Zugriffsversuch von unbekannter IP auf Fritz! box

dhark

New member
Hallo!
Seit einem Monat bemerke ich fremden Zugriffsversuche auf meine Fritz!box. In der Systemmeldung steht
"
04.03.23
00:20:10
Anmeldung des Benutzers a.jansen-versanet.de an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 2.57.121.75 gescheitert (falsches Kennwort)."

dabei ist die IP immer dieselbe aber der Nutzernamen ändert sich bei jedem Versuch.
Nun hab ich nach der IP gesucht , Ergebnis:

whois-Abfrageserver:
Gefundener whois-Eintrag von 2.57.121.75:Using server whois.ripe.net.
Query string: "-V Md5.5.10 2.57.121.75"

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '2.57.121.0 - 2.57.121.255'

% Abuse contact for '2.57.121.0 - 2.57.121.255' is 'abuse@unmanaged.uk'

inetnum: 2.57.121.0 - 2.57.121.255
netname: UNMANAGED-LTD
org: ORG-UMNG1-RIPE
country: GB
admin-c: PB23091-RIPE
tech-c: PB23091-RIPE
status: ASSIGNED PA
mnt-by: UNMANAGED
mnt-by: ro-btel2-1-mnt
created: 2022-03-10T19:58:32Z
last-modified: 2022-03-10T19:58:32Z
source: RIPE

organisation: ORG-UMNG1-RIPE
org-name: UNMANAGED LTD
country: GB
org-type: OTHER
address: Unit B, Brindley Close, Rushden, Northamptonshire, NN10 6EN
abuse-c: ACRO34528-RIPE
mnt-ref: UNMANAGED
mnt-by: UNMANAGED
mnt-by: ro-btel2-1-mnt
created: 2020-07-26T21:14:26Z
last-modified: 2022-12-01T17:29:13Z
source: RIPE # Filtered

person: PETRU BUNEA
address: Unit B, Brindley Close, Rushden, Northamptonshire, NN10 6EN
phone: +40752481282
nic-hdl: PB23091-RIPE
mnt-by: UNMANAGED
created: 2020-07-26T21:11:55Z
last-modified: 2022-03-10T19:57:09Z
source: RIPE # Filtered

% Information related to '2.57.121.0/24AS47890'

route: 2.57.121.0/24
origin: AS47890
mnt-by: UNMANAGED
mnt-by: ro-btel2-1-mnt
created: 2021-06-20T22:35:15Z
last-modified: 2021-06-20T22:35:15Z
source: RIPE

% This query was served by the RIPE Database Query Service version 1.106 (DEXTER)


Ich hab nun erstmal die IP in die Liste der blockierten IP- Adressen in der Box eingetragen.
1. Was kann ich noch tun?
2. Hat jemand auch schon mal das Problem gehabt?

Fritzbox 7590 an 100Mbit GF, Fitz! OS aktuell.....

Danke erstmal fürs mitdenken!
 
Ergänzend kann man auch statt Myfritz einen anderen DynDNS-Service nutzen für VPN. Z.B. dynv6.com Das Löschen und Neuanlegen eines Myfritz-Accouts kann auch nützlich sein, um eine andere *myfritz.net-Adresse zu erhalten.
 
Das ist halt ein Hosting Provider, dem es ziemlich egal ist, was seine Kunden treiben. Ich meine, welcher Provider nennt sich schon "Unmanaged Ltd."?!
Und ich gehe mal stark davon aus, dass unter dieser IP ein System läuft, das sich unter anderem auf öffentlich erreichbare FritzBoxen "spezialisiert" hat.
 
Ich bin trotzdem an der Stelle von der AVM Auskunft "das sei normal..." nicht überzeugt.
Der Angreifer müsste alle bekannten IPv4 abklappern, den kryptischen String für myFritz plus den zufälligen Port suchen und scannen???
Und selbst wenn eine neue IP vergeben wurde, sind die Anmeldeversuche bald wieder da?
Welche High-Performance Rechner kommen da zum Einsatz, die dann am Kennwort scheitern?
Ich vermute immer noch, das irgendwann/-wo-/-wie myFritz gehackt wurde und AVM das nicht zugeben möchte.
Es ist doch sehr seltsam, wenn das bei fast allen (oder zumindest sehr vielen) per myFritz erreichbaren Fritzboxen der Fall ist.

Gruss
 
Der Angreifer müsste alle bekannten IPv4 abklappern, den kryptischen String für myFritz plus den zufälligen Port suchen und scannen???

Gott, nein!! Wer sucht denn noch selbst?! Sowas muss/macht keiner, außer er hat keine Ahnung. :ROFLMAO: Dafür gibt es Suchmaschinen, die bekannteste ist shodan. DIe kannst Du auch gleich per API ansteuern und dann Deine Skripte automatsiert laufen lassen.

Gerade jetzt sind ungefähr 1 Million FRITZ!Boxen live, und da ist die Chance schon hoch, dass es schlechte Passwörter gibt. Also einfach mal versuchen... ;)

1678098999963.png
Und selbst wenn eine neue IP vergeben wurde, sid die Anmeldeversuche bald wieder da?
Shodan aktuallisiert die Daten recht zügig, also ein IP-Wechsel wird Dich ein paar Minuten ggf. Stunden "schützen", dann bist Du wieder in den Daten drin.

1678099721249.png

P.S.: Und auch der Port ist egal... Die gefundenen FritzBoxen verteilen sich über (bei meinem 27" Bildschirm auf 18 Seiten - ich hatte keinen Bock zu zählen).

1678099297558.png
 
Zuletzt bearbeitet:
Von den ganzen Werkzeugen, die es einem noch einfacher machen, abgesehen, wird die "Größe" und "Bekanntheit" der eigenen IP maßlos über- bzw. unterschätzt. Da braucht es keine Superrechner für, nur eventuell mehrere Rechner (damit es nicht so auffällig ist) und vor allem Bandbreite. Deshalb reden wir von Minuten bis Stunden.

Auch den myFritz Namen deiner Box muss man dazu überhaupt nicht kennen.

https://www.heise.de/news/c-t-deckt...gen-ungeschuetzt-im-Netz-4931739.html?seite=2
 
Mal unabhängig von Shodan... Wie war das noch... via 1Gbit-Anbindung, komplette IPv4-Range scannen... 45 Minuten, via 10GBit knapp 5 Minuten 😄

EDIT: Hätte ich mal vorher auf den Link von @Fusion geklickt, da steht es ja auch nochmal... 😂
EDIT2: https://zmap.io/
ZMap can scan the entire public IPv4 address space on a single port in under 45 minutes. With a 10gigE connection and PF_RING, ZMap can scan the IPv4 address space in 5 minutes.
 
Moinsen,
Ist heute eben eine Menükarte für die bösen Menschen...die suchen sich die Gänge da aus:
Diverse Geräte, die vollautomatisch IPs und Ports testen. Wie schnell das geht, steht ja bereits oben. Da hilft dann auch der oft gelesene tip, Dienste auf andere ports zu legen (security by obscurity) rein gar nix.
Dazu werden dann noch Datenbanken mit geklauten credentials (User/Password) vollautomatisch ausgewertet, wenn dann für diverse Dienste die immergleichen credentials (oder in minimaler Änderung) eingetragen sind, adios amigos.

Also, wenn du keinen externen Zugriff brauchst (also, nicht nice to have, sondern WIRKLICH benötigst)...ausschalten.
Wenn du externen Zugriff wirklich benötigst...VPN.
 
o_O Gut, das auf den Fritzen kein Dienst offen ist. Das die IPs so schnell erfasst und gescannt werden war mir neu.

Gruss
 
den kryptischen String für myFritz plus den zufälligen Port suchen und scannen???
Wozu braucht der Angreifer den kryptischen String? Ich habe meine Oberfäche nie aus dem Internet erreichbar gemacht, aber reicht da dann nicht die öffentliche IP und der Port für die Weboberfäche?
 
Vermutlich weil die meisten Leute keine Fritzbox kaufen. Und die ganzen Provider-Mietboxen nur getauscht werden, wenn sie mal kaputt gehen.
 
Wozu braucht der Angreifer den kryptischen String? Ich habe meine Oberfäche nie aus dem Internet erreichbar gemacht, aber reicht da dann nicht die öffentliche IP und der Port für die Weboberfäche?
Bisher dachte ich, die Angriffe kommen über den DynDNS von myFritz, nicht über die IP.
Über die IP ist es natürlich einfacher.

Gruss
 
Grundsätzlich ist es aber so, dass jedweder Port der öffentlich verfügbar gemacht wird auch Connects erhält.

Das kann man auch sehr schön sehen, wenn man einen SSH (22/tcp) veröffentlicht. Da dauert es meistens keine 10 Minuten und schon hat man Login-Versuch von dutzenden IPs.

Daher gilt, wie bei allem die Regel: Man kann TCP-Ports veröffentlichen, aber man sollte es in den meisten Fällen nicht. Das ist wie bei kleinen Kindern, man kann die Messer einfach so in der Küche rumliegen lassen. Sollte man aber nicht, wenn man sein Kind so behalten möchte. :cool:

Für Zugriff aus der Ferne ist immer noch ein VPN die allererste Wahl. An Platz 2 kommt für mich ein SSH-Port, den dann aber ausschließlich mit passwortgeschütztem SSH-Key, nie mit Password-Authentification.
 
Wenn einem mal langweilig sein sollte, kann man sich ja mal z.B. https://www.sicherheitstacho.eu/start/main anschauen... Derzeitiger Stand:
40913 Attacken in der letzten Minute
2179520 Attacken in den letzten 1 h
44734586 Attacken in den letzten 24 h
... oder z.B. https://cybermap.kaspersky.com/... Es gibt halt ein gewisses "Grundrauschen", ist eben so. Sobald man irgendwas öffentlich im Internet erreichbar hat, muss man halt mit Anfragen (egal welcher Natur) rechnen ☺️

EDIT: Hier gibt es noch mehr Übersichten.
 
Wie schon geschrieben wurde, die Schotten dicht machen.
Unter:
Internet -> Filter -> Listen - Globale Filtereinstellungen - Firewall im Stealth Mode - aktivieren.
1678204451256.png

Bringt vielleicht ein bisschen was.
 

Zurzeit aktive Besucher

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
5.389
Beiträge
53.357
Mitglieder
5.177
Neuestes Mitglied
griessbx
Zurück
Oben