Das ist sicher auch interessant, aber ich wüsste nicht, dass eine normale AVM Firmware mit php kommt.
Das wird eher ein Versuch sein, Schwachstellen von Servern mit PHP in /cgi-bin auszunützen.
- Status
Das ist sicher auch interessant, aber ich wüsste nicht, dass eine normale AVM Firmware mit php kommt.
Das wird eher ein Versuch sein, Schwachstellen von Servern mit PHP in /cgi-bin auszunützen.
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
@HabNeFritzbox: PHP reagiert jedenfalls darauf, würde mal behaupten, sowas wird "injection" genannt.
Aufruf:
Ergebnis:
Aufruf:
Code:
/cgi-bin/php-cgi?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin.simulation%3Don+-d+disable_functions%3D""+-d+open_basedir%3Dnone+-d+auto_prepend_file%3Dphp%3A%2F%2Finput+-d+cgi.force_redirect%3D0+-d+cgi.redirect_status_env%3D0+-n
Code:
This PHP CGI binary was compiled with force-cgi-redirect enabled. This means that a page will only be served up if the REDIRECT_STATUS CGI variable is set, e.g. via an Apache Action directive.
For more information as to why this behaviour exists, see the manual page for CGI security.
For more information about changing this behaviour or re-enabling this webserver, consult the installation file that came with this distribution, or visit the manual page.Hallo !
Nun ist es offiziell, wovon ich im November schon berichtet habe.
http://www.ip-phone-forum.de/showthread.php?t=264286
Persönlich glaube ich, das es nicht mit den BSI Adressen zutun hat. Der Aufwand wäre zu groß.
Ich war zwar auch mit in der BSI Liste, allerdings hat meine Fritzbox keinerlei Berührung mit dieser Adresse.
Ebenso das Kennwort. Ich gehe eher davon aus, das sich jemand an dem SIP Server zu schaffen gemacht hat und
über Gast Accounts angefangen hat zu wählen.
Ich vermute aber, das mein Vorfall mit einer der erste gewesen ist. Mein Schaden war überschaubar mit rund 10 Euro.
MyFritz nutze ich übrigens ebenfalls nicht und auch kein DynDNS.org
Nun ist es offiziell, wovon ich im November schon berichtet habe.
http://www.ip-phone-forum.de/showthread.php?t=264286
Persönlich glaube ich, das es nicht mit den BSI Adressen zutun hat. Der Aufwand wäre zu groß.
Ich war zwar auch mit in der BSI Liste, allerdings hat meine Fritzbox keinerlei Berührung mit dieser Adresse.
Ebenso das Kennwort. Ich gehe eher davon aus, das sich jemand an dem SIP Server zu schaffen gemacht hat und
über Gast Accounts angefangen hat zu wählen.
Ich vermute aber, das mein Vorfall mit einer der erste gewesen ist. Mein Schaden war überschaubar mit rund 10 Euro.
MyFritz nutze ich übrigens ebenfalls nicht und auch kein DynDNS.org
Die war eingeschaltet. Allerdings wurden bei mir keine neuen Zugänge angelegt, sondern vorhandene Zugänge genutzt.
Micha0815
IPPF-Promi
- Mitglied seit
- 25 Feb 2008
- Beiträge
- 5,339
- Punkte für Reaktionen
- 467
- Punkte
- 83
Wie rechnet man IPv6 um?
Bei Durchsicht älterer Pushmails (täglicher Versand) stiess ich auf Anmeldungen an der FB via IPv6-Adressen, die ich eigentlich nicht nutze/in der FB eingestellt habe?
Ich bin mit den IPv6 nicht so vertraut und habe diese hiermit versucht in IPv4 umzurechnen.
Bsp.: fd00::c93e:658b:44f8:fb95 ergibt 68.248.251.149.
Falls richtig umgerechnet war ein Fremder angemeldet. Ich von der 68.248.251.149 sicherlich nicht, da ich im heimischen WLAN angemeldet war.
Schaden konnte ich bisher nicht feststellen.
Zudem 2 Dellmont-Guthaben u. sipgate-basic <10€ wären überschaubar.
Nur ein Schwung auf Vorrat entwendete 1&1-SIP-Accounts wären wirklich fatal!
LG
Bei Durchsicht älterer Pushmails (täglicher Versand) stiess ich auf Anmeldungen an der FB via IPv6-Adressen, die ich eigentlich nicht nutze/in der FB eingestellt habe?
Ich bin mit den IPv6 nicht so vertraut und habe diese hiermit versucht in IPv4 umzurechnen.
Bsp.: fd00::c93e:658b:44f8:fb95 ergibt 68.248.251.149.
Falls richtig umgerechnet war ein Fremder angemeldet. Ich von der 68.248.251.149 sicherlich nicht, da ich im heimischen WLAN angemeldet war.
Schaden konnte ich bisher nicht feststellen.
Zudem 2 Dellmont-Guthaben u. sipgate-basic <10€ wären überschaubar.
Nur ein Schwung auf Vorrat entwendete 1&1-SIP-Accounts wären wirklich fatal!
LG
Derzeit ist nur das Präfix fd für lokal generierte ULA vorgesehen.
Es war also jemand mit einer IPv6-Adresse aus deinem lokalen Netz.
cando
Aktives Mitglied
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Die neue Firmware scheint sehr mit der heißen Nadel gestrickt zu sein, die VoIP Geräte lassen sich nicht verwalten.
Freigabe zum Internet läßt sich nicht mehr setzen / zurücksetzen, Passwort der Telefone läßt sich nicht mehr ändern.
Man muss das Gerät löschen und neu anlegen, wenn man die Internetfreigabe aktivieren möchte, wird das Gerät auch für das Intranet gesperrt.
Hoffe, es gibt bald ein Patch, der das alles wieder geraderückt...
Freigabe zum Internet läßt sich nicht mehr setzen / zurücksetzen, Passwort der Telefone läßt sich nicht mehr ändern.
Man muss das Gerät löschen und neu anlegen, wenn man die Internetfreigabe aktivieren möchte, wird das Gerät auch für das Intranet gesperrt.
Hoffe, es gibt bald ein Patch, der das alles wieder geraderückt...
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
Kann ich für die 7360SL nicht bestätigen.
Kann ich für die 7270v2 nicht bestätigen.
Geht alles noch wie gehabt.
Bin ich jetzt dadurch weniger "sicher" unterwegs?
Kann ich für die 7270v2 nicht bestätigen.
Geht alles noch wie gehabt.
Bin ich jetzt dadurch weniger "sicher" unterwegs?
Zuletzt bearbeitet:
Gibt es denn in zwischenzeit schon irgendwelche Erkentnisse wie der Hack genau funktionierte? Ich habe grade mal die 06.03 und die 06.01 firmware images gedifft. Gibt schon ein paar Unterschiede. Allerdings kann ich sie hier nicht entpacken, da ich im Geschäft notgedrungen Windows verwende.. Würde mich schon mal interessieren wie die das gemacht haben und voralem ob man was sieht auf der Box.
Ich habe nur folgende Logeinträge gefunden:
09.02.14 06:06:04 MyFRITZ! Fehler: Der AVM MyFRITZ!-Server meldet Fehler 500 - Internal Server Error
09.02.14 05:06:00 MyFRITZ! Fehler: Der AVM MyFRITZ!-Server meldet Fehler 500 - Internal Server Error
02.02.14 05:45:26 MyFRITZ! Fehler: Der AVM MyFRITZ!-Server meldet Fehler 500 - Internal Server Error
01.02.14 05:46:36 MyFRITZ! Fehler: Der AVM MyFRITZ!-Server meldet Fehler 500 - Internal Server Error
aber das ist vermtl. eher vom pushen der IP-Adresse als das sich Jemand versucht hat auf der Box einzuloggen.
Ansonsten gibt es keine neue gelisteten Anrufe oder angelegten IP-Phones.. Hatte 06.01 drauf mit fhem Server und aktiviertem Fernzugriff..
Ich glaub die hier im Thread geposteten Logeinträge mit Zugriff auf /cgi-bin/php haben nichts mit dem Angriff zu tuen. Soweit ich weiß verwendet die FritzBox garkein php!
Edit: b.t.w. mein erster Post obwohl ich schon seit 2007 registriert bin lol
Ich habe nur folgende Logeinträge gefunden:
09.02.14 06:06:04 MyFRITZ! Fehler: Der AVM MyFRITZ!-Server meldet Fehler 500 - Internal Server Error
09.02.14 05:06:00 MyFRITZ! Fehler: Der AVM MyFRITZ!-Server meldet Fehler 500 - Internal Server Error
02.02.14 05:45:26 MyFRITZ! Fehler: Der AVM MyFRITZ!-Server meldet Fehler 500 - Internal Server Error
01.02.14 05:46:36 MyFRITZ! Fehler: Der AVM MyFRITZ!-Server meldet Fehler 500 - Internal Server Error
aber das ist vermtl. eher vom pushen der IP-Adresse als das sich Jemand versucht hat auf der Box einzuloggen.
Ansonsten gibt es keine neue gelisteten Anrufe oder angelegten IP-Phones.. Hatte 06.01 drauf mit fhem Server und aktiviertem Fernzugriff..
Ich glaub die hier im Thread geposteten Logeinträge mit Zugriff auf /cgi-bin/php haben nichts mit dem Angriff zu tuen. Soweit ich weiß verwendet die FritzBox garkein php!
Edit: b.t.w. mein erster Post
obwohl ich schon seit 2007 registriert bin lol
Zuletzt bearbeitet:
Hallo,
Das oder so ähnlich hatte ich bei fast jeder Zwangstrennung. Würde ich als Harmlos einstufen.
[EDIT]
Dann willkommen in der schreibenden Zunft :-D
Das oder so ähnlich hatte ich bei fast jeder Zwangstrennung. Würde ich als Harmlos einstufen.
[EDIT]
Dann willkommen in der schreibenden Zunft :-D
Hm, werde heute Abend mal die Firmware komplett entpacken und diffen. Dann sollte man ja fündig werden.
Hallo,
Die 7170 :shock: Auf dem FTP kann ich nichts finden. Gibt es das online? Kann das jemand prüfen? Oder ist es ein Bug im Newsletter?aus dem Newsletter schrieb:
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
Hallo,
Dann wurde es erst in den letzten Minuten dort freigegeben ... :motz: ohne mich zu fragen ... :lach:
Dann wurde es erst in den letzten Minuten dort freigegeben ... :motz: ohne mich zu fragen ... :lach:
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
Was anderes, wie ist denn die neue FB Version ?
Oder gibt es da schon ein extra Beitrag zu ? (finde nix)
Oder gibt es da schon ein extra Beitrag zu ? (finde nix)
- Status
Neueste Beiträge
-
FB 7520 im neuen Design
- Letzte: Meister J
-
[Sammlung] Fritz!Box 7690 Labor/INHAUS Zyklus Smart24P1FCS - Fw ab 7.90
- Letzte: chronos42
-
Mitel 6867i SIP Phone registriert sich nicht an Mitel 108- Letzte: chrsto
-
FRITZ!Box 7590 - Labor 7.90 - Sammelthema- Letzte: stoney
-
1&1 Glasfaser 1000 - Upload 500, nur 485 im Test?
- Letzte: Erforderlich
-
[Sammlung] Wireguard VPN von AVM ab FW 7.39
- Letzte: smodo1977
