Fritzbox 7490 auf Schadsoftware überprüfen

[blurrrr]

Kleiner Nachtrag bevor das irgendwie falsch rüberkommt... Deine Idee dahinter ist ja grundsätzlich auch nicht verkehrt, ich will damit auch nur sagen, dass die Wahrscheinlichkeit eines infizierten (recht verbreiteten) Routers ohne bekannte Sicherheitslücken äusserst gering ist. Da gibt es zig andere Baustellen, an denen man eher ansetzen kann

 

[ProApe]

Router meiden, Brieftauben verwenden.

Finde ich witzig, aber leider nicht umsetzbar

kauft sich einfach einen neuen Router

Ich habe noch den gleichen 7490 unausgepackt. Vielleicht sollte ich den Router mal wechseln, sonst wird der ewig im Karton bleiben.
Ist das eigentlich eine aufwendige Sache? Ich habe nicht den Ueberblick, was das an Einstellungen bedeutet.

Die Geschichte mit der Mail oder auch SMS kann man noch am einfachsten verhindern: wenn eine Mail oder eine SMS ankommt mit einem Link, erst mal Hände weg von der Maus und Gehirn einschalten.

Ich bin aber leider auch schon mal auf solch eine SMS hereingefallen, habe sie GottseiDank erst einige Tage später gesehen und gelesen, und auf den Link geklickt. Ich habe einem Sicherheitsdienst das unterbreitet, und die haben festgestellt, das die Webseite nicht mehr aktiv war. Glück gehabt.

Erst kürzlich habe ich in kurzem Intervall zwei gleichlautende SMS erhalte, ich würde Steuern zurückbekommen. GottseiDank war ich Geistesgegenwärtig genug, nicht in die Falle zu tappen.
Aber diese Betrüger sind mittlerweile so raffiniert, dass man wirklich höllisch aufpassen muß.

Das gilt für Mail und SMS, wenn es aber um DNS usw. geht, da hat der Laie ja keine Chance.

 

[Babsy]

Guten Abend ,

ich grabe diesen etwas älteren Beitrag mal wieder aus , weil ich das Phänomen mit eigenständigen offenen Ports auf der Fritzbox sehr gut selber kannte.

Es ist sehr wohl möglich eine Fritzbox zu hacken und diese durch ein hinzufügen mit einer manipulierten config.dat , so zu verändern das sie zum Beispiel Ports ständig offen hält , Firewall nicht mehr aktiv ist usw. .

Seht euch mal die Beschreibungen von diesen Genie der FB an :

https://www.mengelke.de/Projekte/FritzBox

https://www.mengelke.de/Blog/FritzboxHacken

Soweit meine Theorie jetzt anhand der Anleitungen , müsste es ein Hacker nur erstmal auf den eigentlichen Zielrechner schaffen.

Heutzutage per Exploit & co . auch kein sehr großes Problem mehr für Leute auf hohen IT Level.

Sobald der im selben Netzwerk ist könnte man die FB ansteuern und auch manipulieren.

Bei einen Neustart des Routers sollte es dann ausgeführt sein.

Möglich wäre auch über die config.dat der FB Ports dauerhaft geöffnet zu halten ohne das man es auf der Benutzeroberfläöche erkennt.

Also möglich ist da so einiges. (Wer den Aufwand betreibt , keine Ahnung scheint aber umsetzbar zu sein )

Allerdings ist es sehr wohl möglich und würde insoweit Sinn ergeben , das man ein Zielsystem nicht immer neu angreifen müsste sondern direkt den Router kapert.

Technisch ist da einiges machbar . Die Router von Asus sind ebenfalls sehr anfällig.

https://www.snbforums.com/threads/asus-68u-port-18017-hack.36604/

Wer mit seiner FB nochmal sicher gehen möchte , sollte von der AVM Webseite direkt das Recovery Tool und die neuste Fimrware im Original downloaden und manuell per USB einspielen.

Laut dem Bericht soll es mit der FB sicher sein , nur über den Gastzugang in das Inet zu gehen.

So soll die FB weitesgehend gegen Trojander oder Würmer geschützt sein.

 

[the other]

Moinsen,

Es ist sehr wohl möglich eine Fritzbox zu hacken und diese durch ein hinzufügen mit einer manipulierten config.dat , so zu verändern das sie zum Beispiel Ports ständig offen hält , Firewall nicht mehr aktiv ist usw. .

Klar ist es theoretisch möglich. Wenn du dir die letzten Monate vor dem inneren Auge bzgl Sicherheitsmeldungen und IT nochmal abspulst, dann gab es da einige Hacks, die so vorher unbekannt waren...aber das ist ja das neue Normal. Oder auch das alte...eine Spirale der Eskalation:
1. Unser Produkt ist sicher
1a. Nö, hier sind exploits, bugs, Lücken, alte Software...
2. Wir haben unser Produkt mit einem Sicherheits-Update versehen, es ist wieder sicher
2a Nö, haben wir ausgehebelt / eine neue Lücke entdeckt / eine neue Technik zum "Hacken" benutzt...
3 Wir haben unser Produkt mit einem Sicherheits-Update versehen, es ist wieder sicher
3a usw...

Ich denke aber, dass es meist einfacher ist, ein System (windows PC) HINTER dem Router anzugreifen, das gelingt meist einfacher (Anhang geöffnet, kostenlos was nicht-kostenloses geladen, auf den falschen Seiten gewesen...) Dann wird von dort einfach ins Netz gegangen, da ist dann die Portöffnung egal, denn die Verbindung wird von INNEN initiiert...

Also: die totale Sicherheit gibt es nicht. Dass der Router direkt angegriffen wird, sicher auch...aber vermutlich doch eher etwas dahinter.
Ist immer eine Gradwanderung zwischen "Sicherheit und Bequemlichkeit" sowie zwischen "ist reell gefährlich und Aluhut"...

Ich denke: sicher, schlechte Technik, veraltete Versionen begünstigen sowas. Aber das imho Hauptproblem bzw die Hauptursache für solche Gefahren sitzt auf Layer 8 VOR dem Gerät in der Regel. Und ist update-resistent, faul und kopflos unterwegs...oder einfach neugierig und geizig (Waaaas, boah....das gibt es auf www.xyz-lade-mich-ich-bin-ein-nur-hier-kostenloses-sonst-überall-aber-teures-produkt.com...schnell mal saugen.)

 

[Babsy]

Ich würde sagen , Linux Distrubitionen sind da mittlerweile ebenfalls so betroffen wie Windows Rechner.

100% Sicherheit wird es sicher nie geben , erst Recht nicht für Leute die auf einen hohen IT-Level sind.

Wir hatten einen Linux Rechner in Betrieb mit den neusten Kernel , eingerichteter Firewall und allen Updates die es zu der Zeit gab,
ist nichtmal als so lange her. (War alles aktuellgehalten)

Wir hatten ihn gestattet mal den Linux Rechner ins Ziel zu nehmen.

Und es war möglich. Er wusste welche Seiten wir besucht haben und was für Kram auf der Linuxmachine drauf war.

Auch waren einige Ports geöffnet. (Später mit Nmap gescannt sowahl auf den Rechner als auch auf den Router)

Die Firewall war aktiviert , der Router hat "eigentlich auch eine eigene Firewall zusätzlich.
Das schien alles kein großes Hindernis gewesen zu sein .

Das einzigste was er wusste war die IP Adresse von den Linuxrechner.

Wie er es genau gemacht hat , hat er nicht verraten. Ist allerdings auch jemand mit hohen IT Kenntnissen.
Er sprach von den DNS Port und das der Browser wenn er im Netz unterwegs ist, mit die größte Schwachstelle wäre und das es einige Router gibt die problemlos angegriffen werden können .

Selbst unser Wlan Passwort wusste er

 

[the other]

Moinsen,
tja, Sachen gibt's...du glaubst es kaum.
Wenn das im beschriebenen setting so wäre (was ich hier ohne viel viel mehr Infos nicht diskutieren will), dann käme der beauftragte ITler wohl auf jedes System hinter einer Fritzbox...hm. Dafür gibt es aber im Netz bisher nicht so viele Nachrichten. Ich würde vermuten, dass das dann doch in meine Sammlung für modern it myths gehört. Nix für ungut.
Sicher geht für Profis sehr viel mehr, als ich und andere 08/15 NutzerInnen auch nur träumen. Aber (zumindest in der oben verkürzten Erzählung)...näääähhhh...

 

[Babsy]

@the other Glaube mir es war alles von den Systemeinstellungen so !

Ich vermute er hat es irgendwie über seine Website gemacht die wir manchmal angesürft haben und es eine direkte Verbindung gab.


Kennt jemand inzwischen einige zuverlässige Möglichkeit , seinen eigenen Router mal zu Prüfen ob die Firewall auch das tut was sie soll oder überhaupt aktiv ist ?

Wie soll man sonst von außen auf einen Router kommen wenn man nicht im eignen Netzwerk mit drin ist ?

Wäre äußerst Interessant mal zu erfahren.

( Haben vom Tool Routersploit gelesen)

 

[the other]

Moinsen,
Naja, und damit hast du eine mögliche Ursache dann ja auch ergänzt. Das Besuchen einer verseuchten bzw bösartigen Seite im Netz. Das meinte ich eben mit

Hauptproblem bzw die Hauptursache für solche Gefahren sitzt auf Layer 8 VOR dem Gerät

Zu deinen Fragen...

Kennt jemand inzwischen einige zuverlässige Möglichkeit , seinen eigenen Router mal zu Prüfen ob die Firewall auch das tut was sie soll oder überhaupt aktiv ist ?

Zb ein Portscan von außen? Kannst dich aber auch richtig austoben und mit den Werkzeugen von kali linux und etwas Internetsuche dein System "angreifen" und nach exploits suchen...

Wie soll man sonst von außen auf einen Router kommen wenn man nicht im eignen Netzwerk mit drin ist ?

Zb via VPN?

 

[Babsy]

Das die Webseite verseucht ist , glaube ich weniger . Ist eine Firmenwebseite mit Infos.

Ich denke eher das durch den Besuch auf die Webseite und einige Zeit verweile , eine direkte Verbindung von Rechner zu Rechner zustande kommt und es so möglich ist dann die entsprechenden Ports oder wie auch immer anzugreifen .

Aber nur eine Vermutung.

Wenn auf den Rechner eine Firewall und "eigentlich auf den Router" eine Firewall aktiv ist , welche Ports wird dann angezeigt/geprüft bei einen Portscan mit NMAP zum Beispiel ?

Die Ports vom Rechner oder direkt vom Router ?

Eigentlich müsste man ja erstmal durch den Router kommen um überhaupt etwas auf den Zielrechner in Erfahrung zu bringen.

 

[the other]

Moinsen,
Es ist immer die Frage, was für Infos du meinst. Dein Browser überträgt nebenbei eh jede Menge Daten (version, software, OS...). Dazu dann noch ein überall verbreitet aggressives tracking per cookie &co und dazu ggf direkt ein Script im Hintergrund, das Dinge lädt. Wenn besagte Seite also nur die normalen Infos ausliest...normal.
Wenn dann aber ein Zugriff aufs System und LAN erfolgt, verseucht. Egal, potatoe,potato...
Du kannst von aussen deine öffentliche IP scannen. Du kannst aber auch im LAN deine Geräte (NAS, PC, usw) scannen...Kommt ja immer drauf an, was du prüfen willst.
Hast Du IPv4 oder v6 ist dann auch nochmal ne Frage...sind Geräte (von aussen) erreichbar? Sollen die das sein? Wenn ja, wie (welche ports)? Das ist eben ne sehr diffiziele und individuelle Angelegenheit...

 

[Helmut-H]

müsste es ein Hacker nur erstmal auf den eigentlichen Zielrechner schaffen.

Hallo,

nicht auf den "Zielrechner". Sondern in dein (Heim)-Netzwerk hinein.

Und wenn der Angreifer sich ersteinmal in deinem Netzwerk herumtreibt dürfte ein Router wie die Firtz!Box das uninteressanteste überhaupt sein.

Das ein Router eine Reihe von offnen Ports ins Internet hat, gehört zu seinem Job. Z.B. für:
DNS - Port 53
SIP (Telefonie) - Port 5060
https://de.wikipedia.org/wiki/Liste_der_Portnummern

Allerdings empfehle ich keine weiteren Ports zu öffnen um den Zugriff auf Hosts zu ermöglichen.
Außer du weist GENAU was du machst.

Und KEINE automatischen Portfreigaben in Router zu erlauben.
Internet -> Freigaben -> Portfreigaben
"Sie können die Einstellung "Selbstständige Portfreigabe" für alle Geräte deaktivieren, die bisher keine Portfreigabe angefordert haben."

 

[rigald]

Hallo Zusammen,

ich klinke mich hier mal ein...

wenn ich in meiner Fritzbox der von @Helmut-H dargestellten Beschreibung mit dem Deaktivieren der "Selbstständigen Portfreigabe" befolge, geschieht folgendes.
Ich klicke auf "Deaktivieren" -> Danach erscheint ein sich drehender Kreis -> und dann steht da wieder der Button "Deaktivieren", so als ob sich nichts verändert hat. Sollte da für mein Verständnis jetzt nicht so etwas wie "Deaktiviert" oder eben dann "Aktivieren" stehen?

Grüße

 

[Stationary]

Da wird immer “deaktiviert”, weil sich der Button darauf bezieht, die automatische Portfreigabe für alle Geräte, welche noch keine angefordert haben, zu deaktivieren. Das globale Aktivieren, also das Erlauben automatischer Portfreigaben für alle Geräte, kann niemals Ziel sein.
Darum soweit alles richtig.
“Deaktivieren” nimmt bei allen Geräten einen eventuell vorhandenen Haken in den Geräteeinstellungen (unter Heimnetz - Portfreigaben) heraus, soweit vorhanden und nicht erforderlich, d.h. soweit nicht anmelderseitig gesetzt und vom Gerät auch genutzt.