[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

Status
Für weitere Antworten geschlossen.
Ich habe noch mal in meine Logs vom NAS geschaut, wo auch Port 443 drauf geht.

Es sind doch Versuchte Angriffe drauf.
...

Es wird also versucht direkt Rechte vom PHP zu verändern, wohl mit Erfolg, wenn nun ein Fix notwendig ist und Warnungen. Dazu wird es wohl auf die Mobile Seite abgesehen, wenn man nach der Browser Kennung geht.

Das ist sicher auch interessant, aber ich wüsste nicht, dass eine normale AVM Firmware mit php kommt.
Das wird eher ein Versuch sein, Schwachstellen von Servern mit PHP in /cgi-bin auszunützen.
 
@HabNeFritzbox: PHP reagiert jedenfalls darauf, würde mal behaupten, sowas wird "injection" genannt.
Aufruf:
Code:
/cgi-bin/php-cgi?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin.simulation%3Don+-d+disable_functions%3D""+-d+open_basedir%3Dnone+-d+auto_prepend_file%3Dphp%3A%2F%2Finput+-d+cgi.force_redirect%3D0+-d+cgi.redirect_status_env%3D0+-n
Ergebnis:
Code:
This PHP CGI binary was compiled with force-cgi-redirect enabled. This means that a page will only be served up if the REDIRECT_STATUS CGI variable is set, e.g. via an Apache Action directive.

For more information as to why this behaviour exists, see the manual page for CGI security.

For more information about changing this behaviour or re-enabling this webserver, consult the installation file that came with this distribution, or visit the manual page.
 
Hallo !

Nun ist es offiziell, wovon ich im November schon berichtet habe.

http://www.ip-phone-forum.de/showthread.php?t=264286

Persönlich glaube ich, das es nicht mit den BSI Adressen zutun hat. Der Aufwand wäre zu groß.
Ich war zwar auch mit in der BSI Liste, allerdings hat meine Fritzbox keinerlei Berührung mit dieser Adresse.
Ebenso das Kennwort. Ich gehe eher davon aus, das sich jemand an dem SIP Server zu schaffen gemacht hat und
über Gast Accounts angefangen hat zu wählen.

Ich vermute aber, das mein Vorfall mit einer der erste gewesen ist. Mein Schaden war überschaubar mit rund 10 Euro.
MyFritz nutze ich übrigens ebenfalls nicht und auch kein DynDNS.org
 
Wie rechnet man IPv6 um?

Bei Durchsicht älterer Pushmails (täglicher Versand) stiess ich auf Anmeldungen an der FB via IPv6-Adressen, die ich eigentlich nicht nutze/in der FB eingestellt habe?

ScreenShot697.png

Ich bin mit den IPv6 nicht so vertraut und habe diese hiermit versucht in IPv4 umzurechnen.

Bsp.: fd00::c93e:658b:44f8:fb95 ergibt 68.248.251.149.
Falls richtig umgerechnet war ein Fremder angemeldet. Ich von der 68.248.251.149 sicherlich nicht, da ich im heimischen WLAN angemeldet war.

Schaden konnte ich bisher nicht feststellen.

Zudem 2 Dellmont-Guthaben u. sipgate-basic <10€ wären überschaubar.
Nur ein Schwung auf Vorrat entwendete 1&1-SIP-Accounts wären wirklich fatal!

LG
 
Hallo,
Da man ofenbar Pwds auslesen konnte, warum dann neue Zugänge anlegen ;-)
 
Danke @KunterBunter, dann war ich es wohl selbst beim "Spielen" :confused:
 
Die neue Firmware scheint sehr mit der heißen Nadel gestrickt zu sein, die VoIP Geräte lassen sich nicht verwalten.

Freigabe zum Internet läßt sich nicht mehr setzen / zurücksetzen, Passwort der Telefone läßt sich nicht mehr ändern.

Man muss das Gerät löschen und neu anlegen, wenn man die Internetfreigabe aktivieren möchte, wird das Gerät auch für das Intranet gesperrt.

Hoffe, es gibt bald ein Patch, der das alles wieder geraderückt...
:mad:
 
Kann ich für die 7360SL nicht bestätigen.
Kann ich für die 7270v2 nicht bestätigen.
Geht alles noch wie gehabt.
Bin ich jetzt dadurch weniger "sicher" unterwegs?
 
Zuletzt bearbeitet:
Gibt es denn in zwischenzeit schon irgendwelche Erkentnisse wie der Hack genau funktionierte? Ich habe grade mal die 06.03 und die 06.01 firmware images gedifft. Gibt schon ein paar Unterschiede. Allerdings kann ich sie hier nicht entpacken, da ich im Geschäft notgedrungen Windows verwende.. Würde mich schon mal interessieren wie die das gemacht haben und voralem ob man was sieht auf der Box.

Ich habe nur folgende Logeinträge gefunden:
09.02.14 06:06:04 MyFRITZ! Fehler: Der AVM MyFRITZ!-Server meldet Fehler 500 - Internal Server Error
09.02.14 05:06:00 MyFRITZ! Fehler: Der AVM MyFRITZ!-Server meldet Fehler 500 - Internal Server Error
02.02.14 05:45:26 MyFRITZ! Fehler: Der AVM MyFRITZ!-Server meldet Fehler 500 - Internal Server Error
01.02.14 05:46:36 MyFRITZ! Fehler: Der AVM MyFRITZ!-Server meldet Fehler 500 - Internal Server Error

aber das ist vermtl. eher vom pushen der IP-Adresse als das sich Jemand versucht hat auf der Box einzuloggen.

Ansonsten gibt es keine neue gelisteten Anrufe oder angelegten IP-Phones.. Hatte 06.01 drauf mit fhem Server und aktiviertem Fernzugriff..
Ich glaub die hier im Thread geposteten Logeinträge mit Zugriff auf /cgi-bin/php haben nichts mit dem Angriff zu tuen. Soweit ich weiß verwendet die FritzBox garkein php!

Edit: b.t.w. mein erster Post :) obwohl ich schon seit 2007 registriert bin lol ;)
 
Zuletzt bearbeitet:
Hallo,
Das oder so ähnlich hatte ich bei fast jeder Zwangstrennung. Würde ich als Harmlos einstufen.

[EDIT]
Dann willkommen in der schreibenden Zunft :-D
 
Hm, werde heute Abend mal die Firmware komplett entpacken und diffen. Dann sollte man ja fündig werden.
 
Hallo,
aus dem Newsletter schrieb:
Das Update ist bereits für zahlreiche Modelle wie FRITZ!Box 7490, 7390, 7270 oder 7170 verfügbar.
Die 7170 :shock: Auf dem FTP kann ich nichts finden. Gibt es das online? Kann das jemand prüfen? Oder ist es ein Bug im Newsletter?
 
Prüf, prüf mit Heutigem Datum: klickklack
...auch die Recover.exe.
 
Hallo,
Dann wurde es erst in den letzten Minuten dort freigegeben ... :motz: ohne mich zu fragen ... :lach:
 
.....geht doch.
 
Was anderes, wie ist denn die neue FB Version ?
Oder gibt es da schon ein extra Beitrag zu ? (finde nix)
 
Hallo,
Wie meinen? Schau doch einfach mal hier im Forum oder auf den FTP von AVM...
 
Status
Für weitere Antworten geschlossen.
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.