Herausfinden ob gemodded

martinsalo

Neuer User
Mitglied seit
13 Apr 2007
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Hallo Forum,

wie kann man herausfinden ob eine FB gemodded ist?
Ich teile mir eine Internetleitung mit meinem WG Nachbarn. Wir hatten ausgemacht das auf dem Router nichts geloggt wird. Er hat mir das Webinterface gezeigt und gemeint man könnte dort gar nichts loggen. ICh habe auch kein Logging Menu gefunden. Mittlerweile habe ich aber keinen Passwort Zugang mehr. Vor kurzem kam er an und hat mir die Fritzbox für 2 Euro/Monat weniger "Internetbeitrag" abgehandelt. Jetzt wo ich das mit dem Modding weiß bin ich etwas mißtrauisch geworden... ich habe zwei große Fragenteile:

Teil 1: Herausfinden ob gemodded wurde:
A) Ein Freund hat mich auf einen Portscanner verwiesen. Die Ports 80, 5060 und 49000 sind offen. Diese scheinen aber für das Webinterface und VoIP benötigt zu werden. Wäre die FB gemodded würde es irgendwo einen weiteren offenen Port geben für Telnet oder SSH. Korrekt?
B) Kann man den Zugang irgendwie verstecken?
C) Hat die FB 2 Lans? Momentan bin ich mit Kabel angeschlossen. Könnte es sein das die FB zum WLan hin den SSH/Telnet Zugang hat und ich ihn deshalb nicht sehe?

Teil 2: Was könnte man mit einem Mod zusätzlich machen?
Gibt es Standardpakete hier mit dem man:
a) Den Internetverkehr umleiten kann? eMail/eBay Passwörter einsehen.
b) Die besuchten Webseiten loggen kann?
c) Kann man die Logfiles per eMail verschicken?
d) Kann man Ports drosseln oder P2P behindern?
e) Oder was könnte man sonst machen?



Vielen Dank

Martin
 
Willkommen im IPPF !

Was ich mich grade frage:
Wenn du dermassen Bedenken hast, warum surfst du dann über diesen Nachbarn? :noidea:
und holst dir kein eigenes DSL z.B.?

Übrigens: Wenn du "Mist machst", ist erstmal dein Nachbar dafür verantwortlich (da es sein Inetzugang ist).
 
Ich bin Student. Ich möchte keine 40 Euro im Monat für Internet abdrücken. Zu zweit lohnt es sich da schon eher. Es ist ja nicht so das ich ihm überhaupt nicht traue, aber wenn er nichts von den Modding Möglichkeiten der FB weiß könnte es gut sein das er durch mich dann damit anfängt... er studiert übrigends Informatik und hat auf seinem Rechner irgendein Linux. Vom Wissen wäre er mir wohl überlegen.

Zum Ärger: Einerseits ja, aber andererseits leben wir in der gleichen Wohnung. Die Polizei würde also auch meinen Rechner mitnehmen. Wir wären beide angeschmiert.

Könntest Du mir zu meinen Punkten im ersten Posting etwas sagen?
 
Ich kann nicht alle deiner Fragen beantworten.
Zusammenfassend würde ich sagen:
Grundsätzlich ist da schon einiges möglich, und dieses "Abhören" muss ja auch nicht unbedingt auf der FB erfolgen.
Und wenn er sogar an deinen PC kommt (?) in deiner Abwesenheit, hätte er da ja auch ein paar Möglichkeiten offen.

IMO ist das Vertrauenssache. Er könnte z.B. den Traffic protokollieren und so wahrscheinlich auch sensible Daten finden/sehen.
Ob du ihm das zutraust, musst du wissen.

Wie wärs, wenn du ihm deine Zweifel mitteilst, und deshalb wenigstens das Passwort haben willst?
Kann aber sein, dass er das nicht will, da du dann evtl. sensible Daten von ihm (Anrufliste zB?) sehen könntest :)
 
Er könnte an meinen Rechner gehen. Aber das wäre zu einfach. Es geht mehr ums Spiel. Es hat mir zB eine alte Windows95 Installation umgehauen, weil ich die Dateifreigabe aktiviert hatte. Als ich ihn gefragt habe was denn mit dem Rechner los sei hat er nur gegrinst.

Weißt du ob die Fritzbox im Wlan ein anderes Netzwerk hat als auf dem Kabel? Kann man mit diesem Dropbear Ports so verstecken das man sie nicht per Portscann findet?

Wenn ich einen SSH Zugang finde weiß ich das ich handeln muß. Wenn er aber erst duch mich wenn ich ihn frage auf das Fritzbox Basteln kommt wäre das genauso schlimm...


EDIT: Ach ja, hat die Fritzbox 2 Netzwerkaddressen? Was ist 192.168.178.254 für eine?
 
Zuletzt bearbeitet:
Ich habe auf meiner Box auch einen ssh-Zugang, belausche aber trotzdem nicht den Mitsurfenden, also kann man daraus auch nichts schliessen.
ssh-Zugang kann auch auf einem anderen Port als dem Standardport eingerichtet werden.

.254 ist eine IP, unter der die Box immer erreichbar ist (für Notfälle).
 
@Currywurst: Ich kann auf das Menu nicht zugreifen, weil es Passwort geschützt ist. Ist das Menu von der Standard Oberfläche erreichbar? Er hat mich 10 Minuten die Router Einstellungen durchsehen lassen und ich habe keine Loggingfunktion entdecken können. Wird dort der Port80 Verkehr geloggt (also besuchte Webseiten) oder wird dort auch geloggt welche interne IP zu welcher externen IP Kontakt hatte? Unterstützt die Fritzbox das weiterleiten der Logfiles per eMail?

@u.g: Ja schon, wenn ich aber einen SSH Zugang entdecke weiß ich das er dort herumbastelt. Der Portscanner sucht ja nicht nur Port 22 ab sondern auch die anderen 65000. Genaugenommen könnte ja sogar ein komplett neues Subnetz erstellt haben. (Neben dem 192.168.178.0 Netz) Dann wird die Suche noch schwieriger.

Gewissheit werde ich wohl nicht bekommen. Da muß ich von jetzt den Router als Feindesland betrachten...
 
Ich denke, daß der SSH-Server sich auch unter der Standard-IP des Box melden würde. Somit hättest Du einen Portscan schon ziemlich vereinfacht. Aber was bringt Dir das alles. Mit Deiner Einstellung würde ich es mir überlegen, einen DSL-Zugang überhaupt zu sharen.

Bei Deiner Betrachtung hast Du das man-in-the-middle-Szenario nicht beachtet und auch nicht die von Currywurst beschriebene standardmäßige Capture-Möglichkeit der Fritz. Dazu muß man die Box noch nicht mal modden.

Wenn Du Deinem Sharingpartner nicht traust (so stellt sich das hier ja dar), dann solltest Du Dir zumindest über einen eigenen DSL-Provider Gedanken machen und nur das Modem der Fritz und die Leitung nutzen (PPPoE-Passthrough). Aber dieses dürfte immer noch mit der Capturing-Funktion der Box angreifbar sein. Zumindest würdest Du so die DSL-Grundgebühr Eures Netzanbieters sparen.

Gruß Telefonmännchen
 
Das mit dem Sharen der Internetverbindung ist halt Vertrauenssache.

A propos Man-In-The-Middle:

Wenn ich auf eine Seite mit SSL Verschlüsselung gehe, muss man doch noch immer das Passwort "knacken", wenn man es snifft. Er weiss dann zwar auf welche Seiten man war, aber die Passwörter blieben weiterhin verschlüsselt...

Oder ist et*****p da doch schon weiter? Würde mich wundern...
 
Gibts keinen VPN Zugang an deiner Hochschule?
Geh doch einfach von deiner Büchse ins VPN. Dann hast du einen sicheren Tunnel zum VPN Server. "Zwischendrin" ist alles verschlüsselt und jede Anfrage geht zuerst mal an den VPN Server. So kann man nur erfahren wann und wie lange du im Netz unterwegs warst. Aber nicht wohin usw...
 
Alle Antworten

Ich habe zwar keine Fritz!Box, aber Ahnung von Netzwerken. Ich wollte dir mal alle Antworten zusammenfassen, da bisher alles sehr unübersichtlich kam.

martinsalo schrieb:
Teil 1: Herausfinden ob gemodded wurde:
A) Ein Freund hat mich auf einen Portscanner verwiesen. Die Ports 80, 5060 und 49000 sind offen. Diese scheinen aber für das Webinterface und VoIP benötigt zu werden. Wäre die FB gemodded würde es irgendwo einen weiteren offenen Port geben für Telnet oder SSH. Korrekt?

Zugang via Telnet/SSH muß nicht sein, Telnet/SSH kann man abschalten

martinsalo schrieb:
B) Kann man den Zugang irgendwie verstecken?

Nein, wenn offen, dann sichtbar

martinsalo schrieb:
C) Hat die FB 2 Lans? Momentan bin ich mit Kabel angeschlossen. Könnte es sein das die FB zum WLan hin den SSH/Telnet Zugang hat und ich ihn deshalb nicht sehe?

k. A. vermutlich nicht

martinsalo schrieb:
Teil 2: Was könnte man mit einem Mod zusätzlich machen?
Gibt es Standardpakete hier mit dem man:
a) Den Internetverkehr umleiten kann? eMail/eBay Passwörter einsehen.

Ja, schwierig, aber für `nen Informatiker nicht unmöglich. Ich wüsste wie ich es anstelle. eMail aber ganz einfach, da unverschlüsselter Datenverkehr!

martinsalo schrieb:
b) Die besuchten Webseiten loggen kann?

ja, ganz einfach

martinsalo schrieb:
c) Kann man die Logfiles per eMail verschicken?

ja, ganz einfach

martinsalo schrieb:
d) Kann man Ports drosseln oder P2P behindern?

ja, ganz einfach

martinsalo schrieb:
e) Oder was könnte man sonst machen?

Sachen, von denen du bisher noch nicht mal geträumt hast! So lange du dir den Internetzugang mit jemand anderen teilst, und er die Gewalt über die physische Schnittstelle hat, bist du aufgeschmissen. Erst recht, bei einem Informatikstudenten. Ich sage immer, die gefährlichsten sind die Computerbild-Leser und Bastler.

Es gibt aber Lösungen für dich, nicht kostenlos, aber erschwinglich


Die meines Erachtens beste Lösung:
https://www.relakks.com/?lang=eng&cid=gb
und hier einige Infos dazu:
http://www.golem.de/0608/47165.html
http://www.apfeltalk.de/forum/relakks-erfahrungswerte-t76477.html

alternativ dazu:
http://www.steganos.com/de/products/siavpn/



Mit diesen Lösungen baust du eine gesicherte VPN Verbindung direkt von deinem Rechner ins Internet auf. Alles was dazwischen mitgeschnitten wird, ist nicht verwertbar.
 
Es ist nicht so das wir Feinde sind. Man macht halt manchmal seine Scherze. So wie es jetzt aussieht muß ich davon ausgehen das er viel mitschneiden kann und mich dementsprechend verhalten. Relakks/Tor/Anon

Zum SSH: Nach dem Fritzbox Modding kann man es wieder deaktivieren, ich glaube aber nicht das ein Bastler wie er ohne SSH Zugang auf der Fritzbox auskommt. Wenn er am Modden ist wird er ihn auch drin lassen. Er könnte ihn verstecken indem er der Fritzbox mehrere IP Addressen zuweist. (Das sollte bei Linux gehen.) Ich müsste dann alle möglichen IPs+Ports durchscannen bis ich den Zugang finde -> dauert zu lange. Oder er macht es über ein MagicPaket. Also ein IP Paket mit einem speziellem Inhalt. Erst wenn diese beim Verbindunbgsaufbau gesendet wird nimmt der SSH Demon am Port xyz die Verbindung auf. Da habe ich letztens einen Artikel irgendwo gelesen wie "security through obscurity" die Sicherheit des eingenen Rechners dennoch erhöhen kann. Da war dieses Bsp drin.

SSL ist in diesem Fall nicht sicher. Man-In-The-Middle: Er simuliert einfach die Bankhomepage, fängt das Passwort ab und sagt dann einfach Verbindung verloren...
http://de.wikipedia.org/wiki/Transport_Layer_Security
 
martinsalo schrieb:
Es ist nicht so das wir Feinde sind. Man macht halt manchmal seine Scherze. So wie es jetzt aussieht muß ich davon ausgehen das er viel mitschneiden kann und mich dementsprechend verhalten.

Sag ich doch Computerbildleser und Bastler! Informatikstudenten fallen mit in die Kategorie Bastler. Die Informatikstudenten die bei uns im Unternehmen ein Praktikum machen, werden immer schön an die Hand genommen. ;-)

martinsalo schrieb:

Vorsicht! Tor und Anon sind Anonymisierer! Die verschleiern deine Spuren im Internet. Deswegen ist deine Verbindung an der FB noch lange nicht verschlüsselt!

martinsalo schrieb:
SSL ist in diesem Fall nicht sicher. Man-In-The-Middle: Er simuliert einfach die Bankhomepage, fängt das Passwort ab und sagt dann einfach Verbindung verloren...

Man-In-The-Middle benötigt aber auch einen unvorsichtigen Anwender! Wenn du nämlich auf seine Seite umgeleitet wirst, meldet dein Browser ein neues Zertifikat. Dieses kann/muß man sich anschauen und sieht spätestens dann, dass es entweder selbst, bzw. nicht für ebay und Co ausgestellt wurde.

Aber weshalb so kompliziert? Ich würde dir 'nen Keylogger unterschieben wenn ich es wirklich wöllte. Der schickt mir von Zeit zu Zeit alle Tastatureingaben.
 
Anon habe ich selber in Gebrauch. Das Javateil läuft als Proxy. Die Daten sind vor erreichen der Fritzbox schon verschlüsselt. Das Ziel ist auch unbekannt, weil sie erst an der Proxykaskade weitergeleitet werden. Ich würde den Schutz als ausreichend bezeichnen.

Bei https habe ich mich etwas vertan. So einfach ist das Webseitenfälschen doch nicht: http://www.softed.de/fachthema/Allgemeines/https.asp
Es wird ein dritte Stelle mit einbezogen die garantiert das die Bankseite echt ist.

Was Du über Informatik Studenten sagst interessiert mich aber brennend. Warum müssen die an die Hand genommen werden? Sind die in der Praxis unfähig? (Zuviel Theorie?) Fachidioten? Oder müssen die an die Hand genommen werden (=überwacht werden?) weil sie sonst das Unternehmen "hacken"?
 
martinsalo schrieb:
Was Du über Informatik Studenten sagst interessiert mich aber brennend. Warum müssen die an die Hand genommen werden? Sind die in der Praxis unfähig? (Zuviel Theorie?) Fachidioten? Oder müssen die an die Hand genommen werden (=überwacht werden?) weil sie sonst das Unternehmen "hacken"?

Von allem etwas. Wenn sie ihr Praktikum bei uns machen, erleben sie das erste mal Layer 1-7, Backbone Switche, Proxies, Contivities etc. in Aktion. Da wäre es höchst unglücklich, wenn so ein junger, dynamicher Bastler mal so mir-nichts-dir-nichts das gesamte Netz lahm legt (schon mehrfach passiert). Deshalb nehmen wir sie lieber an die Hand, da wir unseren Kunden nicht irgendwelche Hausgemachten Netzwerkprobleme zumuten können.

Ich zweifel nicht an dem Können unserer Praktikanten. Wir haben auch noch nie einen potenziellen Hacker bei uns gehabt. Und unfähig war auch noch keiner. Waren alle schon ziemlich gut. Allerdings sollte man halt aus oben besagten Gründen immer ein Auge drauf haben.
 
Die normalen Anfängerprobleme... Ich hatte gehofft ein paar deftige Wahrheiten für mein nächsten Streit mit ihm einzusammeln*g*. Aber gut. Thema ist abgefrühstückt. Vielen Dank Euch allen :)
 
Nur, weil ich gerade zufällig über Euren Thread gestolpert bin:
rohoffmann schrieb:
martinsalo schrieb:
B) Kann man den Zugang irgendwie verstecken?
Nein, wenn offen, dann sichtbar

Selbst das ist leicht möglich, indem man die Ports dicht macht und einen knockd (Stichwort Port Knocking) installiert, der sie nur auf ein bestimmtes Signal hin öffnet. Im DS-Mod ist sowas als Paket enthalten. Grundsätzlich ginge es auch über Callmonitor, ebenfalls ein DS-Mod-Paket. Statt "wake on call" baut man sich halt ein "open port on call", dann kann man den SSH-Port z.B. per Telephonanruf einschalten.
 
rohoffmann schrieb:
Von allem etwas. Wenn sie ihr Praktikum bei uns machen, erleben sie das erste mal Layer 1-7, Backbone Switche, Proxies, Contivities etc. in Aktion. Da wäre es höchst unglücklich, wenn so ein junger, dynamicher Bastler mal so mir-nichts-dir-nichts das gesamte Netz lahm legt (schon mehrfach passiert). Deshalb nehmen wir sie lieber an die Hand, da wir unseren Kunden nicht irgendwelche Hausgemachten Netzwerkprobleme zumuten können.
OT: Nana, wir wollen doch nicht alle Informatikstudenten in einen Topf werfen. Ich bin auch fast fertiger Informatikstudent und hab in meinem Wohnheim lange das Netzwerk betreut (110 Anschlüsse). Proxy etc. alles schon mal da gewesen. Besser man macht konstruktiv seine Erfahrung mit so nem Netzwerk. Dass die Praktikanten so mir-nichts-dir-nichts das ganze Netz lahm legen zeigt dann wenigstens auch die Schwachstellen des Netzes auf. Wichtige Dienste waren ja hoffentlich auf Grund der Netztopologie nicht betroffen. Die weitaus meisten Störenfriede waren eh virenverseuchte Kisten.

Mfg
danisahne
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.