Darf ein Provider auf meinem Router einen Benutzer erstellen und sich einloggen?

[redjack1000]

Wie kommst Du darauf, das der Provider, einen neuen Benutzer angelegt hat?

Im Logfile ist davon nichts zu sehen.

CU
redjack

 

[CFish]

@Moep der Benutzer war sicher nicht da. Hatte ich auch schon geschrieben. Wie ich ebenfalls geschrieben habe, geht es mir nicht um das Protokoll und ich habe nichts gegen _Fern_wartung.
Ich denke, wir fangen hier an, uns im Kreis zu drehen.

Ergänzung (24. März 2025)

@Redjack ich habe wegen der Probleme die Benutzeroberfläche täglich aufgerufen. Ich kann dir versichern, dass der Benutzer zu der Zeit nicht vorhanden war und ich habe ihn nicht angelegt. Sonst müsste ein ähnlicher ja auch bei allen FB Besitzern vorhanden sein.

 

[nutrix]

Der Name des Providers trägt ja auch nicht das Geringste zu Klärung des eigentlichen Sachverhaltes bei.

Ich verstehe jetzt ehrlich gesagt auch Dein Problem hier nicht, den Provider zu nennen. Natürlich trägt es bei, wenn man ihn kennt, damit man selbst mal nachschauen kann.

 

[redjack1000]

@CFish

Leg mal einen Benutzer an und schaue was im Logfile protokolliert wird.

CU
redjack

 

[sikarr]

Ich kann nichts darüber finden, dass zu diesem Protokoll auch gehört, Benutzer anzulegen, diesen unsichere Rechte zuzuweisen und vor Ort, also auf dem Router, Einstellungen zu ändern.

die Grafik zeigts eigentlich ganz gut

Was glaubst du was man noch über http und https erreichen kann?

 

[qiller]

Was glaubst du was man noch über http und https erreichen kann?

Ich petze mal, die FB-Konfigurationsseite?

 

[Marco01_809]

Bisher haben wir nur einen Log-Auszug gesehen. Da ich TR-069 u.Ä. immer sofort deaktiviere habe ich keinen Vergleich wie/ob reguläres TR-069 geloggt wird. Für mich lesen sich die Log-Einträge aber so als ob es wirklich einen vollwertigen FRITZ!Box Benutzer gibt über den ein Angreifer sich Zugriff auf deinen Router verschafft hat. Ob es sich dabei um den Internetanbieter handelt oder nicht. Von dem Benutzernamen lassen sich hier einige zu leicht überzeugen. Der Name ist frei wählbar und meine Tastatur kann ganz zufällig auch die Zeichenfolge "TR069" eintippen.

Mag der TE bitte einmal klarstellen ob der Benutzer auch unter System -> FRITZ!Box-Benutzer gelistet wird? Am Besten mit einem Screenshot. Ganz Interessant wäre auch die Ansicht Internet -> Zugangsdaten -> Anbieter-Dienste und ob in Internet -> Freigaben -> FRITZ!Box Dienste der Internetzugriff erlaubt ist.

Sofern noch nicht geschehen würde ich dringend eine Sicherung anlegen (im scheinbar manipulierten Zustand) und mir die vollständige Liste der Ereignisse speichern.

Was glaubst du was man noch über http und https erreichen kann?

Das hat doch gar nichts miteinander zu tun nur weil auf irgendeiner Ebene das Protokoll das gleiche ist. ACS bzw. TR069 läuft über einen ganz anderen Port! Wenn man über die TR-069 Schnittstelle unmittelbar auf das Webinterface kommt wäre das eine schwere Sicherheitslücke im FRITZ!OS, Internet-Zugriff auf das Webinterface muss schließlich extra unter Internet -> Freigaben -> FRITZ!Box-Dienste erlaubt werden.

 

[WhiteHelix]

wäre das eine schwere Sicherheitslücke

Achwas, warum steht TR069 wohl schon ewig in der Kritik. Der Artikel ist von 2014, nur mal so. https://www.golem.de/news/misfortune-cookie-das-offene-luecke-auf-port-7547-1412-111375.html

@CFish FritzBox Logs waren schon immer Mist, so spezifisch wie du das haben möchtest gibts zumindest auch in der GUI für Telefonie nix. Könnte ich regelmäßig kotzen bei Telefonie Problemen, aber ist halt nunmal ein Consumer Gerät. TR069 ausschalten oder damit leben.

 

[Eddy021771]

Also, ein wenig kontextbezogenen und gesunden Menschenverstand erwarte ich dann doch von den Mitlesenden. Eine Antwort auf so einen Quatsch spare ich mir, denn mir fallen nur unfreundliche Sachen ein und Mutti hat mal gesagt: wenn du nichts nettes zu sagen hast, halt einfach die Fresse.

Ich muss ja wirklich sagen... Mutti hat Recht :-)

 

[Marco01_809]

Achwas, warum steht TR069 wohl schon ewig in der Kritik. Der Artikel ist von 2014, nur mal so. https://www.golem.de/news/misfortune-cookie-das-offene-luecke-auf-port-7547-1412-111375.html

Danke aber ich saß in dem Vortrag . Ich würde eher Doppeltes NAT in Kauf nehmen als mein LAN an einen Router mit TR-069 zu hängen. Zum Glück hinfällig da wir die Routerfreiheit haben.

Aber dennoch bezweifle ich dass man bei FRITZ!Boxen über den Server der auf Port 7547 lauscht auch an das Webinterface kommt das ja nur auf Port 80 und 443 lauschen sollte. Was die TR-069/369 Implementation in der FRITZ!Box alles kann ist mir mangels Quellcode unbekannt, aber es wäre natürlich denkbar dass es möglich ist darüber einen FRITZ!Box-Benutzer zu erstellen und den Internetzugriff aufs Webinterface zu aktivieren.

 

[iad]

Hallo,

Ende letzten Jahres bin ich zu einem neuen Internetprovider gewechselt und habe seit dem nur Schwierigkeiten. Zunächst ist die DSL-Verbindung fast jeden Tag zusammengebrochen, dann konnten mich Gesprächspartner nach 15 Minuten nicht mehr hören und finden gleichzeitig Download statt, dann kracht es heftig in der Leitung. Der Kundenservice ist schlichtweg unterirdisch.

Statt einen Nebenkriegsschauplatzthread mit Namen "Nutzer erstellt durch ISP und damit Routerzugriff - darf der das überhaupt?" ins Leben zu rufen, wäre es schon längst viel wichtiger gewesen, dem Provider anständig Druck zu machen, mit dem Ziel dass dein Anschluss störungsfrei läuft.

Ergo:
Schreibe deinem ominösen ISP (dass du den nicht nennen willst/wirst, nächstes Mal direkt in den Startpost schreiben, damit hätten sich dann die Fragen dazu geändert in "Warum willst du den Provider nicht nennen??" ( )) eine Email.

Setze eine Frist (Eigeninitiative: Suchmaschinen helfen zu dem Thema) und kündige nach Ablauf.
Falls Rechtsschutzversicherung vorhanden und dieser Bereich eingeschlossen ist: Anwalt werkeln lassen.
Ist nicht leicht zu machen, außerdem droht noch eine "Zwangsofflinezeit" dazu, aber sehr viele würden sowas nicht so wie du, über Monate laufen lassen.

 

[WhiteHelix]

Anwalt werkeln lassen.

Und was soll der machen?

 

[Sykehouse]

Was die TR-069/369 Implementation in der FRITZ!Box alles kann ist mir mangels Quellcode unbekannt, aber es wäre natürlich denkbar dass es möglich ist darüber einen FRITZ!Box-Benutzer zu erstellen und den Internetzugriff aufs Webinterface zu aktivieren.

Ich kann dir und allen, die hier so rege spekulieren, aus sehr guter Quelle versichern, dass genau das möglich ist und zwar nicht nur bei Fritzboxen...

 

[CFish]

@Marco01_809 in der Tat, ich denke auch, wenn ich den Namen des Benutzers gänzlich geändert hätte, würden wir hier nicht über dieses Protokoll diskutieren. Schließlich ist der frei wählbare Name der einzige Hinweis darauf.



Ich nehme an, dass reguläres TR-069 auf die Art geloggt wird: "Der Dienstanbieter hat erfolgreich Einstellungen an dieses Gerät übertragen." Die Einträge bleiben nun nämlich aus.

Anbieterdienste sind nun alle deaktiviert, bis auf "Automatische Einrichtung durch den Dienstanbieter..." Das ist aktiviert und ausgegraut.

Internetzugriff ist deaktiviert (kann aber nicht mehr sicher sagen, seit wann)

@iad werde ich mir zu Herzen nehmen und beim nächsten Mal im Titel alle Themen mit erwähnen, über die ich nicht sprechen möchte.
Womit willst du dem Provider denn drohen? Der behauptet, es liegt nicht an ihm, also beweise es mal. Und mit Anwälten scheinst du nicht viel zu tun zu haben. Ich habe zuletzt 450 Euro dafür bezahlt, dass sich einer von denen 15 min lang ein paar Emails durchgelesen hat und mir sagte, seiner Meinung nach hätte die Angelegenheit keine Aussicht. Die Kosten, auch für eine Versicherung, sind höher, als das, was ich dem Provider für eine vorzeitige Kündigung zahlen müsste.


Aktueller Stand: ich habe AVM auf ihre Standardnachricht ausführlichst geantwortet und bin, auch durch die Erkenntnisse in diesem Thread, etwas deutlicher geworden. Auf Antwort wird gewartet.

 

[iad]

Womit willst du dem Provider denn drohen? Der behauptet, es liegt nicht an ihm, also beweise es mal.

Sag mal, alles gut bei dir? Wenn ein Inetanschluss dermaßen schlecht funktioniert, dann droht man mit Kündigung. Wenn der ISP nicht fähig ist, die Störungen zu beseitigen, dann beendet man den Vertrag nach Ablauf der Frist.
- Die Beweisführung schließt vorallem Logfiles des Routers ein und die hast du gerade mit einer Fritzbox unkompliziert schwarz auf weiß in der Hand (per Ausdruck oder Screenshots).

Und mit Anwälten scheinst du nicht viel zu tun zu haben. Ich habe zuletzt 450 Euro dafür bezahlt, dass sich einer von denen 15 min lang ein paar Emails durchgelesen hat und mir sagte, seiner Meinung nach hätte die Angelegenheit keine Aussicht.

Spielt überhaupt keine Rolle ob ich viel oder wenig, bzw. überhaupt etwas mit Anwälten zu tun habe, zumal ich explizit das Wort Rechtsschutzversicherung verwendete in meiner Ausführung.
Wenn du keine Rechtsschutzversicherung hast, ist das Thema doch sofort erledigt und deine Anmerkung mit den horrenden Kosten, die du ohne RSV schon gezahlt hast für einen ganz anderen Fall, ist irrelevant und vorallem unnötig hier zu erwähnen. Dass Anwälte nicht für 20 Euro Stundenlohn arbeiten, ist weltweit bekannt!

 

[1lluminate23]

Wenn es ein Leihgerät ist, kann/darf ein Techniker mittels Protokoll TR069 Zugang zum Gerät bekommen.

 

[iad]

Und das vorallem um Störungen auf Kundenseite zu verstehen und ggfls. sogar abzustellen, eher nicht um einfach nur zu "spionieren".

Falls der Zugriff nicht erlaubt ist/war und trotzdem stattgefunden hat, müsste der TE ja dann doch einen Anwalt hinzuziehen, der dann eine Klage gegen den ISP in die Wege leitet....

IMO ist dieser Thread nach wie vor unnötig, weil an der falschen Stelle angesetzt.
Hier einen Thread zu eröffnen (klar, mit 10fach verpixelten Daten welche nicht an die Öffentlichkeit sollen!) schon nach spätestens einer Woche seit Bestehen des fehlerhaften Anschlusses, wäre zielführender gewesen.

 

[CFish]

@1lluminate23

Es ist kein Leihgerät. Zugang ist, wie beschrieben, aber nicht gleich Einloggen.

Wenn dir MS (o.a.) Software-Updates auf deinen Rechner schickt, dann kann man das als Fernwartung bezeichnen. Das kann man auch +- problemlos abschalten.

Es wäre aber wohl unter den täglichen Schlagzeilen der Presse zu finden, wenn sich ein MS Techniker unerlaubt auf deinem Rechner einloggt.

TR-069 ist ein Protokoll mit dem zwei Rechner kommunizieren. Damit können Informationen abgerufen und in der anderen Richtung Aktionen auf dem angesprochenen Rechner ausgelöst werden (z.B. Ändern von Einstellungen).

Ähnlich dem http, was hier gerade benutzt wird. Du rufst Informationen ab, die dir der Browser grafisch aufbereitet. Und du kannst in Gegenrichtung auch senden, wie z.B. diesen Text.

Dafür muss aber keiner auf dem BS des Servers einen Nutzer anlegen, sich dort einloggen und sich die Daten vor Ort besorgen.

Wenn man sich das TR-069 genauer anschaut, z.b. bei broadband-forum, dann wird man auch keine Möglichkeit dazu finden.

 

[qiller]

Hab mich ehrlich gesagt nie mit TR-069 beschäftigt. Ich wusste nichtmal, dass TR-069 einfach HTTP benutzt. Heißt das jetzt eigentlich, dass dann aufm Router ne Art Webserver auf irgendnem Port läuft und von außen erreichbar ist? Klingt irgendwie ungesund.

Und die deutsche Wiki schreibt:

TR-069 beschneidet die Privatsphäre und den Datenschutz der Endanwender. Es erlaubt dem Provider, automatische Aktualisierungen in DSL-Router einzuspielen. Diese können sogar zielgerichtet für bestimmte Benutzer oder Benutzergruppen eingerichtet werden. Insbesondere vor dem Hintergrund der „Online-Durchsuchungen“, von Abhörbefugnissen[2] und ähnlichem kann das für den Benutzer gravierende Folgen haben. Um datenschutzrechtlich auf der sicheren Seite zu stehen, bieten DSL-Router deshalb in der Konfigurationsoberfläche die Möglichkeit, „Anbieterdienste“ zu aktivieren oder zu deaktivieren. Im Fall einer Deaktivierung ist der Kunde allerdings selbst dafür verantwortlich, seine CPE-Firmware stets aktuell zu halten (Schutz gegen Cyberangriffe).

Zudem ermöglicht es TR-069 auch, andere Geräte zu konfigurieren, die sich im „sicheren Bereich“ hinter der Box oder dem Modem befinden, also hinter der Firewall.[3] Durch Fernzugriff könnten so auch Daten auf bestimmten Kundengeräten, auf die der Netzbetreiber Zugriff hat, geändert oder gelöscht werden. Durch sein Funktionsprinzip stellt TR-069 daher eine Backdoor dar, deren Existenz vielen Endkunden nicht bekannt ist und über deren Möglichkeiten sie sich nicht bewusst sind.

 

[Nochneuhier]

Über TR-69 ist sogut wie jeder Router erreichbar. Es sei denn, man hat es deaktiviert. Ich z. B. habe einen gemieteten Speedport Smart 4 und Bedingung ist das TR-69 aktiviert bleibt.