Achtung wichtig: Massive Angriffe auf die Fritzboxen mit MyFritz Dienst

  • Da diese Scanner derzeit nur den Standard Port scannt brint das schon etwas.

    Es ist ja eigentlich auch keine Lücke, sondern ganz normaler Log Spam, sowas gibt es immer mal.

    Da ein Treffer zu landen, wäre so wie ein 6er im Lotto.

  • Ist übrigens bei mir immer die gleiche IP, von wo das kommt:


    193.46.255.151


    Einfach mal beim Provider/Inhaber melden, da wurde wohl ein Server oder Webspace gehackt, für den Missbrauch. ;)

    ASN AS47890 - UNMANAGED LTD
    Hostname hostingmailto058.statics.servermail.org
    Range 193.46.255.0/24
    Company UNMANAGED LTD
    abuse@unmanaged.uk

  • Naja soll ja auch Hoster geben die das nicht so genau mit dem nehmen wofür Kunden Ihre Server benutzen.

    Was die Diskussion um andere Ports angeht: vor allem SSH setzte ich immer auf einen anderen Port als Port 22. Nein wenn ein Angreifer es wirklich auf einen abgesehen hat ist das kein zuverlässiger Schutz (dafür gibt es u.a. Pubkey statt Passwort), aber es hält einem die anderen 99% fern die Port 22 mit irgendwelchen Scripten bombardieren.

  • ok, klar ist insgesamt natürlich nicht so toll.

    Denkbar wäre vieles, aber ein konkretes ziel hat man wohl nicht festgestellt?

    online banking zb?

    bei mir gäbs, was daten angeht, momentan eh nixmehr zu holen ;)

    THE TRUTH IS OUT THERE

    Einmal editiert, zuletzt von RextheC (14. März 2024 um 14:53)

  • Wenn man sich mal den Screenshot von Boogie2005 anschaut dann betreibt der Angreifer wirklich aller beklopptestes Credential Stuffing mit einer Liste die er sich garantiert aus irgendwelchen illegalen Quellen zusammengeschustert hat.

    Kaum einer wird wohl seine GMail Adresse zur Anmeldung an seiner Fritzbox nutzen.

    Hier ist garantiert einer unterwegs der automatisiert versucht valide Zugänge zu Fritzboxen zu erlangen um Sie dann an Leute weiter zu verkaufen die diese weiter zu verwerten.

    AVM könnt hier ganz einfach Abhilfe schaffen. 10x falsche Anmeldung = IP für 24 Stunden gesperrt etc. Ist nicht schwierig.

  • Über die WebGUI ja, ist natürlich eine Frage wie das umgesetzt ist.

    Wenn das jetzt nur ein JS ist was in deinem Browser das Feld für ein paar Sek ausblendet bringt dir das garnichts wenn die Anmeldung direkt über nen Post Request an die Api läuft.

    Läuft nicht nur über JS, läuft über einen Prozess in der Fritzbox. Erkennt man z.B. daran das ein anderer Browser den selben timeout bekommt wenn man schon in einem ist.

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

  • Zum Thema was ist wenn die den Zugang haben:

    Wenn ich den Router habe kann ich sozusagen alles. Ich kann alles mitlesen weiterleiten umleiten. Perfekt um alles mitzuschneiden und manipulieren. Man in the middle im perfekten Zustand.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • ok, klar ist insgesamt natürlich nicht so toll.

    "Nicht so toll" ist an der Stelle maßlos untertrieben. Denk nur mal an all die, die Homeoffice machen und ein VPN in ihr unternehmen benötigen. Das in Kombination zu dem, was noob_at_pc sagt und die Hölle bricht über einen herein.

    Da diese Scanner derzeit nur den Standard Port scannt brint das schon etwas.

    Ich will dir nicht zu nahe treten, aber du weißt, welchen Scanner er verwendet? Kennst du Shodan? Shodan hat eine API. Wenn ich dort einen Account habe, dann suche ich über Shodan einfach mal nach folgendem:

    .*.myfritz.net

    Das spuckt mir dann neben ALLER offenen Ports auch gleich noch die passenden CVEs aus, die dazu gefunden worden sind. Suche ich dann noch nach was speziellem, dann wirds sehr schnell, sehr düster für das Opfer.

    Wenn ich das dann alles noch über die Shodan API mache, dann kann ich mich erstmal entspannt zurück lehnen und lasse mein Script seine Arbeit machen und warte auf die Ergebnisse. Diese übergebe ich dann meinem anderen Script welches etwas gezielter arbeiten wird.

    Ich will damit nur sagen, dass ein administrativer Zugriff nicht von außen zugänglich gemacht werden sollte. Da hilft dir auch ein anderer Port nicht. Ich würde es ein wenig begrüßen, wenn hier nicht der Tenor rüber kommen würde, dass ein anderer Port alles ins rechte Licht rückt. Das tut es nicht.

    Weiter hat AVM auch eine sehr gute Seite für die Einrichtung:

    https://avm.de/service/wissen…%9Cbernehmen%22.

    Da ist auch die Rede von 2FA und Authenticator-App. Ich würde dennoch immer den Weg über das VPN bevorzugen.

  • Man hat vollen Zugriff sozusagen.

    Wenn ich aber nicht wichtiges aufm Rechner/ eigenen Netz hab?

    Die müssten doch auf was spezielles aus sein was Kohle bringt!

    Vermute mal wie von Dark erwähnt, das Treffer über Bruteforce etc weiterverkauft werden.

    Um damit nochmehr schabernack zu treiben.

    edit: schneller transfer von zugangsdaten gegen geld .. bevor isp die ipv4/6 zwangstrennung macht. whyNot

    THE TRUTH IS OUT THERE

    3 Mal editiert, zuletzt von RextheC (14. März 2024 um 20:08)

  • Bin absolut kein Profi aber hab den Fernzugriff deaktiviert und mich vorerst via Wireguard verbunden wenn es dann nötig ist.

    Ist davon auszugehen das AVM da was macht oder eher weniger?

    Die werden gar nichts machen. Warum sollten sie auch ;)

    Es gibt etliche Bereiche im Netz wo administrative Zugriffe über ein Webinterfaces möglich sind. Ich denke da nur an sehr viele Wordpress-Seiten. Diesen Zugang muss man natürlich entsprechend absichern. Gutes Passwort, 2FA etc. Für Webseiten gibt es dann auch noch sowas wie "fail2ban" welches die angreifende IP sperrt. Leider ist das auch, wenn man es zu scharf konfiguriert, mit "false positives" behaftet.

    AVM hat eine gute Anleitung geschrieben, wie man es absichert. Gegen fremde und automatisierte Login-Zugriffe kann man was machen, ich bin aber der Meinung, dass man das nicht muss. So wie du es gemacht hast, würde es ein Profi machen. Admin Zugang von außen zu und wenn ich den brauche, dann verbinde ich mich via VPN, welches ich ähnlich gut abgesichert habe.


    Man hat vollen Zugriff sozusagen.

    Wenn ich aber nicht wichtiges aufm Rechner/ eigenen Netz hab?

    Die müssten doch auf was spezielles aus sein was Kohle bringt!

    Du kannst dir gar nicht vorstellen, was im Darknet alles Kohle bringt :D ;)

    Und wie schon beschrieben...bin ich erstmal admin in deinem Netzwerk, dann kann ich schon recht viel Unsinn machen und Dinge sniffen. Dann warte ich halt 1-3 Tage oder Wochen solange bist du was wichtiges im Netzwerk machst. Ich kann deinen kompletten Internetverkehr über meinen DNS-Server leiten, den ich ins Netz gestellt habe. Ich kann mir einen Zugang zu deinem Netzwerk einrichten und mir dann eine VM in die Cloud stellen, die sich dann via VPN zu dir verbindet und die lasse ich dann allen möglichen Unsinn machen. Vielleicht gaukele ich dir auch die Webseite deiner Bank über diese VM vor und du loggst dich dann brav ein.

    Ich habe das alles schon live gesehen. Wenn sich da jemand auskennt und du nicht merkst, dass da jemand in deinem Netzwerk ist, dann ist es nicht die Frage nach dem "ob". Nur "wann" und "wie"

  • warum hat man 2fa beim user nicht aktiviert?
    am pc dann noch mal schnell den 2fast (beispiel) https://apps.microsoft.com/detail/9p9d81glh89q?hl=en-us&gl=US und am handy auch irgendwas für kdbx installiert ( ich mag den: https://f-droid.org/de/packages/de…uthpass.fdroid/ ), schon ist mal 1-klick-glücklich *g*
    und ich mag den google authenticator nicht *g* allein wegen des herstellers *lach*
    muss ich nochmal editieren - ich gleich das zeug übrigens zw. den geräten mit dem freefilesync ( https://freefilesync.org/download.php ) ab - 0 arbeit für 100% gewinn *g*


    Vor der Ausführung besonders sicherheitsrelevanter Einstellungen und Funktionen, wie z. B. der Einrichtung einer Rufumleitung oder eines IP-Telefons, werden Sie aufgefordert, diese durch eine zusätzliche Aktion zu bestätigen.Bestätigungsmöglichkeiten:

    • Eingeben einer Tastenkombination an einem angeschlossenen Telefon (analog, ISDN oder DECT)
    • Drücken einer Taste an Ihrer FRITZ!Box
    • Eingeben eines Bestätigungscodes per Authenticator-App (Einmalkennwort)

    da kann ich mich dann aber nur beschweren, dass ich nix gelesen hab, sorry ... und das sag’ ich, der security-anti-admin ...

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!