.titleBar { margin-bottom: 5px!important; }

Sichherheit: FritzBox!Fon WLAN Dienst auf Port 8089

Dieses Thema im Forum "Firewalls" wurde erstellt von approx26, 31 Jan. 2007.

  1. approx26

    approx26 Neuer User

    Registriert seit:
    31 Jan. 2007
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,

    betreibe eine FritzBox!Fon WLAN mit originaler Firmware.

    Ein Scan mit nmap(von außen) ergab u.a. folgenden offenen Port: 8089.
    Dies ist merkwuerdig, da der Port nicht geforwardet wird und
    laut webinterface der Fritzbox auch nicht geoeffnet ist.

    Nachfolgend ergab
    nmap -sS -sV host -p 8089
    den folgenden fingerprint:
    SF-Port8089-TCP:V=4.11%I=7%D=1/31%Time=45C09101%P=i686-pc-linux-gnu%r(GetR
    SF:equest,1A,"HTTP/1\.1\x20404\x20Not\x20Found\r\n\r\n")%r(FourOhFourReque
    SF:st,1A,"HTTP/1\.1\x20404\x20Not\x20Found\r\n\r\n");

    Der Dienst ist meinem nmap (Version 4.11) also unbekannt.

    Wuerde jetzt gern wissen, was das auf sich hat. Ist vielleicht
    die firmware der fritzBox manipuliert worden (rootkit o.ä.?)

    Gruesse
     
  2. Ecki-No1

    Ecki-No1 IPPF-Promi

    Registriert seit:
    28 Mai 2006
    Beiträge:
    6,280
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Beruf:
    selbständiger PC-Techniker
    Ort:
    im geilen Süden (48.04°N 11.52°O)
    hm, google sagt dazu: apache-administration-server oder Remoting in Microsoft .net
    Bei mir sind folgende Ports (stehen nicht bei Portfreigabe drin) von außen erreichbar:
    21: ftp
    110: pop3
     
  3. DM41

    DM41 Moderator
    Forum-Mitarbeiter

    Registriert seit:
    26 Apr. 2005
    Beiträge:
    7,115
    Zustimmungen:
    19
    Punkte für Erfolge:
    38
    Ort:
    Niederrhein
    Doch, wird er. Auszug aus der ar7.cfg:

    Code:
                            forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
                                           "udp 0.0.0.0:7078 0.0.0.0:7078",
                                           "udp 0.0.0.0:7079 0.0.0.0:7079",
                                           "udp 0.0.0.0:7080 0.0.0.0:7080",
                                           "udp 0.0.0.0:7081 0.0.0.0:7081",
                                           "udp 0.0.0.0:7082 0.0.0.0:7082",
                                           "udp 0.0.0.0:7083 0.0.0.0:7083",
                                           "udp 0.0.0.0:7084 0.0.0.0:7084",
                                           "udp 0.0.0.0:7085 0.0.0.0:7085",
                                           "udp 0.0.0.0:7086 0.0.0.0:7086",
                                           "udp 0.0.0.0:7087 0.0.0.0:7087",
                                           "udp 0.0.0.0:7089 0.0.0.0:7089",
                                           "udp 0.0.0.0:7090 0.0.0.0:7090",
                                           "udp 0.0.0.0:7091 0.0.0.0:7091",
                                           "udp 0.0.0.0:7092 0.0.0.0:7092",
                                           "udp 0.0.0.0:7093 0.0.0.0:7093",
                                           "udp 0.0.0.0:7094 0.0.0.0:7094",
                                           "udp 0.0.0.0:7095 0.0.0.0:7095",
                                           "udp 0.0.0.0:7096 0.0.0.0:7096",
                                           "udp 0.0.0.0:7097 0.0.0.0:7097",
                                           "tcp 0.0.0.0:8089 0.0.0.0:8089",
    Die ersten Ports braucht die Box für VoIP. Wofür 8089 benötigt wird, weiß ich nicht.
     
  4. approx26

    approx26 Neuer User

    Registriert seit:
    31 Jan. 2007
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #4 approx26, 31 Jan. 2007
    Zuletzt bearbeitet: 31 Jan. 2007
    Also erst mal vielen Dank fuer die bisherigen Antworten mit einer
    sagenhaften response-time!!!

    @ecki-no1

    Es laeuft kein entsprechender Dienst im lokalen Netzwerk. Wie gesagt,
    es erfolgt ueber die Firewall Filterregeln kein EXPLIZITES forward oder Oeffnen.

    @DM41

    Es waere interessant dies naeher zu untersuchen fuer potentielle
    Sicherheitsluecken o.ä.. Bereits jetzt koennte man gezielt
    Anschluesse, die diese FritzBox nutzen, ausfindig machen.
    Kann ueber das Webinterface jedenfalls kein forward dieses Ports
    erkennen (wird dann vermutlich nicht angezeigt).

    Also ein
    telnet host 8089
    bringt mich vorerst nicht groß weiter. Es ist relativ still, außer
    das die Verbindung steht.

    Waere an weiteren Informationen sehr interessiert nicht zuletzt
    fuer ein update der nmap-Datenbank auf
    http://www.insecure.org/cgi-bin/servicefp-submit.cgi
    .

    Gibt vielleicht avm Auskunft ueber die Funktion dieses Dienstes?
     
  5. DM41

    DM41 Moderator
    Forum-Mitarbeiter

    Registriert seit:
    26 Apr. 2005
    Beiträge:
    7,115
    Zustimmungen:
    19
    Punkte für Erfolge:
    38
    Ort:
    Niederrhein
    Der einzige sinnvolle Zusammenhang, den ich mir ergoogeln konnte, war, dass die Administration Server von z.B. Apache und IIS oft auf Port 8089 laufen. Vielleicht gab es da so häufig Probleme mit, dass AVM den Port generell weiterleitet...

    Probier es aus. ;-)
     
  6. approx26

    approx26 Neuer User

    Registriert seit:
    31 Jan. 2007
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Benoetige fuer eine Frage bei avm
    die Serienr des Geraetes. Geht z.Z. leider nicht,
    weil ich remote arbeite.

    Werde mich aber demnaechst mal darum kuemmern.
     
  7. tomacco

    tomacco Neuer User

    Registriert seit:
    22 März 2006
    Beiträge:
    147
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    Systemadministrator
    Es ist zwar seit Deinem Post eine Ewigkeit vergangen, aber mich würde interessieren, was Dir AVM geantwortet hat.
     
  8. approx26

    approx26 Neuer User

    Registriert seit:
    31 Jan. 2007
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    habe leider nicht mehr bei AVM nachgefragt.

    Tut mir leid, Dir keine genaueren Infos geben zu koennen.
     
  9. dynamic

    dynamic Aktives Mitglied

    Registriert seit:
    1 Apr. 2006
    Beiträge:
    1,154
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Der Port 8089 wird m.W. für tr069 verwendet, worüber u.a. die ISPs ( z.B. Freenet, 1&1 usw. ) remote gewisse Konfigurationsänderungen und Updates Deiner Box durchführen können.

    ... und ist evtl. auch nützlich für den Bundestrojaner ;-)

    Gruß
    dynamic
     
  10. jailbird

    jailbird Neuer User

    Registriert seit:
    4 Feb. 2008
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    0