"Angreifer" über FirtzBox ins Heimnetz eingetrungen - dringend

S

Sebi85

Enthusiast
Thread Starter
Mitglied seit
12.07.2005
Beiträge
2.318
Hallo zusammen,

ich merkte, dass mein Internet extrem langsam ist. Ein Blick auf die FritzBox sagte mit, dass 3 PC (Linux 2.6.11.12 mn10300, udhcp 1.14.3-VD Linux VDLinux.1.2.1.x) angemeldet sind und meinen Down- und Upstream voll ausgenutzt haben. Das WLAN an der FritzBox ist nicht aktiv, an dieser ist ein weiterer Router (Belkin) angeschlossen, der aber ein eingeschaltetes WLAN hat. Als ich dieses WLAn ausgeschalten habe, war der Down- und Upstream wieder bei 0. WLAN an und die 3 PC waren wieder da. Dann habe ich den Fernzugriff der FritzBox deaktiviert und siehe da, kein Down- und Upload mehr, aber ich kann die Rechner noch anpingen.

Liegt es jetzt am WLAN oder an dem Fernzugriff? Einmal ändere ich jetzt natürlich das WLAN Passwort, aber was kann ich noch tun, bzw. die Schwachstelle eingrenzen?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
...aber was kann ich noch tun, bzw. die Schwachstelle eingrenzen?
Zum Vergrößern anklicken....
Wie hast du denn deinen Firewall Rechner konfiguriert ? Du schreibet, an die fritzbox sei ein Belkin Router angeschlossen - da ist doch vermutlich ein firewall Rechner dazwischen ? Oder bist du evtl. ganz ohne unterwegs ?

Dann würde ich dort mal ansetzen....
 
Sebi85 schrieb:
Als ich dieses WLAn ausgeschalten habe, war der Down- und Upstream wieder bei 0. WLAN an und die 3 PC waren wieder da.
Zum Vergrößern anklicken....

Was sagt den die Weboberfläche des Belkin? Sind dort PCs angemeldet?
Welche Verschlüsselung fürs WLAN nutzt du am Belkin? WPA, WPA2 oder WEP?

Falls WPA oder WEP, bitte auf WPA2 ändern und darüber hinaus ein *sicheres* Passwort wählen.

gemm schrieb:
Du schreibet, an die fritzbox sei ein Belkin Router angeschlossen - da ist doch vermutlich ein firewall Rechner dazwischen ?
Zum Vergrößern anklicken....

Da viele User die Begriffe "AP" und "Router" vermischen, tippe ich mal das er im LAN der Fritzbox einfach einen Belkin als AP einsetzt um das WLAN von dort aus im Haus/der Wohnung zu verteilen.
 
Zuletzt bearbeitet:
...hmmm:
- welche Firmware Version (Fritz!OS) hast Du auf der Box und welche Fritz ist es?
- was genau meinst Du mit Fernzugriff?
An der Fritz gibt es die Fritz-Dienste (Zugriff auf die Fritz übers Internet) und Fernzugang (VPN)...was meinst Du nun?
- welche Dienste hast Du noch freigegeben für PCs in Deinem Heim-Netz (NAS, TV-Server)?
- Welche Portfreigaben/Weiterleitungen sind in der Fritz aktiviert?

Am besten Du machst mal die Tests mit Wireshark, wie schon empfohlen und malst mal ein Bild was in Deinem Netz auf welchen IPs so los ist (Freigaben, IP-Traffic wenn die Effekte zu sehen sind).
 
Mir stellt sich hier eher die Frage, wo genau jetzt erkannt wurde, das ein Angriff stattgefunden hat und vor allem, das dieser über die Fritzbox stattgefunden hat?
-> sieht für mich schlicht und ergreifend erstmal danach aus, als sei das WLAN nicht secure genug. Ich kenne die genutzte Lösung hier nicht, ist auch nicht näher aufgeführt. Aber es ist die (ohne weitere Infos) warscheinlichste Methode, dass Dritte einfach sich ins WLAN eingeklinkt haben. Dafür spricht auch, dass ein Ausschalten des WLANs offenbar den Traffic unterbunden hat...


PS: der Tip mit Wireshark ist übrigens mehr oder weniger unsinnig. Nicht von der Idee her, aber du verwendest doch ziemlich sicher eingeswitchtes Netzwerk. Wie soll man da auf einem beliebigen PC irgendwas via Wireshark tracen können? (Außer vllt Broadcast/Multicast)? -> wird so nix. Dafür brauch es einen Port Mirror, möglichst für genau den Port, durch den auch der Traffic läuft, der da erzeugt wird. Aber das weist du ja offenbar gar nicht (so interpretiere ich die Frage)
Ggf. kann die Fritzbox selbst Traffic mitsniffern -> das wäre noch die Möglichkeit 2. Dann kann man Wireshark dafür nutzen um die Pakete anzusehen...


Auch solltest du mal prüfen, wer noch so alles Zugang zu deinem Netz hat. Möglicherweise Familienangehörige? Freunde? Bekannte?
Warum frage ich? -> den kryptischen Namen zu urteilen, kann das auch gelinde gesagt einfach eine VM auf einem bekannten Gerät (von dir, der Family, Freunden oder Bekannten) sein, was bei dir im Netz klemmt und via BridgeMode direkt eine IP bezieht... Oder eben, wie oben erwähnt, jemand kommt über das/dein WLAN.
Was verwendest du denn für Parameter für das WLAN? Und welches Routermodell ist es genau, was WLAN AccessPoint spielt? Firmwareversion wäre ggf. auch interessant um zu prüfen, ob da bekannte Lücken vorhanden sind...

Tzk schrieb:
Da viele User die Begriffe "AP" und "Router" vermischen, tippe ich mal das er im LAN der Fritzbox einfach einen Belkin als AP einsetzt um das WLAN von dort aus im Haus/der Wohnung zu verteilen.
Zum Vergrößern anklicken....

So ist das ziemlich sicher zu verstehen, aber was wird da vermischt? Dieses Belkin Device ist deswegen immernoch ein "Router". Er nutzt offenbar aber nur die WLAN Funktionalitäten dieser Kiste. -> das macht das Gerät rein von der Klasse aber nicht zu einem AP bzw. nicht zu einem Gerät, was man ausschließlich AP schimpfen würde. Es ist und bleibt ein Router mit WLAN Funktionalität, von mir aus auch integriertem WLAN AP.
 
Zuletzt bearbeitet:
fdsonne schrieb:
Da viele User die Begriffe "AP" und "Router" vermischen, tippe ich mal das er im LAN der Fritzbox einfach einen Belkin als AP einsetzt um das WLAN von dort aus im Haus/der Wohnung zu verteilen.
Zum Vergrößern anklicken....

Das stimmt genau, da habe ich mich leider ungenau ausgedrückt. WLAN ist mittels WPA2 verschlüsselt. Blöde Frage: Alles was ich an den Belkin anschließe (WLAN, LAN) bekommt automatisch vom DHCP der FritzBox (7272, neuste Firmware) ein IP-Adresse. Wie komme ich auf die Konfigurationsseite vom Belkin Router? Seit 5 Jahren lief alles einwandfrei und ich habs glatt vergessen^^

fdsonne schrieb:
Auch solltest du mal prüfen, wer noch so alles Zugang zu deinem Netz hat. Möglicherweise Familienangehörige? Freunde? Bekannte?
Warum frage ich? -> den kryptischen Namen zu urteilen, kann das auch gelinde gesagt einfach eine VM auf einem bekannten Gerät (von dir, der Family, Freunden oder Bekannten) sein, was bei dir im Netz klemmt und via BridgeMode direkt eine IP bezieht... Oder eben, wie oben erwähnt, jemand kommt über das/dein WLAN.
Was verwendest du denn für Parameter für das WLAN? Und welches Routermodell ist es genau, was WLAN AccessPoint spielt? Firmwareversion wäre ggf. auch interessant um zu prüfen, ob da bekannte Lücken vorhanden sind...
Zum Vergrößern anklicken....

Ich habe jetzt nebenbei von meiner Frau mitbekommen, dass unser 15 Monate alter Sohn im Wohnzimmer wieder mal alle Geräte angeschalten hat. Könnte ein Gerät davon einen so starken Down- und Upload erzeugen? Einer der drei "PCs" habel ich als meinen alten Samsung Plasma PS51D6900DS identifiziert. Der ist aber so alt, dass da sicher keine neue Firmware gekommen ist und die dürfte ja auch keinen "großen" Upload erzeugen.
 
Ich schrieb oben, ein tracert würde weiterhelfen. Das würde zeigen, ob der Traffic aus den LAN oder von außen kommt. Und mein Link zeigt Google-Treffer, wie man die Fritzbox mitsniffen lässt. Warum machst Du das nicht?

Gesendet von meinem ARIA mit Tapatalk
 
omavoss schrieb:
Ich schrieb oben, ein tracert würde weiterhelfen. Das würde zeigen, ob der Traffic aus den LAN oder von außen kommt. Und mein Link zeigt Google-Treffer, wie man die Fritzbox mitsniffen lässt. Warum machst Du das nicht?

Gesendet von meinem ARIA mit Tapatalk
Zum Vergrößern anklicken....
#


Ich vermute weil er den bösen 15 Monate alten Hacker ausfindig gemacht hat ;)
 
Da mittlerweile diese Geräte ausgesteckt sind und seit dem auch keine max. Auslastung mehr gesehen habe, gebe ich PCTOM recht.
Mich wundert es nur, warum so alte Geräte auf einmal so eine Auslastung hervorbringen.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
182
justinh999
J
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh