Vor dem Vermuten hättest du vielleicht etwas mehr lesen sollen... Es waren auch Boxen betroffen, bei denen noch nie MyFritz drauf war...
- Status
Es wurde nicht über die Webseite gemacht. Wäre aber effizenter gewesen.
Meine These ist dass die IP Bereiche gescanned haben. Deswegen auch so viele Kabelkunden. Kleine IP Bereiche, hohe Auslastung und viele "Zwangs" Fritzboxen.
Übrigens wollte ich darauf hinaus, dass ein User viele Anfragen von unterschiedliche IPs sieht. Dies kann ua an diesen Sachen liegen. Leider hat er nicht nachgedacht und nur "myFritz nutze ich nicht" geschrieben.
Hab ich auch nicht behautet. Hier wurde sich nur gefragt warum so viele Zugriffe uns unterschiedlihen dt Netzen stattfinden...das wäre eine möglichkeit
Zuletzt bearbeitet von einem Moderator:
Also nochmal: Ich habe MyFritz noch nie benutzt. Ich hatte nie Fernzugänge zu meinen Boxen. Ich habe auch keine Verbindung zwischen MyFritz und den 400 Zugriffsversuchen in sieben Stunden auf meine Box hergestellt. Was ich geschrieben habe ist, daß
1. die Zugriffszahlen in sieben Stunden dem Siebenfachen des Durchschnitts für 24 Stunden entsprechen
2. auffällig oft von der gleichen IP Port 80 und Port 443 versucht wird und
3. die Mehrzahl dieser IP-Bereiche in den Bereich von Providern fallen, mit denen ich kein Vertragsverhältnis habe (Stichwort: Telekom Security Team).
Punkt 2 und 3 kann man, glaube ich, meinen Logs weiter oben entnehmen.
Alle diese Zugriffe kommen aus IP-Bereichen, die vor diesem Zeitraum entweder nie oder im deutlich geringerem Umfang Verbindungsversuche auf die Box unternommen haben. Bei Bedarf kann ich zu Vergleichszwecken auch Logs aus anderen Zeiträumen hier einstellen.
Ich war erstaunt über 1. die Anzahl und 2. die Absender der Verbindungsversuche. Einen plausible Erklärung für beides konnte ich bisher hier nicht lesen.
1. die Zugriffszahlen in sieben Stunden dem Siebenfachen des Durchschnitts für 24 Stunden entsprechen
2. auffällig oft von der gleichen IP Port 80 und Port 443 versucht wird und
3. die Mehrzahl dieser IP-Bereiche in den Bereich von Providern fallen, mit denen ich kein Vertragsverhältnis habe (Stichwort: Telekom Security Team).
Punkt 2 und 3 kann man, glaube ich, meinen Logs weiter oben entnehmen.
Alle diese Zugriffe kommen aus IP-Bereichen, die vor diesem Zeitraum entweder nie oder im deutlich geringerem Umfang Verbindungsversuche auf die Box unternommen haben. Bei Bedarf kann ich zu Vergleichszwecken auch Logs aus anderen Zeiträumen hier einstellen.
Ich war erstaunt über 1. die Anzahl und 2. die Absender der Verbindungsversuche. Einen plausible Erklärung für beides konnte ich bisher hier nicht lesen.
sf3978
IPPF-Promi
- Mitglied seit
- 2 Dez 2007
- Beiträge
- 8,014
- Punkte für Reaktionen
- 28
- Punkte
- 48
Hier auch kein MyFritz und kein Fernzugang zur Box, aber eine Umleitung des Port 443 in der Box zu einem "Honigtopf". Kurz danach, der erste Versuch:
Code:
19:02:04.018771 IP (tos 0x0, ttl 242, id 54321, offset 0, flags [none], proto TCP (6), length 44)
93.###.##.51.53540 > 192.168.178.21.[color=red]443[/color]: Flags [S], cksum 0x676f (correct), seq 3002498369, win 65535, options [mss 1460], length 0
Code:
:~$ curl ipinfo.io/93.###.##.51
{
"ip": "93.###.##.51",
[color=red]"hostname": "server.anonymous-hosting-service.com",[/color]
"city": null,
"region": null,
[color=red]"country": "NL",[/color]
"loc": "52.5000,5.7500",
"org": "AS29073 Ecatel Network"@ sf3978: Du bist vermutlich mehr Netzwerker als ich ...
Darf ich da herauslesen, daß bei Dir ein ähnliches "Problem" auftrat ? Wenn ja, auch in diesem Ausmaß ?
Bei der IANA erscheint der Block 93.0.0.0/8 als nicht assigned ... ?!
Und hast Du eine Idee, warum derart viele Provider-Netzevertreten sind ?
Ich bin verwirrt ...
Grüße,
JD.
Darf ich da herauslesen, daß bei Dir ein ähnliches "Problem" auftrat ? Wenn ja, auch in diesem Ausmaß ?
Bei der IANA erscheint der Block 93.0.0.0/8 als nicht assigned ... ?!
Und hast Du eine Idee, warum derart viele Provider-Netzevertreten sind ?
Ich bin verwirrt ...
Grüße,
JD.
Zuletzt bearbeitet:
Die IP ist ja auch ned unbedingt 93.0.0.51, sondern wurde unkenntlich gemacht.
Und wie kommt ihr drauf, dass man ein Problem hat? Wenn 443 auf andere Gerät weitergeleitet wird, ist der Angriff doch misslungen, weil die FB da nicht mit dem Webinterface reagiert mit der Schwachstelle.
Und wie kommt ihr drauf, dass man ein Problem hat? Wenn 443 auf andere Gerät weitergeleitet wird, ist der Angriff doch misslungen, weil die FB da nicht mit dem Webinterface reagiert mit der Schwachstelle.
sf3978
IPPF-Promi
- Mitglied seit
- 2 Dez 2007
- Beiträge
- 8,014
- Punkte für Reaktionen
- 28
- Punkte
- 48
Nein, meine Box ist nicht gehackt worden. Mit dem Loggen der Zugriffe auf den Port 443 habe ich jetzt erst angefangen.
whois ergibt:
Code:
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '93.174.93.0 - 93.174.93.255'
% Abuse contact for '93.174.93.0 - 93.174.93.255' is '[email protected]'
inetnum: 93.174.93.0 - 93.174.93.255
netname: NL-ECATEL
descr: ECATEL LTD
descr: Dedicated servers
descr: http://www.ecatel.net/
country: NL
admin-c: EL25-RIPE
tech-c: EL25-RIPE
status: ASSIGNED PA
mnt-by: ECATEL-MNT
mnt-lower: ECATEL-MNT
mnt-routes: ECATEL-MNT
source: RIPE # Filtered
role: Ecatel LTD
address: P.O.Box 19533
address: 2521 CA The Hague
address: Netherlands
abuse-mailbox: [email protected]
remarks: ----------------------------------------------------
remarks: ECATEL LTD
remarks: Dedicated and Co-location hosting services
remarks: ----------------------------------------------------
remarks: for abuse complaints : [email protected]
remarks: for any other questions : [email protected]
remarks: ----------------------------------------------------
admin-c: EL25-RIPE
tech-c: EL25-RIPE
nic-hdl: EL25-RIPE
mnt-by: ECATEL-MNT
source: RIPE # Filtered
% Information related to '93.174.88.0/21AS29073'
route: 93.174.88.0/21
descr: AS29073, Route object
origin: AS29073
mnt-by: ECATEL-MNT
source: RIPE # Filtered
% This query was served by the RIPE Database Query Service version 1.71 (WHOIS4)sf3978
IPPF-Promi
- Mitglied seit
- 2 Dez 2007
- Beiträge
- 8,014
- Punkte für Reaktionen
- 28
- Punkte
- 48
Naja, ich denke diese Provider bieten verschiedene Internet-Dienste an, wie z. B. VPN oder hier "server.anonymous-hosting-service.com", die von den Angreifern benutzt werden.
EDIT:
Evtl. sind das (teilweise) auch gehackte Rechner oder Server, von denen die Angriffe auf die FritzBoxen ausgeführt werden.
Zuletzt bearbeitet:
Ich meinte eher die Anzahl und die Ursprünge der Verbindungsversuche ...
Nochmal konkret: Meine Erfahrung sind pro Tag ca. 60 bis 70 Verbindungsversuche, davon von einer IP seltenst mehr als drei Versuche. Alle Versuche einer IP zielen "normalerweise" auf einen Port (meistens 80). In einigen Prozent der Fälle zielt eine IP einmal auf Port 80 und dann einmal auf Port 22. Aber ein Ausmaß der von mir geposteten Logs, in dem eine IP jeweils abwechselnd auf Port 80 und Port 443 versucht (und das einige Male), war mir neu.
sf3978
IPPF-Promi
- Mitglied seit
- 2 Dez 2007
- Beiträge
- 8,014
- Punkte für Reaktionen
- 28
- Punkte
- 48
OK, die Ports 80 und 22 erfasse ich ja nicht. Aber 400 Zugriffsversuche in 7 Stunden ist schon auffällig. Ob es da einen Zusammenhang gibt, mit den Angriffen (Port 443) zu den FritzBoxen? Evtl. die source-IP-Adressen speichern, für den Fall, dass weitere Erkenntnisse veröffentlicht werden, und man vergleichen kann.
Zuletzt bearbeitet:
Komisch ist nur dass es so viele Anfragen sind.
Dass die Angreifer die IP Bereiche von verschiedenen Quellen scannen macht durchaus sinn, damit es dem Provider nicht auffaellt.
Aber dass man mehrfach taeglich die selben Bereiche scanned macht nur bei oft wechselnden IPs sinn.
Welcher Provider ist es denn?
Dass die Angreifer die IP Bereiche von verschiedenen Quellen scannen macht durchaus sinn, damit es dem Provider nicht auffaellt.
Aber dass man mehrfach taeglich die selben Bereiche scanned macht nur bei oft wechselnden IPs sinn.
Welcher Provider ist es denn?
Was genau meinst Du ? Meinen Provider oder die Provider, die hinter der Source-Adressen in meinem Post stecken ?
Welche Relevanz soll es zur Sicherheit haben oder er Lücke?
Klärt das doch privat wenn ihr ne IP nicht findet oder wem die gehört.
Klärt das doch privat wenn ihr ne IP nicht findet oder wem die gehört.
Kannst Du auf Deinem "Honigtopf" auch ein Programm laufen lassen, das die HTTPS Verbindung annimmt und den Request aufzeichnet?
Die Frage ist: Steht das erhöhte Anfragevolumen des Nutzers im Zusammenhang mit Missbrauch der Telefonie in den letzten Tagen?
Hier spricht mE einiges dafür, dass es offensichtlich doch massive Portsscans gegeben hat um Frirzboxen in den jeweiligen Netzen aufzuspüren. Offensichtlich waren die Angreifer doch schlau genug die Scans aus verschiedenen Netzen heraus zu machen, was erklären würde, dass die ISPs bis zum Telefonaufkommen keinen Schimmer hatten und völlig überrascht wurden.
Hier spricht mE einiges dafür, dass es offensichtlich doch massive Portsscans gegeben hat um Frirzboxen in den jeweiligen Netzen aufzuspüren. Offensichtlich waren die Angreifer doch schlau genug die Scans aus verschiedenen Netzen heraus zu machen, was erklären würde, dass die ISPs bis zum Telefonaufkommen keinen Schimmer hatten und völlig überrascht wurden.
sf3978
IPPF-Promi
- Mitglied seit
- 2 Dez 2007
- Beiträge
- 8,014
- Punkte für Reaktionen
- 28
- Punkte
- 48
Bis jetzt nicht, aber ich könnte es evtl. mit openssl (aus deinem Beitrag #387) probieren. Welche zusätzliche Erkenntnisse bekommt man, wenn man die HTTPS-Verbindung annimmt?
- Status
Neueste Beiträge
-
[Frage] Gigaset N670 IP PRO - einige grundsätzliche Fragen
- Letzte: tango501
-
Wlan Mesh Problem
- Letzte: Jim DiGriz
-
[Gelöst] Installation Freetz / Freetz-NG
- Letzte: blackstar
-
[Sammlung] AVM-Gateway-kompatible Zigbee-Geräte
- Letzte: rstle
-
FRITZ!Box 7590 - INHAUS - Smart24P1 - 7.90 - Sammelthema
- Letzte: darki2017
-
[Frage] Smarthome im Mesh > 100 Geräte
- Letzte: Netzonline
