Ja.@inquisitor - war der Fernzugang zu dieser Fritzbox eingerichtet?
Nein, es existieren keine weiteren Benutzer.war/wurde nach "dem Hack" vielleicht ein weiterer Benutzer eingerichtet?
Ein Zusammenhang ist bis heute nicht berichtet worden.Mir ist zwar bis heute nicht klar wie diese 16m geklauten eMail-Zugangsdaten in Verbindung mit der FritzBox stehen
Auch dieses wurde bisher nicht bestätigt. Es ist nur theoretisch möglich gewesen.Der Hack benutzt eine manipulierte HTML. wird so eine manipulierte EMail/HTML Nachricht geschickt, klick, fertig.
Deutet das auf einen Hack über WLAN hin?Die aufgeführte IPv6-Adresse hat allerdings denselben Präfix wie die bis heute verwendete IP des Geschädigten (ist das evtl. ein Hinweis auf die Art und Weise des Hacks?).
... die noch am 8. Februar 2014 auf die mutmaßlich gefixte FritzOS Version 84.06.03 aktualisiert wurde, gehacked wurde ...
Rein theoretisch kann zumindest über die debug.cfg was auch immer in der Box verewigt sein, was natürlich auch nach einem Firmwareupdate noch funktionell ist. Jeder nachgeladene Code aus dem Internet könnte dort verewigt sein, dafür bedarf es noch nicht einmal eines USB-Sticks an der Box. Das Internet hat genug "eigenen" Speicher. :hehe:Mir stellte sich bisher auch immer die Frage, ob eine Aktualisierung der Firmware ausreicht, oder ob es nicht ratsam ist, allen potentiellen Opfern zu empfehlen, die Box zu recovern, um mögliche Überbleibsel eines Hacks zu eliminieren. (Auch wenn bisher keine Fälle dieser Art bekannt sind)
Sind an der Box irgendwelche Android-Geräte angemeldet, auf denen z.b. BoxToGo läuft? Von denen scheinen nämlich die IPv6-Anmeldungen zu stammen.Die aufgeführte IPv6-Adresse hat allerdings denselben Präfix wie die bis heute verwendete IP des Geschädigten (ist das evtl. ein Hinweis auf die Art und Weise des Hacks?).Code:22.02.14 05:03:42 Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 2002:d599:XXXX::a060:1b63:4710:9558.
Nein, in den alten FW wurde nach bisheriger Kenntnis nur ein Umgehen des Passwortschutzes bei Fernwartung ausgenutzt. Nach dem Fixen wurde durch hph festgestellt, dass die Lücke auch Aufruf präparierter Seiten möglich gewesen wäre. Darüber gibt es aber bis heute keine Berichte. Wenn die Box upgedatet ist sind beide Möglichkeiten geschlossen.1. Das Auslesen der Router-Config geschieht über den Aufruf einer präparierten Website
2. In der Folge nutzt man den Fernzugang (TCP 443), um sich kraft der unter 1. gewonnenen Zugangsdaten Zutritt zur Box zu verschaffen und ein neues Telefon anzulegen.
Novize! Man kann leicht mit telnet überprüfen ob eine geänderte debug.cfg läuft, war dir das nicht bekannt?