unbekanntes Gerät lässt sich nicht entfernen

[AageH]

Bei meiner FritzBox 7590 gibt es seit etwa 2 bis 3 Wochen ein unbekanntes Gerät, das sich nicht entfernen lässt. Ich habe das AVM gemeldet, aber die wissen auch nicht was das ist. Es kommuniziert per WLAN, was ich jetzt erst mal abgeschaltet habe. Ich habe die MAC-Adresse (siehe Anhang) an AVM gemeldet, die sagen aber, diese Adresse gäbe es nicht in der 7590. Damit könnte es eigentlich nur etwas Externes sein, dass da nicht hingehört. Ichabe zwei jpg mit allen Daten - die ich dazu habe - angehängt.

Was ist das? Und wie kriege ich das dauerhaft weg?

Fragt, Aage

 

[Barungar]

Es gibt keine offiziell vergebenen MAC-Adressen die mit 26 anfangen! Wie man leicht im Internet recherchieren kann, wurden bisher keine MAC-Adressen ab 24:FE:9B..... bis 28:00:AE.... vergeben. Es ist also eine "selbsterstellte" MAC, somit kann es alles und nichts sein. Über die MAC wirst Du also keine Hinweise darauf bekommen, welches Gerät es gewesen sein kann.

 

[Stationary]

Hast Du im Arbeitszimmer ein iPad oder iPhone, das sich mit einer “private wifi address” anmeldet?

 

[AageH]

Im Arbeitszimmer ist weder iPhone noch Ipad. Wenn ich im Arbeitszimmer das WLAN abschalte, springt das Unbekannte Gerät (UG) zum Repeater im Esszimmer. Wenn ich das WLAN ganz abschalte, ist nichts mehr von dem UG zu sehen. Die IPv4 Adresse des UG ist 192.168.178.52. Die Adresse der Fritzbox 192.168.178.1 Die IPv4 sind also - bis auf die letzten Stellen identisch, kann man daraus etwas schliessen?

 

[AageH]

Ich hatte über Nacht WLAN ausgeschaltet und außerdem dem Unbekannten Gerät (UG) verboten, online zu gehen. Als ich eben WLAN wieder anschaltete, waren auf einmal zwei UG vorhanden. Kann man daraus den Schluss ziehen, dass in der FritzBox ein Schadprogramm sitzt, dass so etwas macht? Gibt es eine Art Anti-Virus-Programm für die FritzBox oder muss ich die ganz neu aufsetzen?

 

[Barungar]

Nein, man kann daraus folgern, dass es ein "unbekanntes Gerät" in der Funkreichweite Deines WLANs gibt, dass Deinen WLAN-Schlüssel kennt und sich erfolgreich mit Deinem WLAN verbindet und auch Netzwerkzugriff hat.

Das hat NICHTS mit einem Schadprogram in der FritzBox zu tun. Die "Herausforderung" ist es nun halt das Gerät zu finden.

Das Einzige, was es ein bischen "blöd" macht, ist das sich das Gerät "Phantasie-MACs" erzeugt.

 

[AageH]

Danke Barungar, wie würdest du denn auf der Jagd nach so einem Unbekannten Gerät vorgehen? Ich selber habe keine Idee. Ich könnte natürlich den WLAN Netzwerkschlüssel ändern. Wenn das Gerät aber den jetzigen raus gekriegt hat, wird es dass bei dem neuen Schlüssel wohl auch schaffen. Oder???

 

[Barungar]

Ich würde per PING prüfen, ob das Gerät auch wirklich erreichbar ist. Und dann würde ich es mit NMAP auf "Herz und Nieren" scannen, um weitere Erkenntnisse über das Gerät zu gewinnen.

Natürlich ist es theoretisch möglich, dass das Gerät das WLAN-Passwort "herausbekommen" hat, aber wahrscheinlicher ist es, dass das Passwort am Gerät eingegeben wurde. Oder es wurde am Gerät WPS gemacht.

Hast Du in letzter Zeit irgendein neues Gerät mit WLAN in Betrieb genommen?
Oder hast Du einem Deiner Nachbarn Dein WLAN-Passwort verraten?

Falls Deine FritzBox bereits Fritz!OS 8.0 hat, kannst Du ja mal gezielt schauen, wieviel Traffic das Gerät verursacht.

Das ändern das WLAN-Passworts hilft grundsätzlich natürlich auch erst einmal.

 

[Stationary]

Wieviele iOS-Geräte hast Du? Und wieviele davon laufen unter iOS 18? Mit iOS/iPadOS 18 wurde die Einstellung, daß die Geräte sich selbst eine MAC eine MAC auswürfeln sollen, als Standardeinstellung gesetzt. Wenn Du das seit drei Wochen siehst, da dürfte das 18.1 Update gewesen sein. Das könnte das getriggert haben.

 

[AageH]

Stationary: Bei uns gibt es zwei iPhones, die beide unter iOS 17.6.1 laufen. Damit fällt diese Möglichkeit aus.

• Barungar: Ping meldet: Ping-Aufforderung konnte Host .... nicht finden. Überprüfen Sie .... Hat dann der Einsatz von NMAP noch Sinn. Zudem kenne ich mich mit solchen "tiefen" Programmen nicht aus.
• Aber, eine Änderung des Passworts wäre doch etwas Arbeit, aber wohl sinnvoll, da dann die beiden Unbekannten Programme schweigen müssten. Korrekt???
• Wir hatten vor 4 Wochen Besuch von guten Freunden, und denen hatte ich das WLAN-PW diktiert. Kann es sein, dass dabei das PW von dem Unbekannten Gerät "abgefangen wurde?? Dass die es missbraucht haben, halte ich für völlig unwahrscheinlich.

 

[Stationary]

Kannst Du trotzdem mal bei den iPhones nachsehen, ob dabei eines auf “Private WLAN Adresse” eingestellt ist?

 

[AageH]

Noch mal Barunga: Ist es sinnvoll, auf Fritz!OS 8.0 umzusteigen? Ich warte bei Updates meistens etwas, bis die Programme überall sauber laufen.

 

[AageH]

Stationary: Wo würde ich den Eintrag für eine “Private WLAN Adresse” finden? Wenn ich unter Einstellungen/Suchen “Private WLAN Adresse” eingebe, nudelt er lange, ohne etwas zu finden.

 

[Stationary]

Einstellungen > Wi-Fi, dann beim verbundenen WLAN rechts auf das blaue “i” im Kreis tippen. Dann Private WLAN Adresse kontrollieren, sollte im Heimnetz auf “Aus” stehen.
Hier gezeigt für ein englisch eingestelltes iPhone (habe leider keine Geräte mit deutscher Einstellung):


Bei Wi-Fi Address steht die MAC Deines Gerätes (bei “Aus” steht da die echte Geräte-MAC, bei “Ein” eine, die sich das Gerät bei jedem neuen Verbinden neu ausdenkt).

 

[Barungar]

Ping meldet: Ping-Aufforderung konnte Host .... nicht finden. Überprüfen Sie .... Hat dann der Einsatz von NMAP noch Sinn. Zudem kenne ich mich mit solchen "tiefen" Programmen nicht aus.

Wenn der Host per PING nicht erreichbar ist, dann hat er zur Zeit keine aktive Verbindung. Ein NMAP kann dann (theoretisch) noch Sinn machen, weil es auch sein kann, das der Host ICMP blockiert, um sich zu "tarnen". Oder aber er ist wirklich gerade offline.

Wir hatten vor 4 Wochen Besuch von guten Freunden, und denen hatte ich das WLAN-PW diktiert. Kann es sein, dass dabei das PW von dem Unbekannten Gerät "abgefangen wurde?? Dass die es missbraucht haben, halte ich für völlig unwahrscheinlich.

Wenn Du das Passwort Deinen Freunden "diktiert" hast, dann haben sie es in ihren Geräten eingegeben, somit besteht da keine besondere Gefahr, dass da einer was "abgefangen" hat. Ich bin ja eher weiter bei der Theorie, dass es ein "berechtigtes" Gerät ist, nur das Du halt nicht weißt welches.

Noch mal Barunga: Ist es sinnvoll, auf Fritz!OS 8.0 umzusteigen? Ich warte bei Updates meistens etwas, bis die Programme überall sauber laufen.

Grundsätzlich macht es schon Sinn. Und AVM kann man bei seinen Updates vertrauen. Die sind in der Regel durch soviele Tests und Betas gelaufen, dass wenn sie das veröffentlichen man "blind" installieren kann. Meine FritzBox läuft schon seit dem ersten Tag der Veröffentlichung (nicht der Beta) auf FritzOS 8,0

 

[AageH]

Hallo Stationary, du hast Recht gehabt! Danke, Große Klasse!!! Die Private WLAN Adresse stand bei unseren zwei iPhones auf EIN. Die beiden Unbekannten Geräte, die öfter ihre MAC-Adressen änderten, ware unser beiden iPhones. Was spricht denn dagegen die zu Hause auf EIN zu lassen?

 

[Stationary]

nichts spricht dagegen, wenn es Dich nicht stört, daß die Geräte vermutlich jeden Tag eine neue IP-Adresse ziehen, weil sich die MAC geändert hat. Dadurch taucht unter Umständen ein und dasselbe Gerät mehrfach in der FritzBox auf, mit verschiedenen fiktiven MACs (je nachdem wie lang die DHCP lease time in der Fritzbox eingestellt ist auch mehrere Tage).
Persönlich lasse ich das auf AUS in Netzwerken, die ich kontrolliere, da ich die iOS-Geräte nicht vor mir selbst verschleiern muß. Außerdem haben die Geräte so dann immer die gleich IP im Heimnetz.
Aber EIN ist o.k., wenn Du Dir bewußt bist, daß die “unbekannten” Geräte in Deinem Netzwerk eben Eure iOS-Geräte sind.