Aktuelle Zugriffsversuche auf extern erreichbare FritzBoxen

[Barungar]

Hallo zusammen,

zur Zeit gibt es eine Welle von Zugriffsversuchen auf FritzBoxen, die über das Internet ihre GUI bereitstellen.

Berichte dazu bei Born-City und Golem:
https://www.borncity.com/blog/2024/...me-die-per-internet-erreichbar-sind-mrz-2024/
https://www.golem.de/news/per-fernz...de-fritzbox-router-zu-kapern-2403-183042.html

 

[the other]

Moinsen,
guter Hinweis! Danke dafür...auch wenn ich keinen Zugriff von extern erlaubt habe.
Es geht eben zu wie im Wilden Westen. Kurz davor gab es ja auch einige Meldungen zu Scan-Versuchen / Anmeldeversuchen bei Synology NAS, meist via Anklopfen am typischen openVPN Port (default UDP 1194).
Mal schauen, ob da noch Licht ins Dunkel nachgereicht wird, von wo diese Versuche kommen...die IP wird im Artikel ja genannt. Laut meiner Suche gehörend zu hostingmailto058.statics.servermail.org...wobei die Seite vermutlich auch nicht direkt was damit zu tun hat sondern wie so oft missbraucht wird für den Kram.

 

[blurrrr]

Neu ergatterte Datensätze müssen doch schliesslich auch mal ausprobiert werden, oder?

EDIT: Vielleicht war ja doch ganz kurz mal unter fritz.box etwas anstössiges (muss ja nicht lange sein), einfach mal eine Stunde laufen lassen und dann mal schauen, was sich da so angesammelt hat... Das könnte man jetzt im Nachgang verkauft haben und irgendwer probiert es jetzt aus

 

[the other]

Moinsen,
oder "der böse Russe" denkt sich: HA! Wenn schon die oberste Militärführung so unsicher kommuniziert, dann versuchen wir es doch bei den anderen auch mal. Scannen, huch: offener https Port! > Anmeldeversuch mit den üblichen Verdächtigen (Passwort, Passwort1234, 1234...).
So oder so: immer wieder eine gute Gelegenheit um daran zu erinnern, dass nicht jedes Gerät immer erreichbar von außen sein muss (und sollte). Die Anwender*innen sollten sich eben immer auch die Frage stellen: Nur weil das Teil es KANN...a) brauche ich das? b) weiß ich so gut, was ich da tue, dass ich es dem Nachbarn erklären kann? c) gibt es bessere Alternativen als eine Exposition von http(s) Ports auf so wichtige Geräte?
Aber was red ich...

 

[blurrrr]

"der böse Russe"

Das ist dann jetzt aber schon eher Ami-like

a) brauche ich das?

Natürlich!

b) weiß ich so gut, was ich da tue, dass ich es dem Nachbarn erklären kann?

Klar, hier klicken, da klicken, schon klappt das mit der Handy-App auch von unterwegs!

c) gibt es bessere Alternativen als eine Exposition von http(s) Ports auf so wichtige Geräte?

Warum? Funktioniert doch!

Aber was red ich...

Einsicht ist der erste Schritt zur Besserung...

Aber unter'm Strich wäre es ja schon nicht verkehrt, wenn man sich - aufgrund dieser Info - auch mal mit alternativen Zugriffsmöglichkeiten beschäftigen würde. Mit der Wireguard-Implementierung ist es ja auch recht einfach geworden (wobei es vorher auch kein Hexenwerk war). Dagegen spricht dann allerdings wieder - wie immer - die Bequemlichkeit und damit ist man wieder beim alten leidigen Thema

 

[pompom]

Warum sperrt ihr nicht die IP (193.46.255.151), die ist doch bekannt? Internet -> Listen -> Blockierte IP-Adressen: bearbeiten!

 

[the other]

Moinsen,

Warum sperrt ihr nicht die IP (193.46.255.151), die ist doch bekannt?

ich gebe einfach die Fritzbox nicht per https ins Internet frei. Wenn (falls) ich da dran muss, dann per VPN. Punkt. Und gefühlt alle paar Tage ne neue IP auf die Blockliste stellen ist mir (als Faultier) einfach zu doof...ist hier aber auch ein etwas anderer Netzwerkaufbau und soll am Ende ja auch jedeR selbst wissen, wie das gelöst werden soll.
Ich habe daher keine Dienste, die aus dem Netz erreichbar sind, bis auf die nötigen VPN Ports.

 

[Mavalok2]

a) brauche ich das?

Viel hilft viel und um so tolliger. Es ist keine Frage von Brauchen, sondern von Haben.

Warum sperrt ihr nicht die IP (193.46.255.151), die ist doch bekannt?

Dann würde ich aber auch die 193.46.255.153 sperren. Letzten Monat war es anscheinend die. Welche es nächsten Monat sein wird weiß noch niemand. In den Logs von den geöffneten FB wird man es dann sehen.

 

[RudiP]

Warum sperrt ihr nicht die IP (193.46.255.151), die ist doch bekannt? Internet -> Listen -> Blockierte IP-Adressen: bearbeiten!

Weil die FritzBox das von sich aus macht ? Versuch dich mal mit einem falschen Kennwort anzumelden.
Das machst Du 2 mal, 3 mal, spätestens beim 4 mal läuft ein Timer, der jeden weiteren Loginversuch unterbindet. Ich weiß jetzt nicht, bis zu wieviel Minuten der hoch geht, aber ein Hacker hat auch nicht ewig Zeit und wenn er nach jedem Fehlversuch 5 Minuten warten muß, gibt er bzw. sein Rechner sicher irgendwann mal auf.
Ich kann mich jetzt irren, meine aber, das die Fritzbox selbst in der Lage ist, Internet Adressen zu sperren, die ihr komisch vorkommen, z.B. bei DDOS Attacken. Ob das jetzt auch beim Anmeldeversuch funktioniert, weiß ich nicht.
Ich denke aber, jeder, der ein halbwegs vernünftiges Paßwort hat, muß sich keine Sorgen machen.
Und wer immer noch als Passwort "Passwort" eingibt, sorry, aber selbst Schuld. Lasst die Finger von Dingen, wo ihr keine Ahnung von habt und holt euch Hilfe vom Fachmann.

 

[Digedag64]

Lasst die Finger von Dingen, wo ihr keine Ahnung von habt und holt euch Hilfe vom Fachmann.

Ich mag die feine (Selbst)Ironie solcher Ausagen ;-)

 

[RudiP]

Ich mag die feine (Selbst)Ironie solcher Ausagen ;-)

Welche Ironie ?

 

[pompom]

Und du bist ein Fachmann?

 

[RudiP]

Definiere Fachmann.
Ich denke schon, das ich mehr Ahnung habe, als manch Gelegenheits Computernutzer.
Und da ich damit auch noch Geld verdiene, muß da wohl was dran sein.
Und nein, ich kenne mich garantiert nicht in allen Bereichen eines Computer und dessen Periphere aus. Aber ich glaube, solche Cracks bzw. Neerds sind auch selten.

 

[mkonline]

Ich kann mich jetzt irren, meine aber, das die Fritzbox selbst in der Lage ist, Internet Adressen zu sperren, die ihr komisch vorkommen, z.B. bei DDOS Attacken.

Ja, du irrst dich. Die Fritzbox sperrt nichts automatisch. Und DDoS Attacken gehen in den seltensten Fällen von einer oder wenigen IP Adressen aus.

 

[RudiP]

Hmmm, beides habe ich so auch nicht gesagt.
Die Fritzbox legt bei einem erfolglosen Login Versuch eine Pause ein und diese wird immer länger, je mehr erfolglose Versuche es gab.
Keine Ahnung, wie weit die das treibt, aber sie sperrt einen Angreifer damit auch erst mal aus.
Das DDos Attacken in aller Regel aus Bot Netzen und damit unzähligen IP's kommen, ist klar. Dennoch meine ich gelesen zu haben, das Firewalls das durchaus erkennen und dann halt komplett dicht machen.
Sprich, auch Du kommst von extern eben nicht mehr dran.

 

[Mavalok2]

Vielleicht sollte man an dieser Stelle zwischen blockieren und sperren unterscheiden und definieren, was jeder damit meint.

Ich kann in der Fritzbox auf jeden Fall keine automatische Sperrliste finden, wohl eine, die manuell eingepflegt werden muss.



Auch im Handbuch kann ich nichts diesbezüglich finden. Aber ich lasse mich gerne belehren.

Online-Handbuch Fritzbox 7490

IP-Sperrliste für einkommende Verbindungen einrichten​

IP-Adressen, die in der IP-Sperrliste eingetragen sind, können keine Verbindungen zur FRITZ!Box aufbauen. Somit haben Sie die Möglichkeit, einkommende Verbindungen von bestimmten IP-Adressen zu blockieren.

Brute-Force-Angriffe werden oftmals über lange Zeit von den gleichen Servern durchgeführt. Wenn die IP-Adresse eines solchen Servers in der IP-Sperrliste eingetragen ist, dann werden Angriffe, die von diesem Server kommen, abgewehrt.

Beachten Sie für Einträge in IP-Sperrliste​

Tragen Sie in die IP-Sperrliste die IP-Adressen ein, deren Verbindungsanfragen an die FRITZ!Box blockiert werden sollen. Für die Liste gelten folgende Regeln:

• In den Werkseinstellungen ist die Liste leer.
• Sie können einzelne IPv4- und IPv6-Adressen eintragen.
• Sie können IP-Subnetze eintragen. IP-Subnetze werden in Präfix-Darstellung eingetragen (z. B.: 1.2.8.0/24). Für IPv4-Subnetze sind Netzgrößen von 20 bis 32 erlaubt. Für IPv6-Subnetze sind Netzgrößen von 48 bis 128 erlaubt.
• Sie können maximal 64 Einträge in die Liste vornehmen.
• Trennung der Listeneinträge durch Leerräume: Einträge in die Liste werden durch Leerräume getrennt. Ein Leerraum kann ein Leerzeichen sein, mehrere Leerzeichen oder auch ein Zeilenumbruch.
• In den Supportdaten werden alle gesperrten IP-Adressen aufgelistet.
• Verbindungsversuche von gesperrten IP-Adressen werden nicht in die Ereignisliste aufgenommen.

Anleitung: IP-Sperrliste einrichten​

1. Öffnen Sie die FRITZ!Box-Benutzeroberfläche.
2. Klicken Sie im Menü auf InternetFilter und auf den Tab Listen.
3. Klicken Sie unter IP-Sperrlisten auf bearbeiten.
4. Tragen Sie in die Liste gesperrter IP-Adressen die IP-Adressen ein.
5. Speichern Sie mit Übernehmen.

 

[mkonline]

Hmmm, beides habe ich so auch nicht gesagt.

das die Fritzbox selbst in der Lage ist, Internet Adressen zu sperren, die ihr komisch vorkommen, z.B. bei DDOS Attacken.

 

[RudiP]

Ach darauf war das bezogen. Ich schrieb ja, kann mich irren.
Wo hab ich das den nur gesehen, das IP's selbstständig gesperrt werden können.
Windows Firewall macht sowas doch auch nicht.

 

[mkonline]

IP Ban können vermutlich einige Firewalls.
Pfsense
Palo Alto
Fortinet
Sophos
...
Nur um mal ein paar zu nennen


Aber die Fritzbox ist halt ein Router

 

[blurrrr]

Und nein, ich kenne mich garantiert nicht in allen Bereichen eines Computer und dessen Periphere aus. Aber ich glaube, solche Cracks bzw. Neerds sind auch selten.

Na dann ist ja jut, dass es nicht nur (Endanwender)-"Computer" gibt Btw das ist eh alles relativ... die einen Schrauben, haben mehr Ahnung von der Hardware, die anderen prügeln sich halt mit dem Software-Müll rum, das ist eh alles nur noch eine Suppe und keiner machts wirklich besser. Würde mich jetzt wer nach einem neuen Rechner zum zocken fragen... pfff... keine Ahnung... Bei Windows-Problemen ist man dann wieder eher im Technet unterwegs (für irgendwelche Würgarounds)... ist doch alles Käse... besser man geht einfach mit allem in die Cloud, da kann man dann eh nix mehr machen...

Wo hab ich das den nur gesehen, das IP's selbstständig gesperrt werden können.

Mit "Firewall" hat das erstmal "nix" zu tun und es ist auch nicht Hersteller-spezifisch, denn von denen hat niemand das Rad neu erfunden. In der Regel sitzt da einfach nur ein fail2ban drunter, welches anhand von Jails (Filter und Aktionen) Dinge durchführt. Normalerweise wird da ein Jail angegeben, was z.B. auf bestimmte Regex-Ausdrücke in einem Log achtet und falls da was auftaucht (z.B. 3x hintereinander innerhalb von x Minuten) wird eine Aktion durchgeführt.

Theoretisch würde da auch eine Netinstall (Linux/BSD) reichen, Firewall drauf (iptables/nftables/ufw/whatever), fail2ban dazu, Jail definieren (Regex -> Log = Aktion), fertig. Default ist meines Wissens nach aber noch immer iptables.

Windows Firewall macht sowas doch auch nicht.

Sowas kann man im fail2ban-Stil aber nachbauen, einfach nach o.g. Prinzip. Irgendwas überwacht die Logs und führt entsprechende Aktionen bei Treffern aus.