[Frage] Merkwürdige Anmeldeversuche im FB Log

[gixmo]

Hallo Leute,

habe heute ins FB Log gesehen und dort komische Anmeldeversuche entdeckt,
versucht da etwa jemand aus dem Internet in meine Box zu kommen ?

Die 7590 ist im Router Modus hinter einem anderen dummen Router am WAN.

In diesem arbeitet ein Dyn Dns Dienst mit Portfreigabe zur FB um auf meine FB von unterwegs ein VPN Zugang herstellen zu können, über die Dyn Adresse (wenn man sie kennt) gelangt man auch zur FB Login Seite.

Was kann/sollte ich machen?

hatte überlegt den dyndns Namen zu ändern samt Pw

 

[koyaanisqatsi]

Moinsen


Muss nichts Ungewöhnliches sein
Wenn mir sowas auffällt ändere ich einfach die IP über...
Internet > Online-Monitor > [Neu verbinden]
...oder, einfach den HTTPS Zugang deaktivieren, sofern er nicht benutzt wird, weil sowieso nur VPN genutzt wird?
Nichtsdestotrotz ist das Scannen von DynDNS Domains über "Big Brothers Searchengines" schneller als mit nmap.

hatte überlegt den dyndns Namen zu ändern samt Pw

...würde dir also auch nicht unbedingt helfen.

 

[genuede]

ich würde im erweiterten Modus der FB unter Internet > Filter > Listen den Stealth Mode einschalten.

 

[HabNeFritzbox]

Alles nicht neu.

https://www.ip-phone-forum.de/threads/angriff-auf-fritzbox.289077/
https://www.ip-phone-forum.de/threads/angriffe-auf-meine-fb-7490-von-extern.297894/
https://www.ip-phone-forum.de/threads/hackerangriffe-oder-was-bedeuten-diese-meldungen.289251/
usw.

 

[KunterBunter]

den Stealth Mode einschalten

Geht vollkommen am Problem vorbei. Das sind doch Anmeldeversuche über HTTPS.

 

[stsoft]

Die einfachst Lösung NICHT den standard https Port verwenden sondern einen anderen >10000 wählen

 

[gixmo]

@genuede stealth mode war an.

@koyaanisqatsi habe Https Zugang deaktiviert, da für mein vpn nicht benötigt.

Danke für die schnelle Rückmeldung!

 

[koyaanisqatsi]

Moinsen

NICHT den standard https Port verwenden sondern einen anderen >10000 wählen

Nein, die Bots finden auch die zufälligen Portnummern und bieten sie feil, wenn sie einmal da drauf gewesen sind und die Meta Tags durchwühlt haben...
https://metager.de/meta/meta.ger3?eingabe=site:myfritz.net+login&submit-query=&focus=web

@gixmo - Sei froh, dass AVM so weise ist/war die Scans auf den SIP Port UDP/TCP 5060 nicht im Ereignislog aufzuführen, die finden sich aber trotzdem in den Support Daten und können so richtig Paranoia verursachen.
...und die Telefonie wird normalerweise immer benötigt und kann deswegen auch nicht mal so eben deaktiviert werden.
Diese "Vorenthaltung" nenn ich immer wieder gerne: Die Brille die bei Gefahr undurchsichtig wird ( Frei nach: Hitch Hikers Guide )

 

[HabNeFritzbox]

Wurde doch schon alles diskutiert, siehe #4.

 

[koyaanisqatsi]

Na und? - Ich halte mich halt an @PeterPawn seinen Signaturspruch.

 

[FunkReich]

Die einfachst Lösung NICHT den standard https Port verwenden sondern einen anderen >10000 wählen

security by obscurity? Ist nur eine Frage der Zeit einmal paketmitschnitt unter https://fritz.box/start?sid=0000000000000000&lp=support aktivieren und staunen wieviele ports im sekundentakt 24/7 abgeklappert werden.

 

[HabNeFritzbox]

Der Link ist unnötig lang, einfach http://fritz.box/?lp=support oder http://fritz.box/support.lua

https für bei internen Hostnamen führt auch nur zu unnötigen Warnmeldungen.