FRITZ!Box 7390 Labor-Firmware Version 06.21-29575 vom 05.12.2014

Stimmt, aber wenn da einer manipuliert, seh ich das.

Ich bin mir allerdings nicht sicher, ob da nochmal was passiert ...
 
Ich bin mir allerdings nicht sicher, ob da nochmal was passiert ...
Das müßtest Du Dir ja fast wünschen ... wenn wieder mehrere Kunden betroffen sind, wird da sicherlich eher gesucht und auch eher eine Verantwortung für einen Fehler - sollte so einer sich wieder eingeschlichen haben oder noch immer bestehen - übernommen, egal was da in der Präambel zur Labor-Version steht.

Bleibst Du ein Einzelfall, ist die Annahme eines Fehlers (und damit dessen Suche) in der AVM-Firmware eher unwahrscheinlich, man sehe sich nur den zeitlichen Ablauf bei der Lücke im Januar an. Bis da überhaupt das offizielle Eingeständnis der Möglichkeit eines Fehlers in der Firmware zur Diskussion stand, ist man auch erst einmal in der Öffentlichkeitsarbeit alle anderen denkbaren und undenkbaren Szenarien durchgegangen, weil nicht sein konnte, was nicht sein durfte.

Andererseits hast Du Dich bisher noch nicht dazu geäußert, ob Du wirklich nach dem Einspielen des webcm-Fixes damals auch alle Credentials wirklich neu gesetzt hattest, die Appelle (samt Begründung) dafür waren ja eigentlich nicht zu überhören.

Auch ansonsten sollte es sich herumgesprochen haben, daß mit den am Anfang des Jahres (und sicherlich auch schon eine Weile davor) erbeuteten Credentials auch im Nachhinein noch Schindluder getrieben wurde. Der Appell vom 26.09. hat AVM sicherlich auch einiges an Überwindung gekostet (den imho immer noch falschen Umgang mit Sicherheitslücken in der eigenen Software - einfach Verstecken und Verschweigen, es wird schon keiner finden - mal unterstellt) ... da wächst so langsam Gras über die Sache und dann muß AVM noch selbst das Kamel sein, welches das wieder abfrißt; das ist für mich nur mit einer doch nicht so geringen Zahl von Vorfällen noch im September zu erklären, auch wenn das mangels Offenheit und veröffentlichter Zahlen naturgemäß nur eine Spekulation sein kann.
 
H'Sishi : Wenn du Problemem mit Fritz Ticker hast, es gibt und benutze ich auch BoxToGo. Obwohl ich bei beiden noch nie Probleme hatte, BoxToGo liefert noch paar Inifos mehr nach einen Telefonat, wie Ort bzw. Land er Vorwahl wird direkt angezeigt. Und du kannst mit Button klicks direkt auf die Box drauf.

Kann ich nur Empfehlen.
 
Seit ich gestern nachmittag die Zugänge dichtgemacht und das interne IP-Telefoniegerät gelöscht habe, ist Ruhe eingekehrt. Keinerlei Telefonate mehr, die nicht von meinen Geräten geführt wurden. So weit, so gut.

Ich hab bei AVM nen Ticket aufgemacht; ich hoffe sie melden sich zeitnah zwecks weiterer Untersuchungen. Die erste Frage war, ob ich das Update eingespielt habe. Als ich gesagt hab "die Beta vom 5. Dezember diesen Jahres", hat die Dame beim Support ohne spezielle Rückfragen das Ticket aufgemacht.

-----------

Bei der KriPo habe ich heute Anzeige erstattet. Ich hoffe, morgen werde ich von einem Spezialisten angerufen, der mir dann genau sagt, was er an Info's, Logs usw. braucht.

-----------

Inzwischen weiß ich dank der IP-Sprachtelefonie-Logs (Telefonie -> Telefoniegeräte -> Sprachübertragung), von woher etliche der Telefonate initiiert wurden ... die Protokolle listen die IP's 176.58.65.176 und 37.8.28.115 auf, beide laut Whois auf Palästinenser-Territorium. Dürfte also schwer werden, da jemanden zu belangen - ich jedenfalls fahr da nicht freiwillig hin.
Außerdem hatte eine Gegenstelle eine IP aus einem internen Adreßbereich - 192.168.137.1. Unglücklicherweise geht aus den Logs nicht die öffentliche IP dieses "Nutzers" hervor.

Blöderweise ist der Log-Puffer für die IP-basierte Sprachtelefonie begrenzt ... somit habe ich nicht alle Ursprünge zu den Telefonaten in den Logs. Eventuell können AVM oder die Spezialisten der KriPo etwas aus den Supportdaten-Mails rausholen - die Frage ist, ob die sich wegen knapp 1100 Euro die Supportdaten antun - immerhin 37 Files zwischen 500 und 900 kB.
Ich vermute, ich hab so viele Mails bekommen, weil dieser Log-Puffer volllief.

Wo genau in den Supportdaten-Mailanhängen befinden sich denn die IP-Logs? Eventuell stehen weitere IP's drin.
 
Zuletzt bearbeitet:
Hallo H'Sishi,

ich drücke die mal die Daumen, dass VF die Kosten übernimmt. Da dieses Problem ggf. auch andere betreffen könnte, wäre es allerdings sehr interessant ob du denn damals sämtliche Logindaten geändert hast.

Solltest du diese Info hier nicht öffentlich preis geben wollen, wäre ich dir dankbar, wenn du mir eine kurze PM zukommen lassen würdest. Dann würde ich ggf. auf die letzte final gehen, zwecks Haftung, und das hier weiter beobachten.

Danke im Voraus und viel Erfolg bei VF.
 
Bis jetzt ist die Rechnung noch nicht geschrieben, vorher kann ich also keinen Einspruch einlegen bzw. die Auslandstelefonate beanstanden. Das kann ich dann erst nächsten Monat ...

Ich hab AVM alle Fragen beantwortet und die verlangten Supportdaten zukommen lassen; mal sehen was sie daraus erkennen. Das Gleiche werde ich kommende Woche bei der KriPo machen, wenn sich der Sachbearbeiter bei mir meldet.

Übrigens gab es gar keine Auffälligkeiten mehr, seit ich Fernwartung sowie Benutzerzugang aus dem Internet gesperrt und das fragliche IP-Telefonie-Gerät entfernt habe. Vielleicht kann / muss ich AVM dazu mal fragen, wenn ich die Antwort mit den ersten Erkenntnissen habe.

Außerdem weiß ich noch immer nicht, wo genau in den Supportdaten-Mailanhängen sich die Sprachqualitäts-Logs der VoIP-Telefonate verbergen :( . Vielleicht beantwortet mir AVM diese Frage; in der allerersten Supportdaten-Mail müßte nämlich die Adresse stehen, von der aus das erste Gespräch (nach Polen) geführt wurde. Ich glaube, daß diese Person die Angriffsstelle gefunden und ausprobiert hat, um sie später an wen auch immer weiterzugeben.
Aber ohne die VoIP-Logs aus der ersten Mail komme ich an dem Punkt nicht weiter ...

Von den IP's, die ich bisher erkennen konnte, führen zwei laut WhoIs in's "Palästinenser-Territorium", eine weitere sieht nach Heimnetzwerk-Adresse aus (192.168.137.1). Aber diesen Adreßraum gibt's bei mir weder im Lokal- noch im Gast-Netzwerk.
 
Hallo,
...eine weitere sieht nach Heimnetzwerk-Adresse aus (192.168.137.1)....
Lt. who.is gehört sie "Internet Assigned Numbers Authority (IANA)".
Was man daraus ablesen kann, ist mir nicht ganz deutlich.
Ich bekam aber letzte Woche eine Spam-eMail, die über diesen Dienst kam, wenn ich den Header korrekt entziffert habe.
Da stand diese IP und dann ein Buchstabensalat u. etwas mit Kabeldeutschland. Ob das nun korrekt ist oder nicht :noidea:
Grüße,
Frank

[EDIT]
Ich bin mir nicht sicher, ob das alles zur Labor-FW gehört. Es kann also sein, das ein Admin hier mal aufräumt.
Ist keine Kritik, aber es besteht ja die Möglichkeit, dass jemand über Deinen PC zugang zur FBF hatte. :noidea:
Nur so am Rande erwähnt.
 
Zuletzt bearbeitet von einem Moderator:
Moin, moin
ich habe jetzt mal die logs durchgeschaut und finde immer um 11:25 (+/- 15 Sekunden) eine Trennung und dann einen Reconnect. Ich habe aber ein VDSL mit fester IP und ohne Zwangstrennung bei den ***********n. Hatte bisher auch nie Probleme damit. Denkt Ihr das kommt von der Box oder von der Telekom? Weiterhin habe ich jetzt Trennungen auf der VPN Verbindung:VPN-Verbindung zu XXX wurde getrennt. Ursache: 3 IKE server
Ich will ne neue Labor Version...
 
ne die Labor ist bei mir deutlich schneller im WLAN :) die sollen nur mal schnell die nächste Version nachschieben ;)
 
Was man daraus ablesen kann, ist mir nicht ganz deutlich.
Der Adreßraum 192.168.x.x ist grundsätzlich bzw. ausschließlich für die Verwendung in Heim- bzw. Unternehmensnetzwerken reserviert:
These addresses are in use by many millions of independently operated networks, which might be as small as a single computer connected to a home gateway, and are automatically configured in hundreds of millions of devices. They are only intended for use within a private context
Ergo hat irgendein VoIP-Client, der meine Bos als SIP-Server mißbraucht hat, nicht die ÖFFENTLICHE IP des Anschlusses übermittelt, sondern die PRIVATE aus seinem LAN.

Mittlerweile bin ich zur Überzeugung gelangt, daß jemand über den offenen SIP-Port der Box gestolpert ist und dann einfach nen Paßwort ausprobiert hat. Nebenstelle 620, die ich für IP-Telefonie über mein S4 für den Internet-Zugriff vorgesehen habe, hat ein langes Paßwort mit Sonderzeichen (BruteForce dürfte eine Weile dauern ...) und die (warum auch immer aus dem Internet zugängliche) Nebenstelle 621, wo vorher eine Fritz!App Fon angemeldet war, scheint ein kürzeres und / oder unsichereres PW gehabt zu haben. Ich hoffe, AVM erzählt mir da was Näheres, ggfs. auf Nachfrage von mir. Und bessert dann die automatisch eingerichteten Paßwörter nach ...

SF1975 schrieb:
Ich bin mir nicht sicher, ob das alles zur Labor-FW gehört. Es kann also sein, das ein Admin hier mal aufräumt.
Ist keine Kritik, aber es besteht ja die Möglichkeit, dass jemand über Deinen PC zugang zur FBF hatte.
Ist auch nicht als (bös gemeinte) Kritik angekommen :) . Falls ein Admin die Postreihe zu dem Problem auslagern möchte, nur zu.

Ich nahm ja an, daß das ein Fehler dieser Firmware ist, da ich die in Benutzung habe - deswegen mein Post mit der Warnung.

Zugang über den PC denke ich nicht - der war noch vor dem Start und nach dem Beenden der Telefon-Orgie ausgeschaltet. Danach waren es ca. 6 bis 7 Stunden, wo keinerlei Mißbrauchstelefonate geführt wurden, bevor ich die Zugänge dichtgemacht habe. Hätte jemand über den PC was machen können, hatte er genug Chancen, meine Änderungen rückgängig zu machen ...
 
Fehler in Zusammenhang mit dem MT-F bei der Auswahl der Abgangsrunummer.
Wähle ich die auf *124* liegende Internetrufnummer wählt er die auf *114* liegende Festnetznummer aus.

Hat jemand von Euch etwas ähnliches beobachtet?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.