Angriff auf Fritzbox?

TonyTough

Neuer User
Mitglied seit
14 Okt 2015
Beiträge
164
Punkte für Reaktionen
19
Punkte
18
Meine Logs unter System -> Ereignisse sind heute voll mit Anmeldeversuchen am FTP-Dienst (nur ein Auszug):

Code:
Anmeldung  des Benutzers root am FRITZ!Box FTP-Dienst von IP-Adresse  95.211.101.196 gescheitert (Benutzername oder Kennwort falsch). [5  Meldungen seit 09.12.16 11:59:47]

Anmeldung  des Benutzers root am FRITZ!Box FTP-Dienst von IP-Adresse  95.211.101.196 gescheitert (Benutzername oder Kennwort falsch). [4  Meldungen seit 09.12.16 11:58:51]

Anmeldung  des Benutzers root am FRITZ!Box FTP-Dienst von IP-Adresse  95.211.101.196 gescheitert (Benutzername oder Kennwort falsch).

Anmeldung  des Benutzers anyone am FRITZ!Box FTP-Dienst von IP-Adresse  95.211.101.196 gescheitert (Benutzername oder Kennwort falsch).

Anmeldung  des Benutzers ftp am FRITZ!Box FTP-Dienst von IP-Adresse 95.211.101.196  gescheitert (Benutzername oder Kennwort falsch).
Sind da weitere Sicherheitsmaßnahmen nötig?
 
Zuletzt bearbeitet von einem Moderator:
Moin


Nein.
...solange die Logins nicht erfopgreich sind.

Leider schreibst du nichts von deiner Konfiguration.
Antesten von Standardports ist völlig normal.
DYNDNS Adressen machen dies leicht.
...weil sie über Google gefunden werden.

Willste das partout nicht mehr sehen, dann nutze VPN und entferne jegliche Freigaben (Fernzugriff).

PS: Der "Angreifer" ist nicht besonders intelligent.
Screenshot_2016-12-09-12-42-15.png
...da ein FTP-Login an der Fritz!Box verrät, dass es eine Fritz!Box ist.
Bei der wäre der angreifbare FTP-Benutzer: ftpuser
(NAS-Recht: Alle an der Fritz!Box angeschlossenen Speicher)
 
Zuletzt bearbeitet:
Aktuelle Firmware + eigenes Passwort + eigene SSID sind auf Anwenderseite wohl das Maximum.
AVM liefert den Rest, oder auch nicht ;)
 
Hallo ich greife diesen alten Therad noch einmal auf denn meine 7390 wird auch attakiert obwohl der Steahlt MNodus an ist.
Hier wird systematisch mit mehreren Usernamen der Login versucht.
Neueste Softwareversion ist drauf 6,85
Keine Freigaben, keine Portweiterleitungen, Zugriff für MyFritz ist aktiviert.
1x Dyndns für Boxtogo ist eingerichtet
FRITZ!Box-Dienste
Übersicht der geöffneten Ports für den Zugriff aus dem Internet:
passiert häufig zwischen dem 5.und 8. eines Monats. Deswegen habe ich die verschiedenen Usernamen als Anfangs und Endzeit reingenommen .
Alle 3 Min und 1 Sek erfolgt ein Angriffsversuch manchmal wird auch noch der User Nil oder nil versucht.

Geöffnete PortsVerwendete ProtokolleFRITZ!Box-Dienst
443TCP, IPv4Internetzugriff auf die FRITZ!Box (HTTPS)Bearbeiten
500UDP, IPv4VPN (IKE)Bearbeiten
4500UDP, IPv4VPN (IPsec)Bearbeiten
5060UDP, TCP, IPv4Telefonie (SIP)Bearbeiten
7078-7109UDP, IPv4Telefonie (RTP)Bearbeiten

so sehen dann die Zugriffe aus
07.09.19 03:03:21Anmeldung des Benutzers user an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
07.09.19 02:47:16Anmeldung des Benutzers user an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
07.09.19 02:44:03Anmeldung des Benutzers administrator an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches K
07.09.19 00:58:33Anmeldung des Benutzers administrator an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches K
07.09.19 00:55:44Anmeldung des Benutzers root an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 23:21:16Anmeldung des Benutzers root an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 23:18:36Anmeldung des Benutzers ftpuser-internet an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches K
06.09.19 21:46:23Anmeldung des Benutzers ftpuser-internet an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches K
06.09.19 21:43:45Anmeldung des Benutzers Admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 20:13:16Anmeldung des Benutzers Admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 20:10:43Anmeldung des Benutzers support an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 18:42:31Anmeldung des Benutzers support an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 18:40:05Anmeldung des Benutzers ftpuser an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 17:16:53Anmeldung des Benutzers ftpuser an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 17:14:31Anmeldung des Benutzers test an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 15:53:44Anmeldung des Benutzers test an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 15:51:29Anmeldung des Benutzers admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort
06.09.19 15:37:56Anmeldung des Benutzers admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
 
Zuletzt bearbeitet:
Änder mal den HTTPS Port auf was Hohes ( > 40000 ) , aber eben nicht den Standardport 443 nutzen, wenn dich sowas stört.

Wenn du ausschliesslich VPN nutzt, HTTPS Fernzugriff braucht es dafür nicht, also deaktivieren ;)
...die MyFRITZ!APP 2 reisst den unnötigerweise auf, bei Aktivierung von VPN ( Heimnetzverbindung ).
...aber normalerweise auf einer zufälligen Portnummer > 40000.

PS: Wollte mich auch gerade als "koyaanisqatsi" "verewigen", aber leider nichts erreichbar unter: 77.247.110.122
:rolleyes:

Die Angriffe, die du nicht siehst, wie die "friendly-scanner" die deine SIP Telefonie "angreifen" siehst du nur in den Support Daten.
...da machst du dir keine Sorgen drüber, stimmts?
 
Zuletzt bearbeitet:
Wollte mich auch gerade als "koyaanisqatsi" "verewigen", aber leider nichts erreichbar unter: 77.247.110.122

Ist die im Ereignislog aufgeführte IP-Adresse nicht die des "Angreifers" und nicht die des "Angegriffenen"?
 
Ah, hast Recht, nun, dann: Leider konnte ich mich nicht bei Ihm verewigen ;)
...ich brauch wohl noch einen: Cafe con leche, grande, rapido :D
Da läuft ein SSH Server :)
 
Zuletzt bearbeitet:
Wer Server öffentlich zur Verfügung stellt wird auch „angegriffen“. Wen es stört muss halt in lokalen Netzwerk arbeiten.

Thema ist auch nicht neu, gibt genug zu. ;-)
 
Danke für eure Meinung

Die Angriffe, die du nicht siehst, wie die "friendly-scanner" die deine SIP Telefonie "angreifen" siehst du nur in den Support Daten.
...da machst du dir keine Sorgen drüber, stimmts?
Wenn du die beigefügten Protokolle *list.csv meinst, die sind immer sauber

-- Doppelposts zusammengeführt by stoney

Die Port Adresse habe ich mal nach oben verschoben. Schaun mer mal.
 
Zuletzt bearbeitet von einem Moderator:
Nein, ich mein die SIP INVITES aus den erweiterten Support Daten.
( http://fritz.box/support.lua )
Poste ich öfters mal, ganz typisch ist...
 
ah ja der erweiterte Support. Nein diese Datei geht bei mir bis März zurück, alles sauber, die mache ich immer nur wenn es denn mal (selten) ein Problem mit der Hardware gab.
 
ah ja der erweiterte Support. Nein diese Datei geht bei mir bis März zurück

Ein halbes Jahr zurückreichend erscheint ungewöhnlich für die erweiterte Supportdatei. Dort werden üblichwerweise nur die letzten paar Anrufe protokolliert. Sicher, dass du nicht das Ereignislog bzw. die Anrufliste der FB meinst?
 
Nein es ist das Telefon Log. Da hier nur wenig telefoniert wird ist das ok
##### BEGIN SECTION calllog
es sind 400 Einträge, beginnend mit dem 19.02.19
 
@Löwenherz

In der section "calllog" siehst du aber eben nicht das, was @koyaanisqatsi in den Beiträgen #5 und #12 meint. Diese Informationen stehen in den sections "sip" und "invite".
 
ist aber auch kompliziert:rolleyes:
Ja es gibt einge Einträge friendly Scanner bei Invite. Aber da blicke ich nicht durch. Da bin ich nicht zu Hause
Aber Danke für eure Tipps. Telefonieren mit fremden Nummern oder hohe Gebühren habe ich auch nicht. Will nun warten ob mit meiner Änderung nun die Logins aufhören.
 
Frage ist eben wie man "Probleme" definiert. Weil etwas im Log steht, gibt es "plötzlich" "Probleme" bzw. Sorgen und solche Themen.

Wenn der normale User es nicht sieht, macht er sich keine Gedanken zu.

Und da die FB wohl nur https/ftp loggt, fällt es wohl nicht auf wenn es bei VPN versucht wird.

Betreibst wie ich z.B. nen NAS, brauchst nur in diverse Logs gucken und findest quasi bei sämtlichen Diensten, besonders auf Standardports entsprechende Versuche wo wahllos Login probiert werden.

Es ist also weder ein Angriff auf die FB noch auf den User persönlich, sondern einfach als Teil der erreichbaren Welt wo andere entsprechende Bots/Crawler los lässt. Teils auch von Studenten an Unis welche irgendwas für ihre Masterarbeiten machen.
 
Hallo ich greife diesen alten Therad noch einmal auf denn meine 7390 wird auch attakiert obwohl der Steahlt MNodus an ist.
Hier wird systematisch mit mehreren Usernamen der Login versucht.
Neueste Softwareversion ist drauf 6,85
Keine Freigaben, keine Portweiterleitungen, Zugriff für MyFritz ist aktiviert.
1x Dyndns für Boxtogo ist eingerichtet


immer dieser Käse mit dem stealth modus. Man wird nicht unsichtbar, nur weil der Host keine Pakete beantwortet.
Wäre man tatsächlich unsichtbar, bekommt der Angreifer eine nicht zustellbar Antwort.
 
  • Like
Reaktionen: f666
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.