FritzBox als Trojaner (Zugriffe auf Port 14013 auf fremde Rechner im Internet)

[max951]

Hallo,

meine Fritz!Box 7050 (FW 14.4.31) greift offenbar auf den Port 14013 von beliebigen Rechnern zu.

Aufgefallen ist das, da ich gestern ein Mail von meinem Provider bekommen habe, aus dem hervorging, daß ich mit meiner (festen) IP unangenehm in einem Intruderlog aufgefallen bin. Vermutlich haber ich einen Trojaner, so die Meinung meines Providers.

An der öffentlichen IP hängt meine Fritz!Box 7050, dahinter mehrere Rechner und weitere Netzwerkkomponenten.
Bevor ich nun alle Rechner scanne (bei denen überall Virenschutz aktiv und aktuell ist), dachte ich mir, erst mal Netzwerktraffic monitoren.

Und es stimmt tatsächlich, außgehend greift die Box in relativ kurzer Zeit (10 Minuten) auf den Port 14013 von etlichen fremde IPs zu. Die Daten scheinen binäer Natur zu sein, sagen also nichts aus.

Im internen Traffic sind ebenfalls Zugriffe auf Port 14013 festzustellen, sogar auf den Netzwerkdrucker will die Box connecten. OK, intern ist mir das Wurscht. Extern will ich aber nícht als vermeintliches Spam-Relay (oder was auch immer) vermutet werden.

Ich recherchierte daraufhin im Forum:
Port 14013 wird von der Box benutzt um auf lokalen Rechner den angemeldeten Benutzer zu erfahren, zwecks Kindersicherung, so die Aussage mehrerer Posts. Meine Kindersicherung in der Box ist tatsächlich aktiv, aber nichts spezielles ist konfiguriert. Nur das Häkchen Kindersicherung ist gestzt. Auch auf den Rechnern ist die erforderliche Software nicht installiert.

Test mit abgeschalteter Kindersicherung:
Mit ausgeschalteter Kindersicherung macht die Box diese Zugriffe nicht. Weder intern noch extern.

Frage: Warum macht die Box Zugriffe nach außen auf fremde Rechner?
Und wie lässt sich das mit aktiver Kindersicherung unterbinden? (demnächst werde ich nämlich die Kindersicherung benutzen [müssen])

PS:
Sorry für die lange Erklärung, ich hoffe mich verständlich ausgedrückt zu haben

[Andrej]

Ja vileicht will die Box schauen ob jemand im Internet auch Kinder geschüzt werden müssen.

[spongebob]

Zitat:

Dieses Programm avmident.exe kommuniziert vom TCP-Port 14013 mit der FRITZ!Box, um den für die Kindersicherung benötigten Computernamen/Benutzernamen mitzuteilen

s.a. hier http://forum.kaspersky.com/lofiversi...hp/t34153.html

Da diese Kommunikation für die FB Kindersicherung wohl unabdingbar ist, bleibt Dir zur Unterbindung wohl nur die Deaktivierung der Kinderschutz Funktion auf der FB und die Suche nach Alternativen übrig.

Oder Du überzeugst Deinen Provider, dass er sich mal auf den Stand der Technik begeben sollte und seine Intruderlogs diesbezüglich desensibilisieren sollte...

[max951]

@spongebob:

Ich habe meine Frage offenbar doch nicht verständlich genug formuliert

avmident.exe ist auf keinem PC installiert. Die Box stellt von sich aus Anfragen an fremde PCs im Internet. Wenn schon, kann sie im LAN anfragen, im WAN ist solches unnötig und kontraproduktiv (hoher Traffic {ich wunderte mich schon immer darüber, daß ich mehr ausgehenden als eingehenden Traffic habe}).

Die Beschwerde kam ursprünglich von einem Hostbetreiber im Internet an meinen Provider. Dieser hat das Mail an mich weitergeleitet. Mit Stand der Technik hat das übrigens nichts zu tun. Es gibt meines Wissens keinen Server im Netz der über meine Regularien der Internetbeschränkungen meiner Kinder Informationen für meine Fritz!Box haben könnte.

[spongebob]

Dann habe ich das in den falschen Hals bekommen.

Zitat:

Es gibt meines Wissens keinen Server im Netz der über meine Regularien der Internetbeschränkungen meiner Kinder Informationen für meine Fritz!Box haben könnte.

Das nicht, aber aktuelle KS-Software basiert schon z.T. auf Datenaustausch mit dem INet (z.B. für aktuelle Black/Whitelists oder zur expliziten Nachfrage unklarer URLs). Das hatte ich hier vermutet.

Was ist denn inhaltlich in der Kommunikation über den besagten Port zu erkennen? Ziel? TCP/UDP? TLS? Offen?

Grüsse

[it-fisi]

Aufgefallen ist das, da ich gestern ein Mail von meinem Provider bekommen habe, aus dem hervorging, daß ich mit meiner (festen) IP unangenehm in einem Intruderlog aufgefallen bin. Vermutlich haber ich einen Trojaner, so die Meinung meines Providers.


Ein Freund von mir hat den gleichen Text als Brief von seinem Provider (t-online) bekommen. Nutzt jedoch als Router einen Speedport 700 xx oder so und Kindersicherung ist mit hoher Wahrscheinlichkeit ausgeschaltet.
Die Speedports sollen ja auch von AVM kommen.

Ob es nun wirklich ein Trojaner war oder eine Falschmeldung, von wo auch immer kann ich nicht sagen.
nur ist das alles bissel seltsam ....

Gruß Peter

[frank_m24]

Hallo,

hast du zufällig irgendwelche Modifikationen an deiner Fritzbox vorgenommen, also z.B. Portweiterleitungen auf Fritzbox IPs, Serverdienste aktiviert oder so? Irgendwas, was die NAT Firewall der Box durchtunneln könnte?

Zitat:

Zitat von max951

Bevor ich nun alle Rechner scanne (bei denen überall Virenschutz aktiv und aktuell ist), dachte ich mir, erst mal Netzwerktraffic monitoren.

Damit meinst du den Paketmittschnitt auf DSL Ebene?

Das Problem könnte meines Erachtens durchaus sein, dass die Anfragen aus dem LAN kommen und von der Box nur durchgeleitet werden. Hast du den internen Netzwerktraffic daraufhin mal untersucht?

Viele Grüße

Frank

[max951]

@spongebob:
Deine Vermutung mit Black/Whitelist ist nachvollziehbar. Die FB-KS ist jedoch rein zeitbasierend. Man kann lediglich einstellen zu welchen Zeiten der Nachwuchs wie lange im Netz sein kann/darf. Mit Inhalten oder Adressen hat die FB nichts am Hut.

Es sind lediglich TCP SYN-Pakete an Netzwerkkomponeten im LAN (was ich noch verstehen kann) als auch an IPs (meineserachtens wahllose) ins WAN protokolliert. Eine Antwort von den Zielrechnern erfolgt in den seltensten Fällen und wenn, dann immer nur ein RST-Paket.

Anbei die nach Port 14013 gefilterten Protokolle vom LAN als auch vom WAN-Port.



@it-fisi:
Danke, jetzt fühle ich mich nicht mehr so einsam
Ich dachte schon, ich hätte als einziger das Problem.


@frank_m24:
Ich habe durchaus diverse Portweiterleitungen vom WAN ins LAN. Vom LAN ins WAN geht ohnehin (fast) alles durch. NETBIOS-Pakete glaub ich, werden generell nicht ins WAN durchgeroutet.
Das ist aber auch nicht das Problem. Die Box selbst stellt Anfragen an fremde PCs. Keine Netzwerkkomonente stellt die Anfragen an die FB zu Weiterleitung ins WAN. Es ist definitiv die FB selbst. (siehe angehängte Protokolle)


@all:
Die Whireshark-Protokolle wurden zeitgleich an eth0 und eth1 der FB durchgeführt.
Zur Info: Meine FB arbeitet nur als Router, DSL ist nicht aktiv.
Internetzugang mit fester IP über LAN A (eth0).
An LAN B (eth1) sind über einen Switch meine Netzwerkgeräte angeschlossen.

Nette Grüße
Max

[spongebob]

Oha, das sieht blöd aus... Ich tippe auf einen SW Fehler in der FB. Die Box kann offenbar nicht zwischen internen und externen Adressen unterscheiden und fragt alles ab, was sie an IP Adressen im Laufe ihres "Lebens" so gesehen hat...

Vorschlag: Alles auschalten, wieder einschalten. Trace starten (wie gehabt). Sollte - wenn meine Vermutung stimmt - initial nichts passieren auf diesem Port oder lediglich nach "innen" mit den bis dato discoverten DHCP Clients. Danach mal irgendeine öffentliche IP angehen von innen (z.B. google). Wenn meine Vermutung stimmt, sollte die nach einiger Zeit auch auf Port 14013 kontaktiert werden...

_DAS_ würde ich als Provider allerdings auch übel nehmen...

Grüsse

[mvordeme]

Zitat:

Zitat von max951

Zur Info: Meine FB arbeitet nur als Router, DSL ist nicht aktiv. Internetzugang mit fester IP über LAN A (eth0).

Da liegt dann wohl der Hase im Pfeffer. Wenn ich das eingebaute DSL-Modem benutze, sollte ich also keine Probleme haben. Richtig?

Grüße,
-- mvordeme

[max951]

@mvordeme:

Das kann ich so nicht unterschreiben. Es kann DSL-Usern theoretisch genauso treffen. Das müsste jemand probieren.
Ich das leider nicht testen, da bei mir kein (normales) DSL verfügbar ist.
Vielleicht findet sich jemand der das ausprobieren mag.

@spongebob:
da hast du recht, sehr blöd. Deinen Vorschlag werd ich auf alle Fälle durchführen. Ich hoffe ich komme alsbald dazu.
Inzwischen hab ich mal ne Info darüber an den AVM-Support geschickt. Mal sehen was die dazu meinen.

Thx @all
Max

[mvordeme]

Zitat:

Zitat von max951

Vielleicht findet sich jemand der das ausprobieren mag.

Ich kann das gerne bei Gelegenheit mal testen. Wenn das Problem nicht auftritt, kann das aber auch an der Hardware liegen...

Grüße,
-- mvordeme

[Löwenherz]

boah was fürn sch....

ich nutze meine 5140 auch an Lan A an meinem Kabelmodem mit fester IP.
An LanB ist mein Switch/AP. Sollte ich jetzt mal die Kindersicherung einschalten werde ich zum Trojaner?

Dann sollte AVM aber mal dran arbeiten.
Schaun wir mal was die dazu sagen.

[max951]

AVM sieht sich das Problem nicht an, weil ich SSH auf der Box hab. Modifizierte Geräte sind halt supportbar. Ich hab grad keine Lust die Box zu reseten. Vielleicht kann das ja noch wer testen der (noch) eine originale Box hat. Jedenfalls halte ich es für sehr unwahrscheinlich, daß der SSH Server daran was gedreht hätte.

@mvordeme:
ich denke, es dürfte ein Softwareproblem sein, von der Hardware unabhängig.

@Löwenherz:
Leider keine AVM-Lösung.

[Verpeiler]

Zitat:

Zitat von max951

Leider keine AVM-Lösung.

Steht denn nun fest, das dieses Verhalten auch ohne Modifikationen auftritt?

Vor einer Supportanfrage zu AVM hätte das schon längst geklärt sein sollen! Die werden dann wahrscheinlich genau wie du keine Lust haben sich Fehlerbilder mit modifizierter Firmware anzuschauen.

[mvordeme]

Okay, ich habe jetzt mal folgendes probiert. Da ich mit dem ganzen Netzwerkkrams nicht per Du bin, habe ich ja vielleicht was falsch gemacht. In dem Fall bitte helfen:

• Kindersicherung aktiviert
• Zugriff für meinen Rechner erlaubt
• Zugriff für alle anderen nicht erlaubt
• Paketmitschnitt auf DSL-Ebene (Standard) gestartet
• ein paar Google-Anfragen gestartet und ein paar offene Seiten neu geladen
• insgesamt fünf Minuten im Internet herum geirrt
• Paketmitschnitt beendet
• Paketmitschnitt mit Wireshark geöffnet

Ich konnte keine Hinweise auf Port 14013 finden. Bedeutet das Entwarnung für Benutzer des eingebauten DSL-Modems?

Danke und Grüße,
-- mvordeme

[Bommel_0507]

Zitat:

Zitat von mvordeme

...Bedeutet das Entwarnung für Benutzer des eingebauten DSL-Modems?

Meiner Meinung nach nur, wenn derselbe Vorgang mehrfach bestätigt wird.

Ich habe hier meine Fritz!Fon 7150 unter denselben Bedingungen laufen.

• Kindersicherung aktiv.
• Alle angemeldeten Rechner und Geräte (siehe Signatur) dürfen rund um die Uhr ins Internet.
• Nichtangemeldete nicht.
• Desweiteren läuft auf meinem PC eMule rund um die Uhr.

Wenn mir jetzt jemand diese Prozedur mit Wireshark erklärt (was ist das und wo finde ich dies), dann werde ich das gern auch überprüfen. schon aus eigenem Interesse...

[mvordeme]

Hallo Bommel,

die Anleitung zum Paketmitschnitt gibt es hier. Wireshark ist ein Programm, das den Paketmitschnitt analysieren kann. Das habe ich mir hier herunter geladen. Ob mein Vorgehen überhaupt geeignet war, den Fehler nachzuweisen, weiß ich nicht. Ich hoffe da auf Hilfe von max oder spongebob.

Gute Nacht,
-- mvordeme

[spongebob]

Mitschneiden geht auch einfacher: http://www.ip-phone-forum.de/showthread.php?t=129725

Grüsse

[caspritz78]

Also wir wissen: Die Kindersicherung auf der Box kommuniziert auf Port 14013 mit der Kindersicherungssoftware auf den über LAN angeschlossen PCs.

Ich gehe mal davon aus, dass beim Aktivieren von "Internetzugang über LAN A" und das Umwandeln des LAN-Ports in einen WAN-Port dies die Kindersicherung nicht mitkriegt und immer noch fleißig Anfragen über den Anschluss versendet.

Da wäre dann wohl ein klassischer Bug.

Wäre interessant zu hören was AVM dazu sagt.

Grüße
Christoph