Cyberattacke?

[milchreis]

Hallo,

seit einer Woche habe ich folgendes Problem. Jemand versucht auf meine Fritzbox zu unterschiedlichen Zeiten zu gelangen. Er schafft es nicht, da er ja das Kennwort nicht kennt. Nachdem ich gestern den Besitzer der IP 95.211.213.4 angeschrieben habe und eine vom Computer generierte Antwort erhalten habe, wurde es heute mit einer geänderten IP 95.211.187.132 wieder versucht.
Eigentlich dürfte meine Fritzbox nicht zu sehen sei, da sie hinter eier Speedport Hybrid betrieben wird.

Die Frage ist, was kann man tun. Hilft eine Strafanzeige gegen die Firma, da sie hier in Deutschland auch eine Niederlassung hat.

 

[Hancock]

Tja, wie kann er auf die Fritzbox zugreifen, wenn "sie nicht zu sehen ist"?
​Wenn du im Speedport den Modem-Modus aktiviert hast, ist die Fritzbox sehr gut zu sehen, da kommen dann regelmäßig Leute mit portscans.
​Sollte der Hybrid nicht im Modem-Modus sein, musst du nur den passenden Port zumachen, dann hast du Ruhe. Alles andere ist ein Kampf gegen Windmühlen.

 

[cartridge_case]

Du hast eine IP-Adresse angeschrieben?

 

[BlubbsDE]

Cyberattacke und Strafanzeige? Was hat die IP denn bei Dir versucht?

Und wenn Du Teil des Internets bist, dann musst Du wohl damit leben, dass ständig jemand versucht, Kontakt zu Dir aufzunehmen.

 

[DanielJEBerlin]

Du hast eine IP-Adresse angeschrieben?

Ziemlich simpel oder nicht? Whois und zack, alle Infos, man könnte sogar mal da anrufen...

 

[smuper]

Die Frage ist, was kann man tun. Hilft eine Strafanzeige gegen die Firma, da sie hier in Deutschland auch eine Niederlassung hat.

Ursache bekämpfen. Es dürfte gar keine Möglichkeit geben von außen auf die FB zugreifen zu können.

 

[arvan]

Also erstmal, solltest du schauen über welchen Zugang es versucht wird (MyFritz DNS?), das geht aus deinem Text nicht hervor, welches Kennwort wird versucht zu knacken?


remarks: Please send all abuse notifications to the following email address: email@nl.leaseweb.com. To ensure proper processing of your abuse notification, please visit the website www.leaseweb.com/abuse for notification requirements. All police and other government agency requests must be sent to email@nl.leaseweb.com.

Hast du da hingeschrieben?

 

[milchreis]

Also versucht wurde auf die FritzboxBenutzeroberfläche, user, admin und ftpuser zu kommen. Der Vorgang wurde abgebrochen, da jeweils das falsche Kennwort eingegeben wurde laut Fritzbox-Protokoll.

Leaseweb habe ich angeschrieben und nur eine computergenerierte Antwort erhalten. Das was sich daraufhin geändert hat, ist die IP, nämlich von 95.211.213.4 auf 95.211.187.132

 

[Raijin]

Bitte mal ganz von vorne. Hier wurden diverse Dinge angesprochen, denen du scheinbar keinerlei Beachtung schenkst.

Wie genau ist die Fritzbox bei dir verkabelt und wie genau sind Fritzbox und Speedport konfiguriert?

1) Ist die Fritzbox als Access Point oder als Router konfiguriert und angeschlossen?
2) Ist in der Fritzbox ein DDNS (zB MyFritz) aktiviert?
3) Ist der Speedport als Modem oder als Router konfiguriert?
4) Ist im Speedport eine Portweiterleitung auf die Fritzbox eingerichtet?
5) Wo genau siehst du die vermeintlichen Angriffe? Ggfs Auszug aus dem Log, o.ä. posten

Solange du diese Fragen nicht eindeutig beantwortest, können wir dir nicht wirklich helfen. Nicht selten werden "Angriffe" nämlich durchaus schlicht und ergreifend fehlinterpretiert..

 

[milchreis]

Speedport und Fritzbox arbeiten wie folgt zusammen:

1. Fritzbox ist als Router konfiguriert und läuft hinter Speedport (siehe http://lubensky.de/hybrid/).
2. MyFritz ist aktiviert.
3. Speedport ist als Router konfiguriert und stellt die Verbindung zum Internet her.
4. Im Speedport ist eine Portweiterschaltung eingerichtet für die Internettelefonie. Das Heimnetz und die Telefonie werden über
die Fritzbox betrieben. Für MyFritz gibt es im Speedport einen DDNS.
5. Die Angriffe sehe ich in der Fritzbox - System - Ergebnis (siehe Bilder) ;

 

[Hancock]

Dann ist ja alles so, wie es zu erwarten ist. Natürlich gibt es auf den MyFritz-Port Attacken, so lange es unter 100/Tag sind, ist alles gut. Einfach ignorieren.

 

[Andreas_]

Mit der eingerichteten Portweiterleitung ist die Fritzbox auch hinter dem Speedport sichtbar. Da wirst Du mit derartigen Einlogversuchen leben müssen, solange Du die Portweiterleitung beibehältst.

 

[BalthasarBux]

Welche Ports sind denn freigeschaltet? Ich hoffe nicht Port 80? Muss die Admin-Oberfläche von der FritzBox erreichbar sein, nur wenn man Internettelefonie hat? Sollte sich diese Internettelefonie halbwegs frei konfigurieren lassen, kann man außen (Speedport) auch einen anderen Port angeben, damit Anmeldeversuche/Portscans direkt ins Leere laufen?

 

[Andreas_]

Nach der verlinkten Anleitung ist Port 80 weitergeleitet.
https://lubensky.de/hybrid/webserver.htm

Ansonsten beschreibt die Anleitung auch die Möglichkeit, den Fernzugriff auf die Fritzbox zu erlauben. Der TE hat sich dazu nicht geäußert.

 

[Hayda Ministral]

Also versucht wurde auf die FritzboxBenutzeroberfläche, user, admin und ftpuser zu kommen.

Das würde ich schon als Einbruchsversuch werten. Meine Reaktion wäre es einen Honeypot aufzusetzen und mit dessen Logs (gegebenenfalls, je nachdem was da versucht wird) eine Anzeige gegen Unbekannt zu stellen.

 

[Raijin]

Eine Anzeige bringt in der Regel herzlich wenig. Wer einmal einen Server im Netz hatte, weiß, dass da Hunderte von Portscans am Tag mit anschließenden Wörterbuchattacken vollkommen normal sind. Deswegen sollte ein Laie ja keinen Server online stellen. Automatisierte Logins auf FTP Ports, ssh Ports und dergleichen sind Standard.

Port 80, also die GUI eines Routers sollte man niemals ungeschützt dem Internet preisgeben! Die Konfigurationsseiten eines (Consumer)Routers sind schlicht und ergreifend für die lokale Konfiguration gedacht und nicht zur Fernadministration. Man setzt sich einem ungeahnten Risiko aus, wenn man diese durch eine Portweiterleitung aus dem www zugreifbar macht. Teilweise gibt es in den WebGUIs nämlich Hintertüren, Standard-Logins oder dergleichen. Gab vor ein paar Jahren mal einen Fall bei den Speedports wo man mit dem Kennwort 0000 oder so immer in die GUI kam....

(Nacktes) FTP sollte man auch tunlichst nicht im www freigeben. Reines FTP ist unverschlüsselt und überträgt sogar Logins in Klartext. Wenn FTP, dann eine der verschlüsselten Varianten SFTP bzw. FTPS.

Im übrigen finde ich die Konfiguration der Fritzbox hinter dem Speedport als Router etwas befremdlich. Damit hat man doppeltes NAT, was nicht wirklich empfehlenswert ist. Ja, so ein Setup kann funktionieren und kann auch unter Umständen sinnvoll sein, aber bitte nicht machen, nur weil man bei google ein Tutorial gefunden hat und das da eben so gemacht wurde... Der Sinn dahinter muss auch für den Tutorialnutzer tatsächlich sinnvoll sein, sonst bastelt man eine Konfiguration, die für den eigenen Gebrauch vollkommen untauglich ist.

 

[omavoss]

LetsEncrypt erwartet zur Aktualisierung des Zertifikats, dass die Ports 80 und 443 offen sind. Die Aktualisierung muss spätestens nach 90 Tagen erfolgen. Es wird also eine automatisierte Aktualisierung nicht möglich sein, wenn zum Zeitpunkt der Aktualisierung die Ports geschlossen sind.
Was kann man tun, außer einen Merkzettel zu verfassen, worauf der Termin der Aktualisierung des Zertifikats vermerkt ist und dementsprechend die Ports 80 und 443 öffnen und danach sofort wieder schließen?

 

[bluebox]

...

ergänzend dazu ist noch anzumerken, daß myfritz für die telefoniefunktion im gegensatz zur annahme des te auch nicht erforderlich ist, sondern nur für den fernzugang.

generell halte ich die ganze anleitung und den sinn des konstrukts auch für fragwürdig. aber gut, der urheber ist techniker beim großen "T", der wird schon wissen, was er macht ...

 

[milchreis]

Bei der Fritzbox ist nur der Port 443 freigeben. Ich werde in mal schließen, da ich ihn nicht ständig brauche und dann sehen, ob es noch weitere Angriffe gibt.

 

[Raijin]

Da Consumer Router - auch die Fritzbox - nicht unbedingt für ihre unknackbare Sicherheit bekannt sind, greife ich grundsätzlich ausschließlich via VPN aus der Ferne auf einen Router zu. Wobei ich mich ehrlich gesagt schon frage was du da überhaupt ständig zu suchen hast. Ich war seit Ewigkeiten nicht mehr in meinem Router eingeloggt.