Angriff auf Fritzbox?

TonyTough

Neuer User
Mitglied seit
14 Okt 2015
Beiträge
105
Punkte für Reaktionen
6
Punkte
18
Meine Logs unter System -> Ereignisse sind heute voll mit Anmeldeversuchen am FTP-Dienst (nur ein Auszug):

Code:
Anmeldung  des Benutzers root am FRITZ!Box FTP-Dienst von IP-Adresse  95.211.101.196 gescheitert (Benutzername oder Kennwort falsch). [5  Meldungen seit 09.12.16 11:59:47]

Anmeldung  des Benutzers root am FRITZ!Box FTP-Dienst von IP-Adresse  95.211.101.196 gescheitert (Benutzername oder Kennwort falsch). [4  Meldungen seit 09.12.16 11:58:51]

Anmeldung  des Benutzers root am FRITZ!Box FTP-Dienst von IP-Adresse  95.211.101.196 gescheitert (Benutzername oder Kennwort falsch).

Anmeldung  des Benutzers anyone am FRITZ!Box FTP-Dienst von IP-Adresse  95.211.101.196 gescheitert (Benutzername oder Kennwort falsch).

Anmeldung  des Benutzers ftp am FRITZ!Box FTP-Dienst von IP-Adresse 95.211.101.196  gescheitert (Benutzername oder Kennwort falsch).
Sind da weitere Sicherheitsmaßnahmen nötig?
 
Zuletzt bearbeitet von einem Moderator:

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,532
Punkte für Reaktionen
211
Punkte
63
Moin


Nein.
...solange die Logins nicht erfopgreich sind.

Leider schreibst du nichts von deiner Konfiguration.
Antesten von Standardports ist völlig normal.
DYNDNS Adressen machen dies leicht.
...weil sie über Google gefunden werden.

Willste das partout nicht mehr sehen, dann nutze VPN und entferne jegliche Freigaben (Fernzugriff).

PS: Der "Angreifer" ist nicht besonders intelligent.
Screenshot_2016-12-09-12-42-15.png
...da ein FTP-Login an der Fritz!Box verrät, dass es eine Fritz!Box ist.
Bei der wäre der angreifbare FTP-Benutzer: ftpuser
(NAS-Recht: Alle an der Fritz!Box angeschlossenen Speicher)
 
Zuletzt bearbeitet:

MuP

IPPF-Urgestein
Mitglied seit
27 Mrz 2009
Beiträge
12,258
Punkte für Reaktionen
518
Punkte
113
Aktuelle Firmware + eigenes Passwort + eigene SSID sind auf Anwenderseite wohl das Maximum.
AVM liefert den Rest, oder auch nicht ;)
 

Löwenherz

Mitglied
Mitglied seit
16 Feb 2007
Beiträge
424
Punkte für Reaktionen
0
Punkte
16
Hallo ich greife diesen alten Therad noch einmal auf denn meine 7390 wird auch attakiert obwohl der Steahlt MNodus an ist.
Hier wird systematisch mit mehreren Usernamen der Login versucht.
Neueste Softwareversion ist drauf 6,85
Keine Freigaben, keine Portweiterleitungen, Zugriff für MyFritz ist aktiviert.
1x Dyndns für Boxtogo ist eingerichtet
FRITZ!Box-Dienste
Übersicht der geöffneten Ports für den Zugriff aus dem Internet:
passiert häufig zwischen dem 5.und 8. eines Monats. Deswegen habe ich die verschiedenen Usernamen als Anfangs und Endzeit reingenommen .
Alle 3 Min und 1 Sek erfolgt ein Angriffsversuch manchmal wird auch noch der User Nil oder nil versucht.

Geöffnete PortsVerwendete ProtokolleFRITZ!Box-Dienst
443TCP, IPv4Internetzugriff auf die FRITZ!Box (HTTPS)Bearbeiten
500UDP, IPv4VPN (IKE)Bearbeiten
4500UDP, IPv4VPN (IPsec)Bearbeiten
5060UDP, TCP, IPv4Telefonie (SIP)Bearbeiten
7078-7109UDP, IPv4Telefonie (RTP)Bearbeiten

so sehen dann die Zugriffe aus
07.09.19 03:03:21Anmeldung des Benutzers user an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
07.09.19 02:47:16Anmeldung des Benutzers user an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
07.09.19 02:44:03Anmeldung des Benutzers administrator an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches K
07.09.19 00:58:33Anmeldung des Benutzers administrator an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches K
07.09.19 00:55:44Anmeldung des Benutzers root an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 23:21:16Anmeldung des Benutzers root an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 23:18:36Anmeldung des Benutzers ftpuser-internet an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches K
06.09.19 21:46:23Anmeldung des Benutzers ftpuser-internet an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches K
06.09.19 21:43:45Anmeldung des Benutzers Admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 20:13:16Anmeldung des Benutzers Admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 20:10:43Anmeldung des Benutzers support an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 18:42:31Anmeldung des Benutzers support an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 18:40:05Anmeldung des Benutzers ftpuser an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 17:16:53Anmeldung des Benutzers ftpuser an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 17:14:31Anmeldung des Benutzers test an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 15:53:44Anmeldung des Benutzers test an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
06.09.19 15:51:29Anmeldung des Benutzers admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort
06.09.19 15:37:56Anmeldung des Benutzers admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 77.247.110.122 gescheitert (falsches Kennwort).
 
Zuletzt bearbeitet:

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,532
Punkte für Reaktionen
211
Punkte
63
Änder mal den HTTPS Port auf was Hohes ( > 40000 ) , aber eben nicht den Standardport 443 nutzen, wenn dich sowas stört.

Wenn du ausschliesslich VPN nutzt, HTTPS Fernzugriff braucht es dafür nicht, also deaktivieren ;)
...die MyFRITZ!APP 2 reisst den unnötigerweise auf, bei Aktivierung von VPN ( Heimnetzverbindung ).
...aber normalerweise auf einer zufälligen Portnummer > 40000.

PS: Wollte mich auch gerade als "koyaanisqatsi" "verewigen", aber leider nichts erreichbar unter: 77.247.110.122
:rolleyes:

Die Angriffe, die du nicht siehst, wie die "friendly-scanner" die deine SIP Telefonie "angreifen" siehst du nur in den Support Daten.
...da machst du dir keine Sorgen drüber, stimmts?
 
Zuletzt bearbeitet:

pw2812

Mitglied
Mitglied seit
20 Aug 2007
Beiträge
759
Punkte für Reaktionen
76
Punkte
28
Wollte mich auch gerade als "koyaanisqatsi" "verewigen", aber leider nichts erreichbar unter: 77.247.110.122
Ist die im Ereignislog aufgeführte IP-Adresse nicht die des "Angreifers" und nicht die des "Angegriffenen"?
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,532
Punkte für Reaktionen
211
Punkte
63
Ah, hast Recht, nun, dann: Leider konnte ich mich nicht bei Ihm verewigen ;)
...ich brauch wohl noch einen: Cafe con leche, grande, rapido :D
Da läuft ein SSH Server :)
 
Zuletzt bearbeitet:

HabNeFritzbox

IPPF-Urgestein
Teammitglied
Mitglied seit
12 Dez 2017
Beiträge
15,170
Punkte für Reaktionen
200
Punkte
63
Wer Server öffentlich zur Verfügung stellt wird auch „angegriffen“. Wen es stört muss halt in lokalen Netzwerk arbeiten.

Thema ist auch nicht neu, gibt genug zu. ;-)
 

Löwenherz

Mitglied
Mitglied seit
16 Feb 2007
Beiträge
424
Punkte für Reaktionen
0
Punkte
16
Danke für eure Meinung

Die Angriffe, die du nicht siehst, wie die "friendly-scanner" die deine SIP Telefonie "angreifen" siehst du nur in den Support Daten.
...da machst du dir keine Sorgen drüber, stimmts?
Wenn du die beigefügten Protokolle *list.csv meinst, die sind immer sauber

-- Doppelposts zusammengeführt by stoney

Die Port Adresse habe ich mal nach oben verschoben. Schaun mer mal.
 
Zuletzt bearbeitet von einem Moderator:

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,532
Punkte für Reaktionen
211
Punkte
63
Nein, ich mein die SIP INVITES aus den erweiterten Support Daten.
( http://fritz.box/support.lua )
Poste ich öfters mal, ganz typisch ist...
 

Löwenherz

Mitglied
Mitglied seit
16 Feb 2007
Beiträge
424
Punkte für Reaktionen
0
Punkte
16
ah ja der erweiterte Support. Nein diese Datei geht bei mir bis März zurück, alles sauber, die mache ich immer nur wenn es denn mal (selten) ein Problem mit der Hardware gab.
 

pw2812

Mitglied
Mitglied seit
20 Aug 2007
Beiträge
759
Punkte für Reaktionen
76
Punkte
28
ah ja der erweiterte Support. Nein diese Datei geht bei mir bis März zurück
Ein halbes Jahr zurückreichend erscheint ungewöhnlich für die erweiterte Supportdatei. Dort werden üblichwerweise nur die letzten paar Anrufe protokolliert. Sicher, dass du nicht das Ereignislog bzw. die Anrufliste der FB meinst?
 

Löwenherz

Mitglied
Mitglied seit
16 Feb 2007
Beiträge
424
Punkte für Reaktionen
0
Punkte
16
Nein es ist das Telefon Log. Da hier nur wenig telefoniert wird ist das ok
##### BEGIN SECTION calllog
es sind 400 Einträge, beginnend mit dem 19.02.19
 

pw2812

Mitglied
Mitglied seit
20 Aug 2007
Beiträge
759
Punkte für Reaktionen
76
Punkte
28
@Löwenherz

In der section "calllog" siehst du aber eben nicht das, was @koyaanisqatsi in den Beiträgen #5 und #12 meint. Diese Informationen stehen in den sections "sip" und "invite".
 

Löwenherz

Mitglied
Mitglied seit
16 Feb 2007
Beiträge
424
Punkte für Reaktionen
0
Punkte
16
ist aber auch kompliziert:rolleyes:
Ja es gibt einge Einträge friendly Scanner bei Invite. Aber da blicke ich nicht durch. Da bin ich nicht zu Hause
Aber Danke für eure Tipps. Telefonieren mit fremden Nummern oder hohe Gebühren habe ich auch nicht. Will nun warten ob mit meiner Änderung nun die Logins aufhören.
 

stoney

Moderator
Teammitglied
Mitglied seit
7 Okt 2015
Beiträge
4,944
Punkte für Reaktionen
354
Punkte
83

HabNeFritzbox

IPPF-Urgestein
Teammitglied
Mitglied seit
12 Dez 2017
Beiträge
15,170
Punkte für Reaktionen
200
Punkte
63
Frage ist eben wie man "Probleme" definiert. Weil etwas im Log steht, gibt es "plötzlich" "Probleme" bzw. Sorgen und solche Themen.

Wenn der normale User es nicht sieht, macht er sich keine Gedanken zu.

Und da die FB wohl nur https/ftp loggt, fällt es wohl nicht auf wenn es bei VPN versucht wird.

Betreibst wie ich z.B. nen NAS, brauchst nur in diverse Logs gucken und findest quasi bei sämtlichen Diensten, besonders auf Standardports entsprechende Versuche wo wahllos Login probiert werden.

Es ist also weder ein Angriff auf die FB noch auf den User persönlich, sondern einfach als Teil der erreichbaren Welt wo andere entsprechende Bots/Crawler los lässt. Teils auch von Studenten an Unis welche irgendwas für ihre Masterarbeiten machen.
 

StAugustin

Neuer User
Mitglied seit
20 Feb 2017
Beiträge
58
Punkte für Reaktionen
7
Punkte
8
Hallo ich greife diesen alten Therad noch einmal auf denn meine 7390 wird auch attakiert obwohl der Steahlt MNodus an ist.
Hier wird systematisch mit mehreren Usernamen der Login versucht.
Neueste Softwareversion ist drauf 6,85
Keine Freigaben, keine Portweiterleitungen, Zugriff für MyFritz ist aktiviert.
1x Dyndns für Boxtogo ist eingerichtet

immer dieser Käse mit dem stealth modus. Man wird nicht unsichtbar, nur weil der Host keine Pakete beantwortet.
Wäre man tatsächlich unsichtbar, bekommt der Angreifer eine nicht zustellbar Antwort.
 
  • Like
Reaktionen: f666

3CX PBX - GRATIS
Linux / Win / Cloud

Neueste Beiträge

Statistik des Forums

Themen
232,607
Beiträge
2,024,682
Mitglieder
350,447
Neuestes Mitglied
L3GenD