[Problem] Fritzbox 7390 SIP gehackt

dfritz

Neuer User
Mitglied seit
28 Aug 2004
Beiträge
23
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe eine 7390 (FritzOS 6.0) die ich auch als SIP Server verwende. Die Box hängt an einem T-Entertain Anschluss. Eine Rufnummer (623) habe ich nach aussen auch für Internet Telefonie freigegeben, damit
ich ggf. per Handy eine Verbindung ins Ausland aufbauen kann. Seit einige Wochen habe ich nun das Problem das meine Fritzbox von fremden genutzt wird um Gespräche nach Saudi Arabien und Ägypten zu führen. Auch andere Länder hatte ich schon auf der Rechnung. Ich frage mich, wie die es immer schaffen die Box zu hacken. Das SIP-Passwort für den Account hat 11 Stellen mit Groß- und Kleinschreibung und Sonderzeichen. Weiter wechselt alle 24 Stunden die IP Adresse. Ich war der Meinung das dies ausreichender Schutz sein sollte - auch wenn jemand per Bruteforce daran arbeiten sollte die Box zu hacken, sollte das länger als 24 h dauern bis die Box mit einem IP Wechsel verschwindet. Meiner Vermutung ist, das es irgendwie möglich ist das Kennwort auszulesen. Ist hierzu etwas bekannt ? Gibt es vielleicht irgendwo die Möglichkeit ausführlichere Logfiles in der Box zu finden ?

Ich habe vorsorglich schon mal die externe Freischaltung abgeschaltet und das Kennwort geändert.
 
Moin

Woher willst du denn wissen, dass die Fritz!Box gehackt ist?
Wenn ich mich von Aussen (Internetseitig), meinetwegen mit MicroSIP verbinde/registriere, kann man das Nirgendwo sehen (in der Box).
Solange behaupte ich mal ganz frech: Die haben wohl eher deinen Telekom SIP Account gehackt.
Zitat: "hatte ich schon auf der Rechnung"
Melde das mal der Telekom. Die machen dann deinen Anschluss ganz schnell dicht.
 
Zuletzt bearbeitet:
Verwende wenn VPN zur FB, statt von aussen direkt unverschlüsselt dich einzuloggen.

Da darf man sich nicht wundern, wenn sowas abgefangen wird bei Hotspots. ;)
 
Hallo,
Tauchen alle Anrufe im Log der Box auf?
Wenn nicht, wende Dich dringend an den Provider. Ggf. ist das Leck ja auch außerhalb der Box.
 
Schadensbegrenzung:

1. IP-Telefonnummernpasswörter ändern.
2. Telekom Webzugangspasswort ändern.
3. Telekom EMail Passwort ändern (weiterleitungen an fremde Adressen kontrollieren/löschen).
4. Wenn Fernzugriff auf Fritz!Box aktiviert, Benutzer/Passwort ändern.
5. WLAN WPA Schlüssel ändern.
....und falls ich was vergessen hab, das dann auch ändern.
:rolleyes:

Telefonate in den Orient lassen die NSA und GSHQ ihr Radar aufleuchten.
Was über deinen Account alles ins Internet geladen werden kann, muss ich wohl nicht erklären.
Das ist kein Spass, illegal und strafverfolgungswürdig.
 
Hallo zusammen,

ich habe eine 7390 (FritzOS 6.0) die ich auch als SIP Server verwende. Die Box hängt an einem T-Entertain Anschluss...
Seit einige Wochen habe ich nun das Problem das meine Fritzbox von fremden genutzt wird um Gespräche nach Saudi Arabien und Ägypten zu führen.

@dfritz: Falls Du einen IP-basierten Anschluss hast, kannst Du über das Telekom-Kundencenter ausgehende Gespräche sperren. Habe ich auch gemacht. Alles was ich nicht möchte (0137x, Interkontinental, etc.) sind in der "Blacklist".

Somit werden die Verbindungen gar nicht erst aufgebaut / können nicht aufgebaut werden.

Und trotzdem, bei der Telekom mal ein Ticket (Störung? / Beschwerde?) aufmachen, dass unautorisierte abgehende Gespräche von Deinem Anschluss geführt werden.
 
Hallo,

also ich habe noch den normalen Universalanschluss (ISDN) und keine IP Telefonie ins öffentliche Netz. Das Problem liegt also bei der Fritzbox.
Jetzt frag ich mich nur, ob das Zufall ist durch Bruteforce oder ob die Fritzbox ein unbekanntes Loch hat. Ist es nun lohnenswert Strafanzeige zu stellen.

Ich meine, ich habe nun die angerufenen Rufnummern, die IP des Anrufers. Allerdings glaube ich kaum, das die in Ägypten so dem Datenschutz hinterher rennen
wie in Deutschland.

@HabneFritzBox
Das war was ich gesucht habe. Die Anrufe kamen von 197.123.151.88 aus Ägypten.
 
Zuletzt bearbeitet:
welche Anschluss genau? evtl. nochmals auf der letzten Rechnung bzw. über Homepage/Kundencenter prüfen. (siehe auch klick)
Eine Rufnummer (623) habe ich nach aussen auch für Internet Telefonie freigegeben, damit ich ggf. per Handy eine Verbindung ins Ausland aufbauen kann.
warum wird kein VPN bzw. callthrough verwendet? hier wird doch entsprechender Schutz geboten
evtl. sogar, je nach Anwendungsgebiet/-fall: Telekom bringt HomeTalk App für iPhone/Android + IP Anschluss

alternativ über Dritt-Anbieter, bspw. Dellmond (FVD)
 
Zuletzt bearbeitet:
Das SIP-Passwort für den Account hat 11 Stellen mit Groß- und Kleinschreibung und Sonderzeichen.

Einmal z.B. über einen (unverschlüsselten) WLAN-Hotspot von außen eingeloggt :)phone:) und das Kennwort könnte auch aus 1000 und 1 Zeichen bestehen, es würde nichts bringen... :roll:
Realisiere das besser per VPN und deaktiviere unbedingt die Freigabe! :doktor:

Weiter wechselt alle 24 Stunden die IP Adresse.

Und DDNS (z.B. DynDNS oder MyFritz)? Wenn ja kann die IP-Adresse auch stündlich wechseln und es ist kein Schutz...
U.U. wurde aber vielleicht auch bzw. "nur" die Fernkonfiguration deiner FritzBox "geknackt"! Du solltest also auch unbedingt die Passwörter der evtl. vorh. Benutzer die von außen auf die Box zugreifen dürfen ändern.

Ist es nun lohnenswert Strafanzeige zu stellen.

Eine Anzeige gegen Unbekannt ist auf jeden Fall nicht sinnlos, egal ob der/die Täter wirklich ermittelt werden können, im Zweifel kann die Anzeige bei später auftauchenden Beschuldigungen/Problemen dadurch weiterhelfen.
 
Ich verwende für extra kostenpflichtige Anrufe einen Prepaid-Anbieter, ohne automatische Aufladung.
Bei meinem Provider habe ich alle diese Gespräche gesperrt. Damit ist ein möglicher Schaden äußerst begrenzt (<10 Euro).

Zusätzlich ist dieser Anbieter wesentlich preiswerter als praktisch alle anderen...
 
Eine Rufnummer (623) habe ich nach aussen auch für Internet Telefonie freigegeben, damit ich ggf. per Handy eine Verbindung ins Ausland aufbauen kann. Seit einige Wochen habe ich nun das Problem das meine Fritzbox von fremden genutzt wird um Gespräche nach Saudi Arabien und Ägypten zu führen.

Interessanter Fall. Könnte aber auch ein Trojaner auf SmartPhone und/oder PC sein. Darüber wäre das SIP-Passwort (und alles andere auch...) im Klartext auslesbar.

weitere denkbare, sinnvolle Maßnahmen:
- dynDNS-Namen & MyFritz-Accounts löschen und mit anderen Namen neu anlegen
- Fritzbox Webinterface Passwort ändern
- https Port der Fritzbox-Fernwartung ändern
- SIP-Passwort ändern (und im Handy SIP-Client erstmal nicht neu eingeben um den evt. Trojaner nicht zu füttern)
- prüfen, ob die CallThrough-Funktion nicht als Alternative in Frage kommt.

Abhängig von der Häufigkeit der Vorkommnisse kannst du auch mal mehrere Stunden den Paketmitschnitt aktivieren und anschließend mit Wireshark schauen, wie die 'bösen' SIP-Invites ausehen.
 
so viel zu den Aberglauben und Maerchen dass AVM ja jetzt schnell reagiert haette und den Hack der Fritzen schnell behoben hat. Ja sehr schnell nachdem es ueberall in der Presse breitgetreten hatte. Der Threadstarter hatte scheinbar den Hack als erstes auf dem Radar. Februar 2014. Sehr schnell.
 
Moment, der TO hat nicht geschrieben, dass er AVM informiert hätte...? Klar war die Lücke uralt (schon in der FW der 7170), nur bemerkt hatte sie niemand.
Und die Vorgehensweise unterscheidet sich auch deutlich von der jetzigen...
Also wohl kein Aberglauben und/oder Märchen...
 
AVM und Software-Qualitäts-Sicherung ?
Passte noch nie zusammen !
Jede Firmware-Version kam bisher mit Fehlern zu den Kunden.
 
Hallo,
Zwingt Dich ja niemand, die Produkte zu nutzen :hehe:
 
Hallo zusammen,

also ich habe damals nur die Telekom informiert. Die mir geraten hatten alle Passwörter zu ändern. Gesagt getan. Danach war auch Ruhe.
Ich war aber der Meinung, das es von einem anderen System bei mir verursacht worden ist und habe nicht an die Fritzbox gedacht.

Der Vorfall war übriges genauso, wie er heute offiziell gemacht worden ist. Einzig und alleine die SIP Zugänge waren bei mir schon vorhanden
und der Schaden war minimal, so das ich auch nicht weiter geforscht habe.

Ich kann mir auch vorstellen, das Aufgrund der hohen Latenzen einfach kein vernünftiges Gespräch zusammen gekommen ist und deswegen
die Verbindungen gekappt worden sind.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.