Es ist auch möglich den HTTPS Port außerhalb des Fritzbox zulässigen Bereiches (450-499) zu legen, z.B. 5124. Geht nur mit der manuellen Änderung der ar7.cfg. Also für alle die Fernwartung benötigen, ar7.cfg bearbeiten, den Port nach weit oben verschieben und die Forwardrules für TR-064 rausnehmen. Sollte vorerst auch für ältere Boxen etwas sicherer werden.
- Status
[Edit Novize. Überflüssiges Fullquote des Beitrags #261 gelöscht - siehe Foren-Regeln]
Ergänzung:
Mind. ab OS 6.00 ist eine Änderung des Ports innerhalb des gesamten Bereiches über Webinterface möglich.
Ich glaube bisher hat schon ein von 443 abweichender Port ausgereicht.
Ergänzung:
Mind. ab OS 6.00 ist eine Änderung des Ports innerhalb des gesamten Bereiches über Webinterface möglich.
Ich glaube bisher hat schon ein von 443 abweichender Port ausgereicht.
FAZ - Fritzbox wurde doch gehackt - 07.02.2014 17:06 Uhr schrieb:
also egal welcher Port, oder?
Ja. Aber die Wahrscheinlichkeit dass sie dich mit einem von 443 abweichenden Port gefunden hätten ist geringer. Das war der Punkt.
Denke die haben über die Netze der Kabelnetzanbieter und 1&1 Portscans auf 443 laufen lassen, weil dort am meisten FritzBoxen unterwegs sind. Die werden aber nicht jede IP von Port 0 - 65535 gescannt haben -- viel zu aufwendig, sondern nur den Port 443. Dort wo eine FB mit 443 geantwortet hat ist man dann eingebrochen.
Denke die haben über die Netze der Kabelnetzanbieter und 1&1 Portscans auf 443 laufen lassen, weil dort am meisten FritzBoxen unterwegs sind. Die werden aber nicht jede IP von Port 0 - 65535 gescannt haben -- viel zu aufwendig, sondern nur den Port 443. Dort wo eine FB mit 443 geantwortet hat ist man dann eingebrochen.
cando
Aktives Mitglied
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Hallo, ist jemand mit dem diff bei den Firmwareversionen weitergekommen?
Mich würde wirklich interessieren, was die Ursache war um mir mal weitere Schutzmassnahmen zu überlegen. Kann doch nicht sein, dass man komplett an der Anmeldung vorbei alle Systemdaten über das Web-Interface auslesen und die Kennungen / Passworte im Klartext am Ende hat.
Vielleicht ist Freetz doch die bessere Lösung und man schaltet das Ganze bunte AVM Web-UI komplett ab - die paar Werte, die man auf der Box mal ab und an ändern muss, könnte man ja auch über freetz direkt in den Config Files patchen. Freetz hatte doch so einen Schalter, wenn ich mich recht entsinne...
...
Mich würde wirklich interessieren, was die Ursache war um mir mal weitere Schutzmassnahmen zu überlegen. Kann doch nicht sein, dass man komplett an der Anmeldung vorbei alle Systemdaten über das Web-Interface auslesen und die Kennungen / Passworte im Klartext am Ende hat.
Vielleicht ist Freetz doch die bessere Lösung und man schaltet das Ganze bunte AVM Web-UI komplett ab - die paar Werte, die man auf der Box mal ab und an ändern muss, könnte man ja auch über freetz direkt in den Config Files patchen. Freetz hatte doch so einen Schalter, wenn ich mich recht entsinne...
...
Schutzmaßnahme:
- Aktuelle OS (für beide deine Boxen vorhanden)
- Deaktivieren des Fernzugangs
- Wenn möglich ausländische Telefonate sperren lassen. Und die Sonderrufnummern gleich mit.
- Aktuelle OS (für beide deine Boxen vorhanden)
- Deaktivieren des Fernzugangs
- Wenn möglich ausländische Telefonate sperren lassen. Und die Sonderrufnummern gleich mit.
Muhaha. Also noch einfacher geht es nicht. Vor allen Dingen, wenn ich sehe, was da bei einigen läuft: Heizungssteuerung usw.
Ist doch selbe wie mit Webcams, die offen sind, und dann nem Opi beim TV gucken zugucken kannst, oder siehst wie ne Mami Baby ins Bett legt und es schläft oder Leute im Büro am Arbeiten und so.
Da haben die Hersteller wohl auch Mist gemacht bei der Firmware.
Da haben die Hersteller wohl auch Mist gemacht bei der Firmware.
Was für ein Unsinn. Wenn der User aktiv eine Portweiterleitung auf eine Kamera einrichtet (die es vermutlich braucht), ohne ein (ausreichend gutes) PW für eine Kamera, einen Webserver etc. zu vergeben: Was kann denn da der Hersteller dazu ? Woher weiß denn der Hersteller, on der User seine Kamera z.B. auch über 's Internet zugänglich macht ?
Bin gerade mit den Aktualisierungen der Boxen fertig geworden.
Warum wurde die nicht so eingespielt wie bei der 05.53?
Ach ja klar, welcher Provider rechnet auch damit das die Kunden diese Möglichkeit außer acht lassen.
Warum wurde die nicht so eingespielt wie bei der 05.53?
Ach ja klar, welcher Provider rechnet auch damit das die Kunden diese Möglichkeit außer acht lassen.
Naja ein Port kann auch über UPnP eingerichtet werden, evt auch automatisch wenn sich User nicht mit beschäftigt. Wenn normal auf eine Webcam Seite gehst wirst nach Logindaten gefragt, aber mit anderem Parameter im Link nicht, ist es nicht unbedingt User Fehler.
Beispiele findest im Netz genug z.B. mit http://[öffentliche IP]:8080/ fragt der nach Daten mit http://[öffentliche IP]:8080/anony/mjpg.cgi aber nicht und siehst direkt den Stream. Und so ist es bei mehreren Herstellern. Bei manchen sieht man aber das ein Update gemacht wurde an FW und nun ein Fehler kommt, nach Logindaten Fragt oder eine weiße Seite. Da sich aber viele nicht mit beschäftigen, nach dem Motto egal läuft doch.
Beispiele findest im Netz genug z.B. mit http://[öffentliche IP]:8080/ fragt der nach Daten mit http://[öffentliche IP]:8080/anony/mjpg.cgi aber nicht und siehst direkt den Stream. Und so ist es bei mehreren Herstellern. Bei manchen sieht man aber das ein Update gemacht wurde an FW und nun ein Fehler kommt, nach Logindaten Fragt oder eine weiße Seite. Da sich aber viele nicht mit beschäftigen, nach dem Motto egal läuft doch.
Zuletzt bearbeitet von einem Moderator:
Ich habe bei AVM angefragt, welche Modelle betroffen sind. Ich bekam nur die Auskunft, daß die 7170 nach bisherigen Erkenntnissen nicht betroffen ist, also sind offensichtlich nur neuere Modelle gefährdet.
Dazu muß der User eine Portweiterleitung für Port 8080 einrichten, weil sonst die Anfrage auf dem Router selber endet. Und jemand, der das bewußt tut, richtet beim Zielgerät kein PW ein ... ? Sehr unwahrscheinlich.
Doch es ist eins eingerichtet, zumindest fragt der beim ersten Link nach, beim zweiten dann aber nicht. Also einfach die Authentifizierung übersprungen.
Ähnlich scheint es ja auch bei AVM hier der Fall zu sein.
Ich verwende weder Benutzer, noch Fernwartung in der FB, einfach klassisch weiter nur ein Passwort. Port 443 geht bei mir auf den NAS, und im http log habe ich keine login.lua oder so gefunden bei nicht 404 Fehler als Anfrage.
Ähnlich scheint es ja auch bei AVM hier der Fall zu sein.
Ich verwende weder Benutzer, noch Fernwartung in der FB, einfach klassisch weiter nur ein Passwort. Port 443 geht bei mir auf den NAS, und im http log habe ich keine login.lua oder so gefunden bei nicht 404 Fehler als Anfrage.
Zuletzt bearbeitet von einem Moderator:
Ich habe ausdrücklich nach der 7170 gefragt und erhielt heute Nachmittag die Auskunft, dass "alle FRITZ!Boxen mit aktiver Fernwartung oder MyFRITZ!Dienst aktuell relevant" sind. Frage ist, welche Aussage stimmt?
//buecke
- Status
Neueste Beiträge
-
Fragen zu Vorlagen bzw. Zeitschaltung bei DECT302
- Letzte: Sojus
-
[Sammlung] Die interessantesten Thread-Inhalte- Letzte: frank_m24
-
Suche Telefonanlage für kleine Kanzlei
- Letzte: crackerwilli
-
[Sammlung] AVM-Gateway-kompatible Zigbee-Geräte
- Letzte: Schmutzfee
-
AVM Geofencing - Smart Home: Fragen
- Letzte: pens
-
Hicom 3500
- Letzte: TelMike