Hallo!
Laut AVM "... lagen den Tätern zum Zeitpunkt des Angriffs die Zugangsdaten zur FRITZ!Box bereits vor."
Wenn das so ist, wieso gibt es dann ein Sicherheitsupdate? Wer die Zugangsdaten hat, kommt auf die Box! Davor schützt kein Sicherheitsupdate!
Da AVM aber ein Sicherheitsupdate erstellt, gibt es also
a) eine Sicherheitlücke in der Firmware und
b) ist diese auch AVM bekannt!
Wobei ich den Verdacht hege, dass erst durch diese Sicherheitslücke die Täter an die Zugangsdaten gelangen konnten.
Wenn also die Täter über die Zugangsdaten verfügen bzw. verfügten, können sie auch dier FW manipuliert haben und alle "Updates" laufen ins Leere - da sollte man mindestens ein Recovery machen!
Ich habe schon vor ca. 6 Monaten Hacker-Angriffe auf die Box bemerkt und daraufhin einen alten PC mit Linux und iptables als Firewall eingerichtet und in der FritzBox alle Ports incl. 5060 auf diese durchgeschleift. Über iptables habe ich dann alle VoIP-Ports für "fremde" IPs gesperrt und auf Log gelegt. Doch es wird weiter versucht, hier der Log von gestern (int. IP und MAC entfernt):
Code:
[SIZE=1]Feb 9 04:51:49 IN=eth0 OUT= MAC=... SRC=85.25.195.209 DST=... LEN=443 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=UDP SPT=5134 DPT=5062 LEN=423
Feb 9 06:45:30 IN=eth0 OUT= MAC=... SRC=85.25.195.210 DST=... LEN=443 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=UDP SPT=5293 DPT=5061 LEN=423
Feb 9 07:05:07 IN=eth0 OUT= MAC=... SRC=119.81.75.18 DST=... LEN=441 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=UDP SPT=5169 DPT=5060 LEN=421
Feb 9 10:22:07 IN=eth0 OUT= MAC=... SRC=199.115.118.168 DST=... LEN=447 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=UDP SPT=5060 DPT=5060 LEN=427
Feb 9 13:11:52 IN=eth0 OUT= MAC=... SRC=66.240.236.119 DST=... LEN=257 TOS=0x00 PREC=0x00 TTL=109 ID=6778 PROTO=UDP SPT=41573 DPT=5060 LEN=237
Feb 9 14:39:50 IN=eth0 OUT= MAC=... SRC=188.138.41.34 DST=... LEN=442 TOS=0x00 PREC=0x00 TTL=48 ID=0 DF PROTO=UDP SPT=5069 DPT=5060 LEN=422
Feb 9 16:17:55 IN=eth0 OUT= MAC=... SRC=162.209.124.62 DST=... LEN=445 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=UDP SPT=5846 DPT=5060 LEN=425
Feb 9 16:36:25 IN=eth0 OUT= MAC=... SRC=81.30.145.190 DST=... LEN=443 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=UDP SPT=5073 DPT=5060 LEN=423
Feb 9 16:53:20 IN=eth0 OUT= MAC=... SRC=82.196.207.154 DST=... LEN=436 TOS=0x00 PREC=0x00 TTL=43 ID=0 DF PROTO=UDP SPT=5062 DPT=5060 LEN=416
Feb 9 17:01:41 IN=eth0 OUT= MAC=... SRC=85.25.195.210 DST=... LEN=441 TOS=0x00 PREC=0x00 TTL=47 ID=0 DF PROTO=UDP SPT=5065 DPT=5060 LEN=421
Feb 9 20:51:19 IN=eth0 OUT= MAC=... SRC=85.25.194.185 DST=... LEN=444 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=UDP SPT=5206 DPT=5060 LEN=424
Feb 9 22:45:45 IN=eth0 OUT= MAC=... SRC=198.50.145.104 DST=... LEN=443 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=UDP SPT=5060 DPT=5060 LEN=423
Feb 9 23:33:37 IN=eth0 OUT= MAC=... SRC=119.81.75.18 DST=... LEN=441 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=UDP SPT=5120 DPT=5060 LEN=421
Feb 9 23:56:42 IN=eth0 OUT= MAC=... SRC=62.28.113.37 DST=... LEN=439 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=5079 DPT=5060 LEN=419[/SIZE]
Aber das ganze war nicht so einfach. Sipgate hat fast 4 Wochen benötigt um mir ihre IP-Adressen mitzuteilen, die freigegeben werden müssen.
