[Info] Hacker zielen auf Fritz!Box: Wie sich Besitzer jetzt schnell schützen

[mschroeder67]

Gerade auf Winfuture gefunden:

Hacker zielen auf FritzBox: Wie sich Besitzer jetzt schnell schützen

Besitzer einer AVM Fritz!Box sind momentan das Ziel von Hackern. Dabei versuchen die Angreifer, sich in die Bedienoberfläche der Router einzuloggen. Um sich zu schützen, sollten Fritz!Box-Benutzer schnell Sicherheitsmaßnahmen treffen.

winfuture.de

 

[3949354]

Immer mal wieder. Kommt in Wellen. Daher nichts besonderes, wenn man recht sichere Pwds hat, oder abweichende Ports nutz.

 

[Roboto]

Und es betrifft alle Router und nicht nur Fritzboxen

 

[sonyKatze]

Unsere Threads dazu …
… und AVM selbst bietet ein Wissensdokument …

 

[totalverrückteruser]

Absolut sicher vor geknackten Passwörtern ist man, wenn man das Passwort für den Fernzugriff deaktiviert.

 

[Master SaMMy]

Es werden immer bekannte IP-Range abgescannt. Das war früher schon so und wird immer so sein.

Und sicher ist man, nur wenn man nicht Online ist (Router aus). Denn bevor so eine Information bekannt wird, wurden viele Sicherheitslücken schon Wochen oder schon Monate lang ausgenutzt.

 

[Pom-Fritz!]

Ich weiß nicht, ob dieser Fall hier bekannt ist. Ich hatte hier seit Anfang März mehrmals pro Tag die IP 193.46.255.151 in meinem Log stehen, mit immer anderen Anmeldenamen. Ich hab jedenfalls diese IP in der Fritz!Box gesperrt. Jetzt ist erst mal Ruhe. Diese IP stammt übrigens aus GB - der IP-Block ist 193.46.255/24. Weiß jemand, ob man diesen IP-Bereich in der F!B genauso sperren könnte (193.46.255.*)?

 

[stoney]

Sollte möglich sein

fritzhelp.avm.de

fritzhelp.avm.de

Beachten Sie für Einträge in IP-Sperrliste​

Tragen Sie in die IP-Sperrliste die IP-Adressen ein, deren Verbindungsanfragen an die FRITZ!Box blockiert werden sollen. Für die Liste gelten folgende Regeln:

• In den Werkseinstellungen ist die Liste leer.
• Sie können einzelne IPv4- und IPv6-Adressen eintragen.
• Sie können IP-Subnetze eintragen. IP-Subnetze werden in Präfix-Darstellung eingetragen (z. B.: 1.2.8.0/24). Für IPv4-Subnetze sind Netzgrößen von 20 bis 32 erlaubt. Für IPv6-Subnetze sind Netzgrößen von 48 bis 128 erlaubt.
• Sie können maximal 64 Einträge in die Liste vornehmen.
• Trennung der Listeneinträge durch Leerräume: Einträge in die Liste werden durch Leerräume getrennt. Ein Leerraum kann ein Leerzeichen sein, mehrere Leerzeichen oder auch ein Zeilenumbruch.
• In den Supportdaten werden alle gesperrten IP-Adressen aufgelistet.
• Verbindungsversuche von gesperrten IP-Adressen werden nicht in die Ereignisliste aufgenommen.

 

[rerhafnhabu]

Diese IP stammt übrigens aus GB - der IP-Block ist 193.46.255/24.

IP Info sagt Rumänien?

https://ipinfo.io/193.46.255.151

 

[essex_man]

Bei meiner FB hat es zwar noch keiner versucht, aber ich habe mir mal angesehen welche Ports geoeffnet sind:
Da ist 5060 fuer SIP geoeffnet und 52938 (TCP, IPv4) fuer Diagnostics and Maintenance.
Ich weiss zwar nicht ob das gefaehrlich sein koennte, habe den Port aber trotzdem erst mal dichtgemacht.

 

[Jstessi]

schaut mal hier, ist meist UK:

IP Address Lookup | Geolocation

Lookup a geolocation of an IP address including latitude, longitude, city, region and country. Compare the data from multiple IP location providers.

www.iplocation.net

 

[KunterBunter]

Das ist der Bösewicht.

UNMANAGED LTD people - Find and update company information - GOV.UK

UNMANAGED LTD - Free company information from Companies House including registered office address, filing history, accounts, annual return, officers, charges, business activity

find-and-update.company-information.service.gov.uk

Bei meiner FB hat es zwar noch keiner versucht, aber ich habe mir mal angesehen welche Ports geoeffnet sind:

Die Zugriffsversuche erfolgen über Port 443.

 

[rerhafnhabu]

Die Zugriffsversuche erfolgen über Port 443.

Nicht zwingend.
Ich habe bei einem Bekannten auch Zugriffe auf einen Port > 30000.
Der Port wurde jetzt geändert, seit dem ist (vorerst) Ruhe.

Ich weiss nur nicht, ob der Angreifer über xyz.myfritz.net oder einen 2. eingerichteten DDNS Client gekommen ist. (Der wurde ebenfalls deaktiviert, da nicht mehr benötigt)

 

[3949354]

Die Zugriffsversuche erfolgen über Port 443.

Hier Port im 5-stelligen Bereich.

 

[Pom-Fritz!]

Wenn der Angriff über über https (443) erfolgt: Dieser Port ist auf mein NAS weitergeleitet und diese Weiterleitung ist schon ewig deaktiviert. Die F!B hat für https einen anderen Port bekommen. Was mir aber noch auffällt: Meine F!B bekommt jede Nacht eine neue IP. Trotzdem hat der Angreifer täglich mehrmals sein Glück versucht. Ich habe aber auch für die F!B und mein NAS (IPv6) eine Domain registriert. Der Angreifer muss also entweder jeden Tag einen neuen Port Scan starten, oder er kennt meine Domain...

 

[StAugustin]

Merkwürden. ausser SIP und VPN benötigt man noch welche offenen Ports? Und Wofür?

 

[Theo Tintensich]

benötigt man noch welche offenen Ports? Und Wofür?

Na CIFS ;-)
Man will doch von seinem SmartPhone von Unterwegs auf die Filme, die man auf dem USB-Stick an der F!B hat, zugreifen.
VPN? Ist was für Kinder, die Angst haben. ;-)

 

[Pom-Fritz!]

Offene Ports lassen sich manchmal nicht ganz vermeiden. Z.B. für Plex, die Mediensammlung für unterwegs und FTP(s) (bei mir nur über IPv6 --> NAS) wegen großer Datenmengen. Firewall im NAS mit GeoIP nur deutschlandweit. Täglich wechselnde IP und Präfix - nicht 100% sicher, aber nah dran.

 

[Master SaMMy]

Aber der Block wird ja täglich abgescannt. Und dank FTTH zH werden nun auch T V O IP Blöcke gescannt. Was früher zwar auch schon war, aber jetzt öfters.

T= Telekom
V= Vodafone
O= O₂

 

[SnoopyDog]

"Fernzugriff" auf meine Boxen ging bei mir noch nie direkt, sondern immer nur über VPN. Jetzt auch mit WireGuard parallel zu IPSec. Klappt momentan auch wunderbar von Thailand aus.