Anmeldeversuche aus dem Internet

wutz65

Mitglied
Mitglied seit
21 Jun 2008
Beiträge
403
Punkte für Reaktionen
25
Punkte
28
Seit ein paar Tagen bei mehreren DSL-Anschlüssen immer von der gleichen IP Anmeldeversuche auf die Fritzbox.

Kann man das verhindern?

Der Benutzer admin ist auf der Box auch nicht angelegt.

03:49:28Anmeldung des Benutzers admin an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 193.46.255.150 gescheitert (falsches Kennwort).
 
Ein kurzer Blick auf AbuseIPD liefert erhellendes:

Da bleibt nur, andere Ports zu verwenden, oder das externe Interface abzuschalten. https auf Port 443 ist immer das Ziel von Scan Attacken.
 
Moinsen


Kann man das verhindern?
Ja.
Kommt aber darauf an wie oder warum oder wann du denn Fernzugriff benötigst oder nutzen willst.
0. Keine einfachen sondern lange nicht eratbare Kennwörter nutzen.
1. Fernzugriff nur aktivieren wenn benötigt.
2. Fernzugriff nicht auf Port 443 laufen lassen* sollte sowas erheblich reduzieren.
3. Fernzugriff deaktivieren und VPN nutzen, wenn es dein Anschluss ermöglicht.
Ansonsten sind solche "Attacken" eher harmlos.
(Wenn schon der Benutzername nicht stimmt)
Was glaubst du was so alles auf UDP/5060 (SIP) von außen angetestet wird?
...das zeigt dir AVM nur im "SIP invite Log" in den Support Daten :cool:

@frank_m24 - In den Comments ( ab Seite 2) sieht man unter anderen auch wie die IP den SIP Port beackert.

* Hilft nicht, wenn über eine Suchmaschine mit Parameter "site:[DynDNS-Anbieter-Domainname]" gesucht wird, das liefert auch Adressen mit abweichenden HTTPS Ports.
Beispiel: site:myfritz.net Login
Mit metager.de zum Beispiel: Hasso! - Fass!
 
Zuletzt bearbeitet:
Das gab es bei mir auch.
Ich habe einfach mit Erfolg über "Internet/Freigaben/FRITZ!Box-Dienste" den Haken bei "Internetzugriff auf die Fritz!box über HTTPS aktiviert" entfernt.
Dann war es sofort mit dem Spuk vorbei.
Einschränkungen negativer Art o.ä. sind mir seitdem noch nicht aufgefallen.
Testweise kann der Haken nach einer gewissen Zeit ja wieder zur Aktivierung gesetzt werden und man beobachtet die Dinge weiter.
 
Zuletzt bearbeitet:
  • Haha
Reaktionen: KunterBunter
Fernzugriff ist aktiv aber nicht auf Port 443, wurde soweit ich das in Erinnerung habe ab FritzOS 6.x auf zufällige Ports geändert.

MyFritz finde ich eigentlich nützlich und eine Box ist nur darüber zu erreichen.
 
Fernzugriff ist aktiv aber nicht auf Port 443
Es ist aber auf jeden Fall auf einem Port, der im Ziel der Scanner liegt. Dabei ist es egal, ob 443 oder ein anderer: Im Moment ist es gefährlich.
 
ab und zu auch jemand anders versucht.
Wenn es das nur ist, bei der kryptischen Adresse ist die Chance auf einen Treffer eher marginal.
MyFritz, kombiniert mit VPN und keinem Https nach außen wäre für mich eine der besten Möglichkeiten, gezielte Anklopfversuche von außen zu unterbinden.
 
  • Like
Reaktionen: sonyKatze
Danke werde ich versuchen
 
Die IP-Adresse ist immer die gleiche, aber beim Benutzernamen ist jetzt mehr Kreativität angezeigt:

1643785340680.png

Harry
 
Die kryptischen Hostnamen von AVM haben keinen Mehrwert, verärgert nur Kunden dass man es über Lesezeichen oder dippelten Login lösen muss bei MyFritz.

Wer Serverdienste betreibt, erhält auch Loginversuche, die Frage ist nicht ob, sondern wann. IPs werden durchprobiert, da ist der Hostname auch egal.

Und wer einfach mal Fritz Repeater usw. mit nur Passwort besuchen möchte braucht sich bei Shodan nur umsehen nach MyFritz.
 
Die kryptischen Hostnamen von AVM haben keinen Mehrwert
...
Wer Serverdienste betreibt, erhält auch Loginversuche, die Frage ist nicht ob, sondern wann. IPs werden durchprobiert, da ist der Hostname auch egal.
Du betrachtest nur einen Angriffsvektor!
Wenn nun aber die Host-Adresse bekannt ist, bei einfachen DDNS-Adressen recht schnell zu erraten, kann man zielgerichtet auch Router und Serverdienste nach einem IP-Wechsel attackieren. Das sollte man nicht außer acht lassen. Wenn alles dynamisch bleibt und der Hostname nicht bekannt ist, ist nach einem IP-Wechsel wieder Ruhe. Ein nicht zu leugnender Fakt ;)
 
  • Wow
Reaktionen: sonyKatze
… oder man bekommt die Anfragen auf die Dienste des vorherigen IP-Besitzers. Anklopf-Versuche zu unterbinden ist … man muss wie HabNeFritzbox schrieb mit ihnen umgehen, also ordentliches Passwort, gepatchte Geräte, und weitere Verhinderungen wie Verzögerungen einbauen (macht die FRITZ!Box für einen), regelmäßige Passwort-Wechsel, 2FA.

Den Logbuch-Eintrag in der FRITZ!Box verstehe ich eher anders: Wenn ein bekannter Mitnutzer sich in der Ferne laufend vertippt, kann man ihm so lokal helfen. Ansonsten weiß ich nicht, warum AVM das ins Logbuch schreibt. Die andere Frage ist, ob man laufend den Fernzugang an haben muss. Ich gehe davon aus, dass einige Internet-Tracker auch die Dienste-Profile inzwischen in ihre Analysen miteinbinden.
 
Hi,

das Problem hatte ich bei 2 von mir betreuten Boxen auch. Bei beiden die gleiche IP-Adresse (und auch der Nutzername, wie oben geschrieben), irgendwo aus Rumänien, die es am laufenden Band probiert hat.
Ich habe erstmal den Zugriff aus dem Internet blockiert. Das Problem: MyFritz funktioniert dann nicht mehr!
Was ich festgestellt habe: Bei beiden Boxen war in der Firewall der "Stealth-Mode" nicht aktiviert.
Bei 3 anderen Boxen, die den Stealth-Mode aktiviert hatten, ist Ruhe.

Grüße
Snyder
 
Das mag wenn einen Portscan minimal unschöner machen, aber Sicherheit bringt es nicht.

Absolute Sicherheit hast nur wenn die FB vom Netz/Strom getrennt ist.

Sonst muss man damit leben.
 
Naja, ganz so pauschal würde ich das nicht sagen:

1643996189979.png
und dann weiter unten:
1643996232870.png

Harry
 
Wenn eine Anfrage an den Port stellst bekommst trotzdem eine Antwort vom Webserver auf dem Port wo Fernzugriff eingerichtet ist.

Nur weil nen Ping nicht beantwortet wird, naja.
 
Da frage ich AVM wirklich, wenn das Nichtantworten auf Ping so wertvoll ist: Warum ist das dann nicht in den Werkseinstellungen der Fritzbox schon voreingestellt? :confused:
 
Zuletzt bearbeitet:
  • Like
Reaktionen: chrisulin
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.