Fritz Werksreset mit Einstellungs-Wiederherstellung Viren/Trojaner entfernt?

[Archon2k5]

Hallo zusammen,

ich wollte mal fragen, wie es sich bei einer Fritz 7590 mit dem Werksreset und der anschließenden Wiederherstellung der Einstellungen und Viren/Trojaner verhält.
Ich möchte mal einen Werksreset durchführen, um sicher zu gehen, dass keine Viren/Trojaner auf der Fritz plaziert wurden.
Hintergrund ist, dass ich gestern ein komisches Erlebnis mit einem Fimen-Admin und einem Firmen-Laptop hatte, der über das Laptop via Fernzugang in meinem Netzwerk war.

Jetzt die Frage: Wenn was auf der Box sein sollte und ich die Einstellungen sichere, wird dann mögliche Schadsoftware mit gesichert und durch Wiederherstellen zurück auf die Box übertragen?
Oder werden rein nur die Einstellungen gesichert?
Im 1. Fall wäre es nur durch komplette Neukonfiguration möglich, die Box wirklich wieder komplett clean zu bekommen.
Da hab ich eigentlich keine Lust drauf, da die Box auch Mesh-Master ist und das einiges an Arbeit ist.
Ansonsten wäre ein Werksreset sowieso mal sinnvoll, da der nach dem 8.20-Update noch nie gemacht wurde.

 

[Bruzla]

Hast du konkrete Hinweise für eine Kompromittierung der FritzBox? Das geht nicht so einfach.
Wie lief dieser Fernzugang denn GENAU ab? Was kam dir komisch vor?

Wenn du das ganze derart ernst nimmst, dann langt es nicht, nur die FritzBox platt zu machen, dann musst du jedes Gerät im Netzwerk plattmachen / neuinstallieren / zurücksetzen.

Ich bezweifle aber stark, dass überhaupt etwas davon nötig ist.

In der FitzBox mal die Logs angeschaut? Auf dem PC mal Malewarebytes laufen lassen?

 

[redjack1000]

Frage: Wenn was auf der Box sein sollte und ich die Einstellungen sichere, wird dann mögliche Schadsoftware mit gesichert und durch Wiederherstellen zurück auf die Box übertragen?
Oder werden rein nur die Einstellungen gesichert

Da das Gerät in deinen Augen kompromitiert ist, solltest Du keine Einstellungen sichern. Genauso kann man nicht sagen ob der Trojaner durch einen Werksreset entfernt wird.

CU
redjack

 

[chrigu]

Fimen-Admin und einem Firmen-Laptop hatte, der über das Laptop via Fernzugang in meinem Netzwerk war.

Ähm, ja. War das ein interner Admin oder externer? Bei intern bitte direkt mit dem Personalchef eine Kündigung anfordern.
Fernzugriff der fritzbox ins firmennetz muss deaktiviert bleiben da ziemlich unsicher. Wenn schon Zugriff von aussen dann nur über Wireguard VPN.
Ein werkseset mit ändern des Passwort für den Zugang der Box reicht. Eventuell wenn ein usbstick an der Fritz hängt, diese komplett formatieren oder auf schadware kontrollieren

 

[Azghul0815]

Ich halte das für eher Unwahrscheinlich, aber wenn dann müsste vermutlich ein komplettes Recovery her

 

[kraehe82]

Die Einstellungen in der Export Datei sind Klartext. Mit ein bisschen Verstand kann man das mal durchackern und verstehen. Da könnte man eine Kompromitierung sehen.

 

[Micha-]

Gibt es konkrete Zweifel an der Sicherheit der FritzBox? Also verwendest du eine veraltete FW oder ist die Box outdated?

 

[gaym0r]

Fernzugriff der fritzbox ins firmennetz muss deaktiviert bleiben da ziemlich unsicher. Wenn schon Zugriff von aussen dann nur über Wireguard VPN.

Ich glaube du hast ihn falsch verstanden. Er meint, dass der Admin via Teamviewer (o.ä.) auf seinem Firmen-Laptop, der im Heimnetz ist, war.

 

[Engaged]

Wenn du eine VPN Verbindung mit der Firma hattest, dann war er über dein Laptop in deinem Netzwerk, das hat doch nichts mit Viren und Trojanern zu tun, sondern hört sich so an als wenn es nicht im gäste-netzwerk gewesen ist.

 

[crsye]

Was ist mit Fernzugang gemeint? Irgendwas über die FritzBox oder eine andere Software, die für den Zugriff verwendet wurde (Teamviewer, Anydesk, ...)? Interner oder externer Admin?

 

[Azghul0815]

Die Wahrscheinlichkeit, dass dein Arbeitgeber via VPN auf dem Firmen Laptop war und nebenbei noch dein privates Netzwerk oder die Fritte komprimiert hat....
Wo arbeitest du, dass du solchen Sorgen hast? Wenn sich das bestätigen würde, wäre das ja eine Straftat der AG

Oder ich hab das ganze falsch verstanden, dann bitte mal genauer aufklären.

 

[flo222]

Also für mich hört sich das auch sehr danach an, als ob da ein Admin sich auf den Firmenrechner geschaltet hat. Ein erst mal normaler Vorgang wenn Du im VPN des Arbeitgeber hängst, und bei uns Gang und Gäbe wenn es beispielsweise um IT-Tickets geht. Solange ich nicht im VPN hänge, findet keiner meinen PC, deswegen werde ich bei einem bestehenden Ticket auch aufgefordert, bitte das Firmen-VPN zu aktivieren, damit sich jemand aufschalten kann. Aber auch das Aufschalten muss eigentlich noch aktiv bestätigt werden, heimlich sollte sowas nicht erfolgen.

Solltest Du aber konkrete Bedenken haben, dass hier eine Eintrittstür besteht, würde ich über einen Wechsel der eigenen Netzwerk-Hardware nachdenken, um dich zukünftig aktiv zu schützen. Ich habe im Home Office meinen Rechner und das Firmenhandy in einem eigenen VLAN mit eigener SSID hängen, und dieses VLAN ist komplett gekapselt von meiner privaten Umgebung. Hier wird keinerlei Kommunikation zugelassen, von beiden Seiten nicht. Damit schütze ich mein Netzwerk vor etwaigen Fehlern auf Arbeitgeber-Seite, und schütze meinen Arbeitgeber vor etwaigen Fehlern in meinem Netzwerk.

 

[Scirca]

Also ich finde der Autor sollte hier nochmal deutlich genau das Sachverhalt aufklären, das klingt viel zu schwamming als das es irgendwie Sinn ergibt.
Also was ist genau passiert, wieso hast du den Verdacht das deine Fritte kompromitiert wurde, welcher Admin, also jemand bei dem du arbeitest.

Sry aber das ist alles so halbgar angesprochen das es mehr Rätselraten ist als irgendwie möglich ist zu helfen.

 

[areiland]

@Scirca
Ja, vor allem hört sich Firmen-Admin jetzt nicht nach unberechtigten Zugriff an. Der wird also dann kaum irgendwas kompromittiert haben.

 

[iron_monkey]

Hintergrund ist, dass ich gestern ein komisches Erlebnis mit einem Fimen-Admin und einem Firmen-Laptop hatte, der über das Laptop via Fernzugang in meinem Netzwerk war.

Du hast das Firmennotebook im Heimnetz hängen und nicht am Gastzugang, damit kannst du dann von deinem Firmengerät alles im Heimnetz sehen.

Wenn der Admin sich per Remoteverwaltung auf deinen Firmenlaptop schaltet, ist das so, als ob er sich davor setzt bei dir Zuhause, er kann dann auch alles sehen.

Dafür nutzt man den Gastzugang, im Gastnetz sind dann deine anderen Geräte nicht erreichbar, auch nicht für dich von deinem Firmennotebooks aus und somit auch nicht für den Admin.

 

[Bruzla]

@iron_monkey Im Gastzugang funktionieren oft mal die VPN-Clients nicht weil nötige Ports nicht offen sind.

 

[iron_monkey]

@Bruzla

War mir nicht bewusst, mein AG hat da keine Probleme.

 

[JumpingCat]

Du hast das Firmennotebook im Heimnetz hängen und nicht am Gastzugang, damit kannst du dann von deinem Firmengerät alles im Heimnetz sehen.

Nein das muss nicht so sein. Kommt immer drauf an wie man das VPN und den Laptop eingerichtet hat.
Ein Setup des Laptops mit "der sieht nur den VPN Endpunkt" ist ein nicht ganz so unüblicher Setup wenn man Wert auf Sicherheit legt.

@Archon2k5 Auch die Fritzbox könnte einen Trojaner nach einem Reset behalten. Idealerweise wirfst du alles sofort weg was auch nur irgendwie in deinem Netzwerk hing. Natürlich inklusive Mailaccounts, etc weil theoretisch hätte man dort auch Passwörter klauen und weitere Zugänge hatte einrichten können.

 

[crsye]

Wir sind haben mit dem FortiClient auch auf einen (fast) Full-Tunnel umgestellt. Die Anwender kommen damit dann natürlich nicht mehr an lokale Ressourcen (Drucker, NAS, ...), aber es sind halt Firmengeräte.

 

[Scirca]

@crsye Ja aber hier geht's es nicht darum wie Standardmässig ein Firmen VPN Tunnel konfiguriert wird, sondern wo den das eigentliche Problem überhaupt liegt, wenn es den überhaupt eines gibt.
Aktuell gibt es nur einen Anfangspost nicht eine weitere Antwort vom Ersteller was den genau Phase ist.