Fritzbox öffnet ständig intern Ports !

Babsy

New member
Guten Tag ,

ich und ein Freund betreiben einen kleinen Betrieb und haben ganz normales WLAN angemeldet was wir soweit auch nur privat nutzen, gelegentliches EBay & Amazon.

Zuvor hatten wir einen Asus Router genutzt. Nachdem wir unser Netzwerk mal auf offene Ports gescannt haben ist bei den Asus Router aufgefallen das der Port 18017 geöffnet war,

ohne das er sich wieder schließen ließ. Wenn man nach Asus Router und Port 18017 mal recherchiert , kann man sehen das es ein Explot/Hack war. Den Asus router hatten wir mal gebraucht gekauft . Keine Ahnung was jemand damit zuvor angestellt hat oder wie das zustande kam .

Wir haben daraufhin den Computer komplett neu aufgesetzt und den Router gegen eine Fritz Box 7362 SL ausgetauscht , die wir noch da hatten.

Inzwischen ist uns wieder aufgefallen , das die FB ständig intern mit NMAP gescannt verschiedene Ports freigibt .

Schließen wir diese über unsere Firewall auf unseren Computer ,damit unser Computer nicht über diese Ports erreichbar wäre, ist direkt bei Neustart der FB wieder 2 andere Ports geöffnet.

Es gibt auf unseren System keine Anwendung/Software , welcher diese Ports benötigen würde.

Es laufen auch keine anderen Computer (jedenfalls nicht von uns wovon wir wüssten) auf der FB mit.

Ein Android TV läuft per Lan ab und an mal mit . Können uns aber nicht vorstellen das dass etwas mit den Ports zutun hat.

Ein Scan mit Wireshark hat gezeigt das immer wieder eine IP auftaucht , die irgendwie mit auf dem System ist .

Laut IP Check eine IP von Linuxserver ? Hmm. Sperrt man die IP durch die Firewall , taucht sie wieder etwas abgeändert auf .

Wenn sie tatsächlich eine Verbindung vom System zu Linuxservern ist , wäre das inordnung. (IP Header kann man auch fälschen wie man uns gesagt hat) .

Fraglich bleibt warum die Ports in der Fritzbox sich ständig Netzwerkintern selbstständig öffnen ?

Scannt man die Ports von außen über eine Webseite (Online-Portscanner), werden sie extern als geschlossen angezeigt ?! Hmm ...Wie verlässlich sind diese Webseiten.

Was noch zu erwähnen ist , das sich die Ports am Anfang vom Betrieb der FB nicht intern selbstständig geöffnet gezeigt haben .

Hier noch 3 Screens dazu .

Weiß jemand der sich damit auskennt oder ähnliches hat , warum das so ist oder woran das liegen könnte ?

Das einige Ports von der FB für verschiedene Dienste bei Bedarf zur Verfügung gestellt werden ist uns bekannt.

Allerdings tauchen auch wieder Ports auf die da nicht zu gehören.

Merkwürdiges Phänomen bisher .

Danke für eure Hilfe Babsy
 

Anhänge

  • FB PORTS.png
    FB PORTS.png
    212,4 KB · Aufrufe: 8
  • FB PORTS NEU.png
    FB PORTS NEU.png
    100,1 KB · Aufrufe: 8
  • FB Wire Anfragen.png
    FB Wire Anfragen.png
    276,1 KB · Aufrufe: 8
Am einfachsten guckst Du mal im Service-Menü der FritzBox was sich hinter den Ports verbirgt.

Die Ports 8181 bis 8186 sind harmlos, das sind Status-Seiten, die die FritzBox nutzt um bestimmten Clients "Hinweis-Seiten" anzuzeigen. Da laufen http-Dienste. Ebenso 53 (DNS), 80 (http) und 443 (https) sind unspektakulär. Hinter den Ports 49000 und 49443 sollte sich TR-64 verbergen, das ist eine API um die FritzBox aus dem LAN zu steuern.

Lediglich zu 52553 und 53241 fällt mir spontan nichts ein. Da empfehle ich die Service-Seite.

1713963418072.png

Achja, die Liste geht bei mir noch "meilenlang" weiter. Insgesamt hat meine FritzBox zum LAN hin über 60 Ports offen.
 
Danke für die Antwort.

Diese Ports sind laut AVM Anfrage für die Fritzboxdienste nicht vorgesehen.

Eben uns fällt dazu auch nichts ein.

Was meinst du mit : Hinter den Ports 49000 und 49443 sollte sich TR-64 verbergen, das ist eine API um die FritzBox aus dem LAN zu steuern.

Was ist das genau ?
 
Naja, ich meine genau das was ich sagte. Das sind die Ports von TR-64, das ist ein Service-Protokoll zur Steuerung der FritzBox.
Im Marketing-Sprech wohl "Universal Plug and Play" UPnP genannt. Aber genau das sagt Dir die FritzBox auch, wenn Du Dir im Service Menü die offenen Ports anzeigen lässt.

1713965489129.png
 
Bei der FB 7362 sl gibt es dieses Feature nicht , wo die Dienstports angezeigt werden . Gerade nachgesehen.

Wie könnten wir von unseren Computer Linux aus per Protokoll mal auf die FB zugreifen per TR-64?

UPnP ist eigentlich auf der FB deaktiviert worden.

Gibt es eine Möglichkeit die FB mal auf eventuelle Manipulationen zu testen per Protokoll?

Und vor allem mal zu sehen welche Dienste da laufen oder welche Ports da über Busybox (Ich meine das ist der Kernel der FB) ,

vielleicht doch freigegeben sind ohne das man das im richtigen FB Menü sehen würde ?

Kann man den Busybox Kernel mal komplett auf Fehler prüfen ?

(Gibt es ein Masterpasswort für jede Fritzbox um auf die Fritzbox zu gelangen oder müsste jemand wenn er es schafft auf die FB zuzugreifen auch aus der Ferne oder aus den internen Netzwerk, das Passwort welches gesetzt wurde , zwingend dafür rausbekommen haben ? )
 
Ich sag mal so... wenn Du so auf Sicherheit bedacht bist, dann solltest Du keine FritzBox 7362 SL nutzen.

Die ist schon nicht mehr im full support... und hat auch ein recht betagtes Fritz!OS, zwar schon aus der 7.xx-Branch, aber wie Du ja selbst gemerkt hast, gerade die Security Features sind da noch nicht vorhanden, wo die Box Dir zeigt, was sie alles für Ports hat und was sie damit macht.

Die Doku zu TR-64 findest Du bei AVM: https://avm.de/service/schnittstellen/
 
Das mit der 7362 sl war auch erstmal nur zur Überbrückung gedacht, weil der Asus Router offensichtlich mit den Port 18017 gehackt war.

Gibt es denn zu meiner eigentlichen Frage , eine Möglichkeit den Busybox Kernel und die FB mal auf Veränderungen zu testen?

Das wäre zeimlich informativ und würde mal Einblick gewähren worauf man genau achten muss.

Wie sieht es mit den Masterpasswort aus ? Gibt es sowas für die FBoxen ?

Jemand schonmal seine 7362 sl mit den OpenWRT Customfirmware bespielt und kann da support geben ?
Aus der Anleitung aus der Webseite wird man nicht ganz schlau.
 
Moinsen,
war besagter Port nach INTERN oder EXTERN geöffnet?
Hast du den Portscan von innen (zB vom PC aus) oder von außen kommend durchgeführt?

Ich habe eben mal kurz gegoogelt...und so eindeutig wie deine Aussage
Wenn man nach Asus Router und Port 18017 mal recherchiert , kann man sehen das es ein Explot/Hack war.
auch klingen mag, so eindeutig habe ich dazu nix gefunden. Der letzte Post dazu war von 2015...
Aktueller fand ich einige, die darauf hinweisen, dass ein nach INNEN geöffneter Port 18017 eher benötigt wird, um Servicecseiten anzuzeigen (hier zB Redirektionsseite wenn WAN offline geht).

Von war war denn die Firmware bzw das OS auf dem Ausus? Aktuell??
Und warum gegen ein (auch) veraltetes Gerät austauschen?
OpenWRT ist nach meinem Stand auch nicht unbedingt die einsteigerfreundlichste Software...ich lese immer wieder von recht steilen Lernkurven.
Und was ist gemeint mit "...haben ganz normales WLAN angemeldet"? Wo, bei wem, warum?

Und bitte nicht so viel FETTSCHRIFT. Das wird ja bekanntlich als ein lautes Schreien im Forum interpretiert, normale Schrift reicht auch... ;)
 
Es war um genau zu sein das Asus RT-AC66U Modell. Der Portscan war intern sowie von einen Onlinescanner extern.

Das Asus Router zeimlich anfällig sind ist allgemein bekannt. Der Port 18017 scheint bei den Asus Routern eine Art Hintertür zu öffnen.

Hier ein Kleiner Artikel dazu https://w00tsec.blogspot.com/2014/07/hacking-asus-rt-ac66u-and-preparing-for.html

Ist deutlich beschrieben wie über Port 18017 ein Remoteserver angesteuert werden kann , der alle Daten umleitet.

Die Firmware haben wir auf den Router dann geupdatet von der Herstellerseite. Der Port blieb aber weiter offen.

Diese Art von Hacks scheinen tiefgreifender in den Busybox Kernel implementiert zu sein .

Oberflächen und Menü-Updates helfen da nichts gegen.

Uns mittlerweile egal den haben wir nicht mehr. Wie der Hack da drauf kam , keine Ahnung . Darum war auch meine Frage hier , ob man die Kernel der Busybox , die auf Fritzboxen und auch Asus Routern laufen auf Veränderungen prüfen kann.

Kam leider bisher von niemanden etwas dazu.

Getauscht haben wir nur gegen die alte Fritzbox 7362 weil wir die noch rumliegen hatten.

Der Spuck geht jetzt hier mit der Fritzbox weiter mit den ständig offenen Ports. Kann man wohl erstmal nichts machen .

Es gibt auf unseren Rechner auch nichts interessantes . Kann vielleicht sein das unsere Leitung und der Router für ein Botnetz gekapert worden sind.

Was soll man sonst auf einen langweiligen privaten System finden. Nach unseren Recherchen , werden dazu heutzutage die Router manipuliert.

Mit WLan normal angemeldet meine ich einfach das es ein ganz normaler Anschluss ist wie für Privatanwender gedacht und kein großes Firmennetzwerk oder der gleichen .

Das OpenWRT auf die Fritzbox 7362 zu bekommen sieht nach zuviel Aufwand aus.

Wenn wir einen Router finden der angeblich komplett Hacksicher ist , steigen wir nochmal um .

Solange lassen wir das einfach so wie es ist .
 
Zuletzt bearbeitet von einem Moderator:
Und hier die nächsten beiden Ports die sich "selbsständig" nach einen FB Neustart geöffnet haben :)

Lachen wir schon selber drüber . Das es hier sowas wichtiges gibt um seine Zeit zu verschwenden .

Kostet sowas nicht auch Kraft , Nerven und vielleicht auch Geld .
 

Anhänge

  • FB GANZ NEU.png
    FB GANZ NEU.png
    53,3 KB · Aufrufe: 12

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
4.702
Beiträge
47.957
Mitglieder
4.347
Neuestes Mitglied
Reekoh
Zurück
Oben