H
Hans Juergen
Guest
Vor dem Vermuten hättest du vielleicht etwas mehr lesen sollen... Es waren auch Boxen betroffen, bei denen noch nie MyFritz drauf war...
Es wurde nicht über die Webseite gemacht. Wäre aber effizenter gewesen.Vor dem Vermuten hättest du vielleicht etwas mehr lesen sollen... Es waren auch Boxen betroffen, bei denen noch nie MyFritz drauf war...
Hab ich auch nicht behautet. Hier wurde sich nur gefragt warum so viele Zugriffe uns unterschiedlihen dt Netzen stattfinden...das wäre eine möglichkeitMyFritz hat mit der Lücke wohl gar nichts zu tun... Wie sollte sonst die 7170 betroffen sein können? Es scheint ausschließlich die Fernwartung zu sein...
Hier auch kein MyFritz und kein Fernzugang zur Box, aber eine Umleitung des Port 443 in der Box zu einem "Honigtopf". Kurz danach, der erste Versuch:Also nochmal: Ich habe MyFritz noch nie benutzt. Ich hatte nie Fernzugänge zu meinen Boxen. ...
19:02:04.018771 IP (tos 0x0, ttl 242, id 54321, offset 0, flags [none], proto TCP (6), length 44)
93.###.##.51.53540 > 192.168.178.21.[color=red]443[/color]: Flags [S], cksum 0x676f (correct), seq 3002498369, win 65535, options [mss 1460], length 0
:~$ curl ipinfo.io/93.###.##.51
{
"ip": "93.###.##.51",
[color=red]"hostname": "server.anonymous-hosting-service.com",[/color]
"city": null,
"region": null,
[color=red]"country": "NL",[/color]
"loc": "52.5000,5.7500",
"org": "AS29073 Ecatel Network"
Nein, meine Box ist nicht gehackt worden. Mit dem Loggen der Zugriffe auf den Port 443 habe ich jetzt erst angefangen.Darf ich da herauslesen, daß bei Dir ein ähnliches "Problem" auftrat ?
whois ergibt:Bei der IANA erscheint der Block 93.0.0.0/8 als nicht assigned ... ?!
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '93.174.93.0 - 93.174.93.255'
% Abuse contact for '93.174.93.0 - 93.174.93.255' is '[email protected]'
inetnum: 93.174.93.0 - 93.174.93.255
netname: NL-ECATEL
descr: ECATEL LTD
descr: Dedicated servers
descr: http://www.ecatel.net/
country: NL
admin-c: EL25-RIPE
tech-c: EL25-RIPE
status: ASSIGNED PA
mnt-by: ECATEL-MNT
mnt-lower: ECATEL-MNT
mnt-routes: ECATEL-MNT
source: RIPE # Filtered
role: Ecatel LTD
address: P.O.Box 19533
address: 2521 CA The Hague
address: Netherlands
abuse-mailbox: [email protected]
remarks: ----------------------------------------------------
remarks: ECATEL LTD
remarks: Dedicated and Co-location hosting services
remarks: ----------------------------------------------------
remarks: for abuse complaints : [email protected]
remarks: for any other questions : [email protected]
remarks: ----------------------------------------------------
admin-c: EL25-RIPE
tech-c: EL25-RIPE
nic-hdl: EL25-RIPE
mnt-by: ECATEL-MNT
source: RIPE # Filtered
% Information related to '93.174.88.0/21AS29073'
route: 93.174.88.0/21
descr: AS29073, Route object
origin: AS29073
mnt-by: ECATEL-MNT
source: RIPE # Filtered
% This query was served by the RIPE Database Query Service version 1.71 (WHOIS4)
Naja, ich denke diese Provider bieten verschiedene Internet-Dienste an, wie z. B. VPN oder hier "server.anonymous-hosting-service.com", die von den Angreifern benutzt werden.Und hast Du eine Idee, warum derart viele Provider-Netze vertreten sind ?
Nein, meine Box ist nicht gehackt worden.
OK, die Ports 80 und 22 erfasse ich ja nicht. Aber 400 Zugriffsversuche in 7 Stunden ist schon auffällig. Ob es da einen Zusammenhang gibt, mit den Angriffen (Port 443) zu den FritzBoxen? Evtl. die source-IP-Adressen speichern, für den Fall, dass weitere Erkenntnisse veröffentlicht werden, und man vergleichen kann.Ich meinte eher die Anzahl und die Ursprünge der Verbindungsversuche ...
Genau darauf wollte ich hinaus.Aber 400 Zugriffsversuche in 7 Stunden ist schon auffällig. Ob es da einen Zusammenhang gibt, mit den Angriffen (Port 443) zu den FritzBoxen?
Das passiert automatisch.Evtl. die source-IP-Adressen speichern, für den Fall, dass weitere Erkenntnisse veröffentlicht werden, und man vergleichen kann.
Was genau meinst Du ? Meinen Provider oder die Provider, die hinter der Source-Adressen in meinem Post stecken ?Welcher Provider ist es denn?
Hier auch kein MyFritz und kein Fernzugang zur Box, aber eine Umleitung des Port 443 in der Box zu einem "Honigtopf". Kurz danach, der erste Versuch:
Bis jetzt nicht, aber ich könnte es evtl. mit openssl (aus deinem Beitrag #387) probieren. Welche zusätzliche Erkenntnisse bekommt man, wenn man die HTTPS-Verbindung annimmt?... ein Programm laufen lassen, das die HTTPS Verbindung annimmt und den Request aufzeichnet?