[Problem] Account Sperrung wegen verdächtiger Aktivitäten

[Crissi71]

Nabend.

Riesen Schreck nach der Spätschicht, Email von PBX-Network bekommen:
"Ihre VoIP-Accounts wurde wegen verdächtiger Aktivitäten gesperrt. Telefonieren ist bis auf weiteres nicht möglich."

Gleich eingeloggt, und es stehen beim Guthaben 123 Euro minus!!!! Und das trotz Prepaid!!!
Es wurden laut Anrufliste fast 500 Anrufe im Sekundentakt getätigt, fast immer die selbe Zielnummer. Manche zustande gekommene Anrufe wurden berechnet, manche nicht. Was ist hier passiert???

Mal ein Auszug:
2014-02-06 22:41:53 OUT xxxxxx300003 121 121 OK 1,169 1,392
2014-02-06 22:41:53 OUT xxxxxx300003 121 121 OK 1,169 1,392
2014-02-06 22:41:53 OUT xxxxxx300003 121 121 OK 1,169 1,392
2014-02-06 22:41:53 OUT xxxxxx300003 121 121 OK 1,169 1,392
2014-02-06 22:41:53 OUT xxxxxx300003 121 121 OK 1,169 1,392
2014-02-06 22:41:53 OUT xxxxxx300003 121 121 OK 1,169 1,392
2014-02-06 22:41:53 OUT xxxxxx300003 121 121 OK 1,169 1,392

Abgangsnummer und Account Nummer entfernt, Zielnummer unkenntlich gemacht.
Wie kann hier z.B. 7x ein Anruf getätigt worden sein zur gleichen Zeit und gleichen Nummer???


Irgendwas vielleicht mit dem aktuellen AVM Problem mit dem Fernzugriff zu tun?
In der FritzBox nichts verdächtiges gefunden, auch wurde der Fernzugriff Donnerstag morgen deaktiviert.

Falls jemand noch das selbe Problem hat, bitte melden.

Gruß Christian

Nachtrag: Easybell Accounts auch betroffen

 

[Hans Juergen]

Grundsätzlich: Nichts verändern, AVM kontaktieren.
Alle Ereignisse per Pushservice sichern, ebenso eine Sicherung aller Einstellungen anlegen.

Was sagen die Ereignisse, was steht bei eigene Rufnummern > Reiter Sprachübertragung?

 

[SF1975]

Hallo,
Ergänzend: Support-Datei erstellen und auf Wunsch an AVM senden. Kontakt zu AVM: [email protected]

 

[Crissi71]

Im Ereignislog und auch in den anderen Einstellungen ist bei der FritzBox NICHTS verdächtiges zu finden.
Das ist ja das komische.
Mit AVM habe ich telefoniert, Support Datei hingesendet, sowie komplette Netzwerk Konfiguration mit Router Log Protokoll.
GMX auch angerufen, da Verbindungsnachweis online nur bis zum 3.2 war, die haben die Anrufliste eingesehen, und es waren gestern Abend/heute morgen keine verdächtigen Anrufe.
Bin echt ratlos wie die an die Zugangsdaten gekommen sind.

 

[SF1975]

Hallo,

Bin echt ratlos wie die an die Zugangsdaten gekommen sind.

Da bist du einer von vielen .... im Moment ...

 

[Andre]

Wenn der Fernzugang offen war, kein Problem: Per Fernzugang Exportdatei sichern, Daten in eine lokale Box übernehmen, per telnet drauf, passwort dekodieren per shell-Befehl.
Hinterlässt keine Spuren auf Deiner Box, da gibts keine "Beweissicherung", die man vornehmen könnte.

Anders als bei der momentanen Diskussion mit eingerichtetem IP-Telefon ist Deine Fritzbox am eigentlichem Mißbrauch nämlich gar nicht beteiligt. Es werden dir nur die Zugangsdaten für die Telefonanbieter geklaut und über andere Anschlüsse genutzt.

Deshalb hilft Hans Jürgens Hinweis in Deinem Fall nix. Du musst bei allen Telefonanbietern neue Passwörter einstellen.

 

[Crissi71]

@ Andre: das soll so einfach möglich gewesen sein?

Passwörter wurden überall geändert.

 

[Hans Juergen]

Wenn der Fernzugang offen war, kein Problem: Per Fernzugang Exportdatei sichern

Es müsste in den Ereignissen dokumentiert sein...:
07.02.14 13:03:17 Anmeldung des Benutzers XXX an der FRITZ!Box Benutzeroberfläche von IP-Adresse 192.168.178.20.

Also erst recht, wenn per Fernzugang auf die Box zugegriffen wird.

Es könnte aber schon eine Weile her sein, müsste man die Push-Mails durchforsten

 

[koyaanisqatsi]

Hallöle

Nicht unbedingt.
Wenn der Hacker einigermassen routiniert vorgeht, löscht er alle greifbaren Logs vorm logout.
Ereignislog, Sprachqualität u.s.w.

Nur das Erstellen der Supportdaten könnte dann eventuell noch Spuren enthalten.

 

[sf3978]

..., löscht er alle greifbaren Logs vorm logout.

Wenn der Angreifer lediglich eine "falsche" externe IP-Adresse auf der Box hinterlässt, dann muss er vor dem logout nichts löschen.

 

[koyaanisqatsi]

Was an, so assoziiere ich das, "Hackerarroganz" stossen würde.
Auf den meisten Checklisten müsste an letzter Stelle stehn: Logfiles löschen

 

[Hans Juergen]

@ koy: Wenn Ereignisdaten gelöscht sind fällt das doch auch erst recht auf wenn nicht gleichzeitig ein Neustart verzeichnet ist. (die Ereignisse nicht mit üblichen Neustarteinträgen beginnen)
@ sf: Es geht ja nicht darum, den Angreifer zurückzuverfolgen, sondern nur um Feststellung: Da war wer.

 

[Andre]

Es würde auch nur der Fernzugriff im Log stehen. Nicht, ob die Exportdatei geladen wurde.

Und ja, es ist einfach, mit der Exportdatei an die Kennwörter der Anbieter zu kommen. Habe das schon bei einer eigenen Box gemacht, als 1&1 immer meinte, ich greife nicht vom eigenen Anschluss auf das Kundencenter zu, und ich daher das Passwort nicht neu setzen konnte - es aber fürs Ausprobieren eines Softphones brauchte.

Das betrifft selbst Kennwörter, welche man gar nicht kennt und gar nicht ändern könnte, weil sie per TR069 vom Anbieter aus der Ferne eingerichtet wurden. Um da die Kennungen auszulesen gibts sogar hier im Forum die Anleitungen.

Die Sicherheitsproblematik ist also durchaus größer, als man bisher sieht, wer weiß, wie viele Passwörter kompromitiert wurden. Und "alle Kennwörter ändern" schließt auch die providerseitig vergebenen ein, was viele vergessen dürften - weil sie per Startcode eingerichtet haben und die Kennwörter nie selbst irgendwo eintippen mussten.

 

[sf3978]

@ sf: ..., sondern nur um Feststellung: Da war wer.

Genau deshalb habe ich "Opfer" nach dieser IP-Adresse gefragt. Es ist auch unwesentlich ob diese externe IP-Adresse gefälscht ist oder nicht gefälscht ist, ... man muss nicht Anzeige gegen unbekannt stellen, sondern kann Anzeige gegen den Benutzer dieser externen IP-Adresse stellen. Der Rest ist eine Angelegenheit der Ermittlungsbehörden.

 

[Crissi71]

Tag!

Von PBX-network habe ich bisher noch nix gehört.
Easybell hat sich gemeldet, gehen von einem Schaden von unter 50 Euro aus. Wobei ich jetzt nicht weiß ob das gesamt ist oder pro Account.

Da ja in der FritzBox nix zu finden war, habe ich mir mal die alten Log Files des Router angesehen, dort war öfter sowas zu finden:
[LAN access from remote] from xxx.212.237.82:45682 to 192.168.1.10:16939, Saturday, February 08,2014 12:00:44
(Dieses ist aus dem aktuellen Log File)
Und auch sowas:
[DoS Attack: TCP/UDP Chargen] from source: xxx.138.89.145, port 48017, Thursday, February
06,2014 21:17:30

192.168.1.10 ist meine FritzBox im Heimnetz. Also versucht da jemand zu lauschen?
Die unkenntlich gemachte IP aus dem aktuellen Log File führt nach Singapore.
Diese "LAN access from remote" gingen auch ganz oft an den Port 5060 der FritzBox, der ist ja für VoIP.

Kann mir jemand das erläutern was da gemacht wurde?

Habe mittlerweile den IP Bereich des DHCP Server im Router neu eingestellt und allen Netzwerkgeräten neue feste IP`s zugewiesen.
Die FritzBox ist nun nicht mehr unter 192.168.1.10 zu finden.

Gruß
Christian

 

[HHI]

Hallo Christian,

hat sich PBX-Network zwischenzeitlich mal dazu geäußert? Mal unabhängig davon ob deine FritzBox tatsächlich gehackt wurde, kann es ja schließlich nicht sein, dass trotz Prapaid-Vertrages ein negativer Saldo entsteht!

 

[Pekelo]

Hallo,

PBX hat meinen Account auch wegen verdächtiger Aktivitäten gesperrt. Ich hatte noch Glück im Unglück, 4 Telefonate nach Polen, und 2 in die USA, Schaden 10 Cent. Meine Passwörter habe ich alle geändert, außer Kabel-Deutschland VOIP kann ich nicht ändern.

 

[Hans Juergen]

:wiejetzt: Was sollen das für verdächtige Aktivitäten gewesen sein? Mit 10 ct. "Schaden"?

 

[Crissi71]

@HHI
Bei PBX-Network ist alles klar, war Prepaid, ich mußte nicht zahlen.
Bei easybell muß ich zahlen.

 

[HHI]

@Crissi71:
Vielen Dank für die Rückmeldung! Freut mich, dass sich PBX hier so unproblematisch verhält. Trotzdem ist es doch komisch, dass überhaupt noch Verbindungen aufgebaut werden konnten, wenn das Konto leer war??
Das ganze Hacker-Drama zeigt mir jedoch mal wieder, dass es auf jeden Fall am Sichersten ist, einen Prepaid-Account zu nutzen. Hier ist das Risiko lediglich das Prepaidguthaben, was im meinem Fall niemals mehr als 25,- EUR ist. Ich hatte ja mit dem Gedanken gespielt, meinen Personal-VOIP-Account auf Postpaid umzustellen, das lasse ich aber nun ganz sicher sein ;-))