unautorisierte Anmeldeversuche mehr seit dem.
Da vielleicht der eine oder andere Smart Home verwendet wäre es kontraproduktiv MyFritz! zu deaktivieren. Die IP Adresse kann man ja zusätzlich sperren.
Für meine Eltern nutze ich einen Fernzugriff, um eventuelle Wartung durchführen zu können. Leider waren in den Ereignissen auch eine Vielzahl an versuchten Anmeldeversuchen aufgelistet. Da die Fritz!Box etwas älter ist, ist eine Sperrung von IPs nicht möglich.
Die obige Diagnose und Wartung war bereits deaktiviert, aber nachdem ich zwei weitere Funktionen abgeschaltet hatte, gab es keine Anmeldeversuche mehr.
– Heimnetz / Netzwerk / Netzwerkeinstellungen / TR 064 => deaktivieren
– Heimnetz / Netzwerk / Netzwerkeinstellungen / UPnP => deaktivieren
Ich hoffe, dass durch diese Kombination an Einstellungen endlich Ruhe ist.
Ich habe das gleiche Problem des Angriffes von der gleichen IP. Ich frage mich, wie der Angreifer auf MEINE IP kommt? Die wird ja erneuert. Sicher wird diese bei AVM gespeichert, sonst funktioniert ja der DNS service nicht, aber ist dieser vielleicht gehackt?
…. und heute ist es eine neue IP aus Frankreich: 51.158.24.157
Auch bei meiner FRITZ!Box gab es heute Zugriffsversuche von derselben IP-Adresse.
Diese IP-Adresse stammt aus dem Adress-Bereich 51.158.0.0/15. Wenn ich aber versuche, die Sperrliste um diesen Eintrag zu erweitern, erhalte ich eine Fehlermeldung:
"Eine oder mehrere IP-Adressen sind fehlerhaft."
Weiß jemand, woran das liegt und wie ich den Adress-Bereich doch noch sperren kann?
versuch 51.158.24.0/24
wurde weiter oben erklärt
Ja, das klappt. Damit ist aber leider nicht der gesamte Adress-Bereich abgedeckt.
https://bgp.tools/prefix/51.158.0.0/15#whois
Die FRITZ!Box lässt wohl keine so großen IP-Bereiche zu. Schade. Mal sehen ob es hilft.
Alle Jahre wieder! Eine Webseite fängt an und alle Medien springen auf. Portscans im Internet sind so alt wie das Internet selbst. Sehr wahrscheinlich wird an jedem Router und Rechner, der mit einer öffentlichen IP-Adresse mit dem Internet verbunden ist, täglich mehrmals angeklopft und geschaut, welche Ports offen sind. Davon erscheint zum Beispiel in einer Fritzbox aber nicht wirklich was im Logfile, da sie im Regelfall eben nach außen keine offne Ports hat und dies dann auch nicht protokolliert. Anders wird es, wenn ihr auf dem Router einen Port öffnet, auf dem sich aus dem Internet heraus mit einem Benutzernamen und Kennwort angemeldet werden kann, zum Beispiel, wenn man von unterwegs auf Dienste des Routers zugreifen möchte. In solchen Fällen schaut die Fritzbox einfach, ob eine passende Kombination aus Nutzername und Kennwort angegeben wird. Wenn ja, wird dies protokolliert, wenn nein, dann ebenfalls. Wenn man solche Meldungen nicht mehr sehen möchte, dann ist die Lösung, wie weiter oben schon geschrieben relativ einfach, einfach jegliche Dienste, die aus dem Internet heraus erreichbar sind zu deaktivieren und gegebenenfalls Portweiterleitungen auszuschalten.
Ich habe 3 private und 16 dienstliche Fritzboxen am Laufen. Etwas ältere wie neue Modelle hatten das Problem der versuchten Logins. Die Aktualisierung der Sperrliste schafft Abhilfe, aber es sammeln sich im Laufe der Zeit einige IP-Adressen die gesperrt werden müssen.
Eine einfache Lösung ist die Aktivierung des "Firewall im Stealth Mode". Das geht ganz einfach indem man sich an seiner Fritzbox anmeldet. Dann unter "Internet" "Filter" "Listen" und weiter unten "Globale Filtereinstellungen" öffnet. Erklärung was der Stealth Mode macht wird dort beschrieben. Hilft bei mir seit Jahren vor solchen ungewollten Anmeldeversuchen. Mein Vorschlag ist: Aktiviert den Stealth Mode. Anschließend kopiert ihr die bereits eingetragenen IP-Adressen in eine Textdatei auf den PC. (Falls ihr nicht zufrieden seid) Dann löscht ihr die Einträge in der Sperrliste. Noch eine Bitte habe ich, kommentiert bitte erst wenn ihr es ausprobiert habt. Viel Erfolg!
Bei mir waren die Zugriffe seit Feb. 24 von folgenden IP's
2.57.121.114
2.57.121.127
23.90.153.228
51.158.24.157
193.46.255.151
193.118.38.106
Glücklicherweise ohne Erfolg…