[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

[Hans Juergen]

Vor dem Vermuten hättest du vielleicht etwas mehr lesen sollen... Es waren auch Boxen betroffen, bei denen noch nie MyFritz drauf war...

 

[KunterBunter]

Dieser Weg wäre auch sehr mühsam. Bei den wenigsten ist der Fernzugang aktiviert.

 

[johnripper]

Vor dem Vermuten hättest du vielleicht etwas mehr lesen sollen... Es waren auch Boxen betroffen, bei denen noch nie MyFritz drauf war...

Es wurde nicht über die Webseite gemacht. Wäre aber effizenter gewesen.
Meine These ist dass die IP Bereiche gescanned haben. Deswegen auch so viele Kabelkunden. Kleine IP Bereiche, hohe Auslastung und viele "Zwangs" Fritzboxen.

Übrigens wollte ich darauf hinaus, dass ein User viele Anfragen von unterschiedliche IPs sieht. Dies kann ua an diesen Sachen liegen. Leider hat er nicht nachgedacht und nur "myFritz nutze ich nicht" geschrieben.

MyFritz hat mit der Lücke wohl gar nichts zu tun... Wie sollte sonst die 7170 betroffen sein können? Es scheint ausschließlich die Fernwartung zu sein...

Hab ich auch nicht behautet. Hier wurde sich nur gefragt warum so viele Zugriffe uns unterschiedlihen dt Netzen stattfinden...das wäre eine möglichkeit

 

[JohnDoe42]

Also nochmal: Ich habe MyFritz noch nie benutzt. Ich hatte nie Fernzugänge zu meinen Boxen. Ich habe auch keine Verbindung zwischen MyFritz und den 400 Zugriffsversuchen in sieben Stunden auf meine Box hergestellt. Was ich geschrieben habe ist, daß

1. die Zugriffszahlen in sieben Stunden dem Siebenfachen des Durchschnitts für 24 Stunden entsprechen
2. auffällig oft von der gleichen IP Port 80 und Port 443 versucht wird und
3. die Mehrzahl dieser IP-Bereiche in den Bereich von Providern fallen, mit denen ich kein Vertragsverhältnis habe (Stichwort: Telekom Security Team).

Punkt 2 und 3 kann man, glaube ich, meinen Logs weiter oben entnehmen.
Alle diese Zugriffe kommen aus IP-Bereichen, die vor diesem Zeitraum entweder nie oder im deutlich geringerem Umfang Verbindungsversuche auf die Box unternommen haben. Bei Bedarf kann ich zu Vergleichszwecken auch Logs aus anderen Zeiträumen hier einstellen.
Ich war erstaunt über 1. die Anzahl und 2. die Absender der Verbindungsversuche. Einen plausible Erklärung für beides konnte ich bisher hier nicht lesen.

 

[sf3978]

Also nochmal: Ich habe MyFritz noch nie benutzt. Ich hatte nie Fernzugänge zu meinen Boxen. ...

Hier auch kein MyFritz und kein Fernzugang zur Box, aber eine Umleitung des Port 443 in der Box zu einem "Honigtopf". Kurz danach, der erste Versuch:

19:02:04.018771 IP (tos 0x0, ttl 242, id 54321, offset 0, flags [none], proto TCP (6), length 44)
    93.###.##.51.53540 > 192.168.178.21.[color=red]443[/color]: Flags [S], cksum 0x676f (correct), seq 3002498369, win 65535, options [mss 1460], length 0

:~$ curl ipinfo.io/93.###.##.51
{
  "ip": "93.###.##.51",
  [color=red]"hostname": "server.anonymous-hosting-service.com",[/color]
  "city": null,
  "region": null,
  [color=red]"country": "NL",[/color]
  "loc": "52.5000,5.7500",
  "org": "AS29073 Ecatel Network"

 

[JohnDoe42]

@ sf3978: Du bist vermutlich mehr Netzwerker als ich ...

Darf ich da herauslesen, daß bei Dir ein ähnliches "Problem" auftrat ? Wenn ja, auch in diesem Ausmaß ?
Bei der IANA erscheint der Block 93.0.0.0/8 als nicht assigned ... ?!
Und hast Du eine Idee, warum derart viele Provider-Netzevertreten sind ?
Ich bin verwirrt ...
Grüße,

JD.

 

[HabNeFritzbox]

Die IP ist ja auch ned unbedingt 93.0.0.51, sondern wurde unkenntlich gemacht.

Und wie kommt ihr drauf, dass man ein Problem hat? Wenn 443 auf andere Gerät weitergeleitet wird, ist der Angriff doch misslungen, weil die FB da nicht mit dem Webinterface reagiert mit der Schwachstelle.

 

[sf3978]

Darf ich da herauslesen, daß bei Dir ein ähnliches "Problem" auftrat ?

Nein, meine Box ist nicht gehackt worden. Mit dem Loggen der Zugriffe auf den Port 443 habe ich jetzt erst angefangen.

Bei der IANA erscheint der Block 93.0.0.0/8 als nicht assigned ... ?!

whois ergibt:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '93.174.93.0 - 93.174.93.255'

% Abuse contact for '93.174.93.0 - 93.174.93.255' is '[email protected]'

inetnum:        93.174.93.0 - 93.174.93.255
netname:        NL-ECATEL
descr:          ECATEL LTD
descr:          Dedicated servers
descr:          http://www.ecatel.net/
country:        NL
admin-c:        EL25-RIPE
tech-c:         EL25-RIPE
status:         ASSIGNED PA
mnt-by:         ECATEL-MNT
mnt-lower:      ECATEL-MNT
mnt-routes:     ECATEL-MNT
source:         RIPE # Filtered

role:           Ecatel LTD
address:        P.O.Box  19533
address:        2521 CA The Hague
address:        Netherlands
abuse-mailbox:  [email protected]
remarks:        ----------------------------------------------------
remarks:        ECATEL LTD
remarks:        Dedicated and Co-location hosting services
remarks:        ----------------------------------------------------
remarks:        for abuse complaints : [email protected]
remarks:        for any other questions : [email protected]
remarks:        ----------------------------------------------------
admin-c:        EL25-RIPE
tech-c:         EL25-RIPE
nic-hdl:        EL25-RIPE
mnt-by:         ECATEL-MNT
source:         RIPE # Filtered

% Information related to '93.174.88.0/21AS29073'

route:          93.174.88.0/21
descr:          AS29073, Route object
origin:         AS29073
mnt-by:         ECATEL-MNT
source:         RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.71 (WHOIS4)

 

[sf3978]

Und hast Du eine Idee, warum derart viele Provider-Netze vertreten sind ?

Naja, ich denke diese Provider bieten verschiedene Internet-Dienste an, wie z. B. VPN oder hier "server.anonymous-hosting-service.com", die von den Angreifern benutzt werden.

EDIT:

Evtl. sind das (teilweise) auch gehackte Rechner oder Server, von denen die Angriffe auf die FritzBoxen ausgeführt werden.

 

[JohnDoe42]

Nein, meine Box ist nicht gehackt worden.

Ich meinte eher die Anzahl und die Ursprünge der Verbindungsversuche ...
Nochmal konkret: Meine Erfahrung sind pro Tag ca. 60 bis 70 Verbindungsversuche, davon von einer IP seltenst mehr als drei Versuche. Alle Versuche einer IP zielen "normalerweise" auf einen Port (meistens 80). In einigen Prozent der Fälle zielt eine IP einmal auf Port 80 und dann einmal auf Port 22. Aber ein Ausmaß der von mir geposteten Logs, in dem eine IP jeweils abwechselnd auf Port 80 und Port 443 versucht (und das einige Male), war mir neu.

 

[sf3978]

Ich meinte eher die Anzahl und die Ursprünge der Verbindungsversuche ...

OK, die Ports 80 und 22 erfasse ich ja nicht. Aber 400 Zugriffsversuche in 7 Stunden ist schon auffällig. Ob es da einen Zusammenhang gibt, mit den Angriffen (Port 443) zu den FritzBoxen? Evtl. die source-IP-Adressen speichern, für den Fall, dass weitere Erkenntnisse veröffentlicht werden, und man vergleichen kann.

 

[JohnDoe42]

Aber 400 Zugriffsversuche in 7 Stunden ist schon auffällig. Ob es da einen Zusammenhang gibt, mit den Angriffen (Port 443) zu den FritzBoxen?

Genau darauf wollte ich hinaus.

Evtl. die source-IP-Adressen speichern, für den Fall, dass weitere Erkenntnisse veröffentlicht werden, und man vergleichen kann.

Das passiert automatisch.

 

[johnripper]

Komisch ist nur dass es so viele Anfragen sind.
Dass die Angreifer die IP Bereiche von verschiedenen Quellen scannen macht durchaus sinn, damit es dem Provider nicht auffaellt.
Aber dass man mehrfach taeglich die selben Bereiche scanned macht nur bei oft wechselnden IPs sinn.

Welcher Provider ist es denn?

 

[JohnDoe42]

Welcher Provider ist es denn?

Was genau meinst Du ? Meinen Provider oder die Provider, die hinter der Source-Adressen in meinem Post stecken ?

 

[johnripper]

Dein Provider

 

[HabNeFritzbox]

Welche Relevanz soll es zur Sicherheit haben oder er Lücke?

Klärt das doch privat wenn ihr ne IP nicht findet oder wem die gehört.

 

[RalfFriedl]

Hier auch kein MyFritz und kein Fernzugang zur Box, aber eine Umleitung des Port 443 in der Box zu einem "Honigtopf". Kurz danach, der erste Versuch:

Kannst Du auf Deinem "Honigtopf" auch ein Programm laufen lassen, das die HTTPS Verbindung annimmt und den Request aufzeichnet?

 

[johnripper]

Die Frage ist: Steht das erhöhte Anfragevolumen des Nutzers im Zusammenhang mit Missbrauch der Telefonie in den letzten Tagen?
Hier spricht mE einiges dafür, dass es offensichtlich doch massive Portsscans gegeben hat um Frirzboxen in den jeweiligen Netzen aufzuspüren. Offensichtlich waren die Angreifer doch schlau genug die Scans aus verschiedenen Netzen heraus zu machen, was erklären würde, dass die ISPs bis zum Telefonaufkommen keinen Schimmer hatten und völlig überrascht wurden.

 

[Xerolux]

Das sagt gar nichts aus, wen ihr wusstet wieviel Portscans ich am Tag auf den Servern habe und das auf vielen Ports, das sagt nichts aus und muss nichts mit dem avm Missbrauch zu tun haben.

 

[sf3978]

... ein Programm laufen lassen, das die HTTPS Verbindung annimmt und den Request aufzeichnet?

Bis jetzt nicht, aber ich könnte es evtl. mit openssl (aus deinem Beitrag #387) probieren. Welche zusätzliche Erkenntnisse bekommt man, wenn man die HTTPS-Verbindung annimmt?