Irgendwie werden diese Versuche immer öfter. Ist das bei Euch auch so /
muss ich mir Sorgen machen?
Beispiel von heute:
1
26.01.21 20:30:20 Anmeldung des Benutzers Office an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
2
26.01.21 17:10:11 Anmeldung des Benutzers Administrator an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
3
26.01.21 16:25:29 Anmeldung des Benutzers ulik an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
4
26.01.21 15:41:02 Anmeldung des Benutzers admin an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
5
26.01.21 14:57:58 Anmeldung des Benutzers cweigel an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
6
26.01.21 14:24:17 Anmeldung des Benutzers ttritter an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
7
26.01.21 13:39:45 Anmeldung des Benutzers ipad@stuedemann.info an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).[/c]
8
26.01.21 12:55:46 Anmeldung des Benutzers admin@poppenburg.net an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
9
26.01.21 12:10:07 Anmeldung des Benutzers cybercat an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
10
26.01.21 11:39:25 Anmeldung des Benutzers ttritter an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
11
26.01.21 10:55:50 Anmeldung des Benutzers info@k-secit.de an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
12
26.01.21 10:10:31 Anmeldung des Benutzers admin an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
13
26.01.21 09:27:46 Anmeldung des Benutzers info@ts-telecom.de an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
14
26.01.21 06:20:36 Anmeldung des Benutzers sascha@pc-nanny.de an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 185.232.52.55 gescheitert (falsches Kennwort).
Thomas V. schrieb:> Schalte einfach den Zugriff auf die Weboberfläche aus dem Internet ab.
Das ist auch Default bei der FB. Das muss also jemand eingestellt haben.
Der jemand war ich selbst - habs jetzt zur Sicherheit abgeschaltet.
Schade, dann gehts auch nicht mehr via DynDNS.
Nur durch Zufall habe ich in den Ereignisspeicher geschaut und war
überrascht wie häufig diese Anmeldeversuche sind.
Danke für die Hinweise!
Torsten S. schrieb:> Der jemand war ich selbst - habs jetzt zur Sicherheit abgeschaltet.> Schade, dann gehts auch nicht mehr via DynDNS.
Was spricht gegen ein VPN zur Fritzbox?
Gar nichts - das ist mein nächster Schritt.
Ich habe den Router schon lange am laufen und war deswegen überrascht.
Wer macht sowas, ist das eine KI oder spulen die einfach Scripte mit
Wörterbücher ab?
Torsten S. schrieb:> Irgendwie werden diese Versuche immer öfter. Ist das bei Euch auch so /> muss ich mir Sorgen machen?
Wo man sich anmelden kann, da wird das auch konsequent ausprobiert. Ist
nicht weiter ungewöhnlich und in jedem Protokoll solcher Systeme zu
finden. Achte auf ein sicheres Password.
Kann man bei der FB den Port der Weboberfläche ändern? Wenn man die von
80 oder 443 wegbewegen kann, sollten die meisten Blödis es nicht mehr
probieren.
Wenn man dann noch Port 80 (oder 443) auf eine nicht existierende
interne IP weiterleitet, bekommt der Blödi auch noch einen schönen
langen Timeout.
Wichtig ist ein sicheres Passwort und die Kontrolle der erfolgreichen
Zugriffe. Die Fritzbox erhöht mit jedem fehlerhaften Zugiff die Zeit für
die Akzeptanz der nächste Passworteingabe.
(prx) A. K. schrieb:> Wo man sich anmelden kann, da wird das auch konsequent ausprobiert. Ist> nicht weiter ungewöhnlich und in jedem Protokoll solcher Systeme zu> finden. Achte auf ein sicheres Password.
Genau das ist der Punkt. Die gesamte Sicherheit hängt am Passwort. Und
(weil im Thread das VPN als Alternative vorgeschlagen wurde): da ist das
ganz genau so.
Das VPN hat dann nur noch einen Vorteil: der erfolgreiche Angreifer
gewinnt nicht gleich die Kontrolle über die Zentrale der lokalen
Infrastruktur, wenn er das Passwort "geknackt" hat. Aber er ist dann
schon mit einem Bein drinne und die weitere Eskalation seiner
Möglichkeiten fällt ihm viel leichter.
Naja, wenn er nicht nur ein dummes Script-Kiddie ist, auf deren Konto
die meisten derartigen Angriffe gehen dürften. Die Profis beschäftigen
ich eher selten damit, in die LANs irgendwelcher Normalkonsumenten
einzusteigen...
merkwürdig das alle Anfragen von der IP-Adresse 185.232.52.55 kommen
Hackerangriffe sind das nicht
Mich wundert auch das da Versuche von z.B. stuedemann.info oder
k-secit.de dabei sind
Irgendwer hat da wohl irgendwo eine Weiterleitung falsch eingestellt?
Heinz R. schrieb:> merkwürdig das alle Anfragen von der IP-Adresse 185.232.52.55 kommen
Nö, der heutige Standard. Irgendein "Cloud"-Hosting-Laden (in diesem
Fall in Holland), ein dubioser Kunde (Sitz auf den Seychellen) und dazu
eine Yandex-Adresse, was wenig überraschenderweise nach Russland riecht.
Heinz R. schrieb:> Hackerangriffe sind das nicht
Was sonst? Ein dementer Fritzbox-User?
Heinz R. schrieb:> Mich wundert auch das da Versuche von z.B. stuedemann.info oder> k-secit.de dabei sind
Die Brute-Force-Dictionaries setzen sich häufig sehr seltsam zusammen.
Ich denke, jeder Account, der mal irgendwo funktioniert hat, landet
erstmal auf Verdacht darin.
Torsten S. schrieb:> Der jemand war ich selbst.
Das gehört mit einer gehackten Box bestraft. Es gibt keinen Grund, den
externen Zugriff auf die Konfiguration zuzulassen!
Hier gibt es keine Fritz, sondern etwas bessere Technik - da habe ich
den Zugriff auf das interne LAN begrenzt, selbst mit meinem WLAN-Laptop
komme ich nicht auf die Konfigurationsoberfläche.
> Schade, dann gehts auch nicht mehr via DynDNS.
Der Zusammenhang existiert nicht.
c-hater schrieb:> Genau das ist der Punkt. Die gesamte Sicherheit hängt am Passwort.
Nee. Wo kein Zugriff, kein Port offen ist, muß auch kein sicheres
Passwort hinterlegt sein.
Heinz R. schrieb:> merkwürdig das alle Anfragen von der IP-Adresse 185.232.52.55 kommen
Das finde ich auch sehr eigenartig. In meinem Syslog sehe ich diverse
Verbindungsversuche, mehrere Ports von der selben IP ausgehend, aber
niemals mehrfach wiederholt. Ich weiß nicht, ob klein Fritzchen das
kann, ich kann zwischen "reject" und "deny" auswählen, hier gehen
unzulässige Versuche über "deny", also Timeout.
Manfred schrieb:> Es gibt keinen Grund, den> externen Zugriff auf die Konfiguration zuzulassen!
Manchmal doch. Nicht immer sitzt der Admin eines Netzes innerhalb
dieses Netzes.
Manfred schrieb:> Heinz R. schrieb:>> merkwürdig das alle Anfragen von der IP-Adresse 185.232.52.55 kommen>> Das finde ich auch sehr eigenartig. In meinem Syslog sehe ich diverse> Verbindungsversuche, mehrere Ports von der selben IP ausgehend, aber> niemals mehrfach wiederholt.
Du bekommst ja auch nur die Scans ab, die begnügen sich oft mit einem
einzigen SYN pro Host/Port-Kombination und geben dann auf.
Bei ihm wiederum haben sie etwas Brute-Force-Würdiges gefunden und
verteilen die "Arbeit" zwar in diesem Fall nicht auf ein Botnet, aber
lassen sich immerhin etwas Zeit zwischen den Versuchen, um nicht ganz so
laut zu sein.
(prx) A. K. schrieb:>> Es gibt keinen Grund, den>> externen Zugriff auf die Konfiguration zuzulassen!>> Manchmal doch. Nicht immer sitzt der Admin eines Netzes innerhalb> dieses Netzes.
Auch dann: Nein. Er macht es 'hintenrum' über seinen VPN-Tunnel.
----
Mal gucken, was offen ist: https://www.grc.com/x/ne.dll?bh0bkyd2
Manfred schrieb:> Auch dann: Nein. Er macht es 'hintenrum' über seinen VPN-Tunnel.
Wie oben schon beschrieben ist eine VPN nicht grundsätzlich sicherer als
der Webzugang, wenn die Sicherheit der VPN auch bloss auf einem shared
secret basiert. Nicht immer hat man dabei feste IPs.
ich glaube da zugegeben noch immer nicht an einen Hacking-Versuch - da
muss was anderes dahinter stecken
Beim Hacken geht es um Geld - was wollen die mit einem FritzBox-Zugang
eines Privatmenschen? 0190-Nummern anrufen?
Die wollen verdienen - die werden sicher nicht Millionen von privaten
IP-Adressen checken - dort alle möglichen Passwörter durch probieren -
was sollen sie mit dem Zugang anstellen?
Manfred schrieb:> Mal gucken, was offen ist: https://www.grc.com/x/ne.dll?bh0bkyd2
Nu hat man mal die Hoffnung, auf Leute zu treffen, die ihr Metier
verstehen, aber nixda. Es ist einigermassen witzlos, wenn die GRC-Site
den CG-NAT Server meines Kabelanschlusses traktiert, weil sie kein IPv6
kann. ;-)
Heinz R. schrieb:> ich glaube da zugegeben noch immer nicht an einen Hacking-Versuch - da> muss was anderes dahinter stecken
Ich hatte oben die AbuseIPDB verlinkt: "This IP address has been
reported a total of 174 times from 168 distinct sources. 185.232.52.55
was first reported on November 21st 2020, and the most recent report was
6 hours ago."
Heinz R. schrieb:> ich glaube da zugegeben noch immer nicht an einen Hacking-Versuch - da> muss was anderes dahinter stecken
Das siehst Du falsch.
Heinz R. schrieb:> Beim Hacken geht es um Geld - was wollen die mit einem FritzBox-Zugang> eines Privatmenschen? 0190-Nummern anrufen?
So ähnlich: Auslandsrufnummern, bei denen sie eine Provision vom
dortigen Netzbetreiber bekommen. Ist doch ein alter Hut, in den 90ern
wurden teilweise Dialer in den KVz oder Hausverteilungen gefunden, heute
müssen sie dafür keine Erkältung mehr riskieren.
Auf Telefonanlagen-Honeypots konnte ich auch genau das Verhalten
beobachten.
Hmmm schrieb:> Heinz R. schrieb:>> merkwürdig das alle Anfragen von der IP-Adresse 185.232.52.55 kommen>> Nö, der heutige Standard. Irgendein "Cloud"-Hosting-Laden (in diesem> Fall in Holland), ein dubioser Kunde (Sitz auf den Seychellen) und dazu> eine Yandex-Adresse, was wenig überraschenderweise nach Russland riecht.>> Heinz R. schrieb:>> Hackerangriffe sind das nicht>> Was sonst? Ein dementer Fritzbox-User?
Es sind Leute die damit ihr Geld verdienen. Bei Erfolg wird im Netz
weiter gemacht und dann kommt in der 2.Welle Ransomware.
>> Heinz R. schrieb:>> Mich wundert auch das da Versuche von z.B. stuedemann.info oder>> k-secit.de dabei sind>> Die Brute-Force-Dictionaries setzen sich häufig sehr seltsam zusammen.> Ich denke, jeder Account, der mal irgendwo funktioniert hat, landet> erstmal auf Verdacht darin.
Richtig, das sind aus erbeutete User/Password Kombinationen. Die Seiten
sind ja real. Können auch präparierte Seiten sein, die dann besucht
werden. Gäste liefern ja gleich ihre IP ab....
Heinz R. schrieb:> Beim Hacken geht es um Geld - was wollen die mit einem FritzBox-Zugang> eines Privatmenschen?
Eine offene Maschine ist für alles mögliche zu gebrauchen.
Man kann sie zum Beispiel auch nur als Router-Knoten benutzen, nur um
die eigene Identität zu verschleiern.
Dann bekommt der Anschlussinhaber die Post von der Polizei, wenn der
Angreifer darüber illegale Dinge abwickelt.
Hausbesuch schön und gut - aber da ein halbwegs sicheres Passwort das
äußerste ist, was man einem PC-Laien zumuten kann, kriegt er nur ein
echtes Problem wenn er seinen Router komplett ungesichert betreibt. Wenn
er ein Passwort hatte, jemand knackt's und baut mit der Hardware Mist,
kann der Anschlussinhaber nichts dafür und es wird schwierig ihn zu
bestrafen... schließlich hatte er ein Passwort, der Router war nicht
fahrlässig offen.
Das wäre jedenfalls meine Meinung zum Thema Hausbesuch wegen sowas. Ich
nehme an mit einem halbwegs guten Anwalt zahlt der Staat hinterher für
den bei der Hausdurchsuchung angerichteten Schaden und den
Vertrauensverlust gegenüber der Staatsmacht kann man nich wieder gut
machen - daher sollte man sich solche extremen Maßnahmen gut überlegen
bzw. vorher mal ein wenig Aufklärungsarbeit leisten bevor man gleich
besucht.
Kruse schrieb:> Falls der Zugang von aussen wirklich unbedingt notwendig ist (SEHR SEHR> selten), daan sollten auch den Port ändern in den höheren 5-stelligen> Bereich.
Wenn man das über MyFritz einrichtet, um diesen DynDNS-Dienst zu nutzen,
geschieht das ohnehin.
Ben B. schrieb:> Das wäre jedenfalls meine Meinung zum Thema Hausbesuch wegen sowas.
Selbst wenn du am Ende Recht behälst (und das ist sehr unwahrscheinlich,
da begründeter Anfangsverdacht), wirst du trotzdem erstmal morgens um 6
ausgesprochen unsanft geweckt. Wenn es um Verbrechen nach StGB geht,
bringen die Jungs auch gerne ihren eigenen Schlüssel* mit.
https://www.stahlziele.com/tuerramme
Wie gesagt, für diesen Schaden werden sie meiner Meinung nach hinterher
auch zahlen. Einfach nur Anfangsverdacht ohne weitere Ermittlungen oder
einschlägige, nachhaltige Hinweise rechtfertigt wohl nicht das Zerstören
der Tür, da kann man auch klingeln. Tür einklopfen geht nur bei Sachen,
die ausreichend schwergewichtig sind um diese Methode der
Beweissicherung überhaupt zu rechtfertigen und dann auch nur wenn beim
normalen Klingeln die Gefahr besteht, daß Beweise vernichtet werden.
Übrigens sind die bei Straftaten wie z.B. einer Bombendrohung sehr
schnell da, das sind vielleicht 2..3 Stunden. Dann werden sie sämtliche
IT für die Forensik beschlagnahmen, Dir bleibt nicht mal ein Smartphone.
Wie lange sie hinterher für die Untersuchung brauchen kann dauern, aber
an dem Punkt braucht man sowieso einen Anwalt. Der hat nach meiner
Auffassung auch beste Chancen auf Erfolg wenn da jemand irgendwas ohne
Wissen des Besitzers gehackt war und dieser sich nicht durch
fahrlässiges Handeln (z.B. WLAN ohne Passwort) drankriegen lässt.
(prx) A. K. schrieb:>> Mal gucken, was offen ist: https://www.grc.com/x/ne.dll?bh0bkyd2>> Nu hat man mal die Hoffnung, auf Leute zu treffen, die ihr Metier> verstehen, aber nixda.
Selbstgespräch?
> Es ist einigermassen witzlos, wenn die GRC-Site> den CG-NAT Server meines Kabelanschlusses traktiert, weil sie kein IPv6> kann. ;-)
Ich habe einen "richtigen" Anschluß, IPv6 und DS-Lite. Ich sehe hier
alle Verbindungsversuche ankommen:
Abhängig von meiner lokalen Konfiguration zeigt ShieldsUp entweder
"Stealth" oder "Closed".
Bei CG-NAT am Kabelanschluß würden die von Torsten S. (tse) gezeigten
Anfragen den heimischen Anschluß garnicht erreichen.
Port zumachen. Fwknop installieren. Wenn die Fritzbox das nicht kann,
anderen Router nehmen oder Port weiterleiten an eine Kiste, die das kann
und als Jump Server dienen kann.
Manfred schrieb:> Mal gucken, was offen ist: https://www.grc.com/
Müll, der Idiot hat bis heute NICHTS kapiert. Beispiel:
"
TruStealth: FAILED - A PING REPLY (ICMP Echo) WAS RECEIVED.
"
OMG...
mal angenommen jemand hackt meine Fritzbox - wie auch immer - Fehler
meinerseits oder Sicherheitsleck bei AVM
Das Lukrativste wäre wohl dann0190 Nummern anzurufen
Dagegen kann ich mich wohl kaum schützen?
Brauche Festnetztelefon eigentlich gar nicht - aber abbestellbar ist es
wohl nicht?
Heinz R. schrieb:> Das Lukrativste wäre wohl dann0190 Nummern anzurufen
Es sind nicht immer 0190 Nummern, da gibt es auch noch diejenigen, die
mit Telefonnetzanbietern in Afrika "Provisionsverträge" haben - wie zum
Beispiel in Ghana.
Die knacken erst eine übers Internet zugängliche Telefonanlage und rufen
dann permanent über alle verfügbaren Kanäle solange Telefonnummern in
Ghana an, bis die Telekom was merkt und Anrufe ins Ausland sperrt. Ich
kenne so einen Fall, gerade mal 3 Monate her.
Die Provisionen basieren auf der Tatsache, dass bei Netzübergängen (zum
Beispiel ins Ausland) nicht nur der Betreiber des Netzes profitiert, aus
dem der Anruf kam, sondern auch der Betreiber des Netzes, in den der
Anruf geht - hier also Ghana. Als normaler Kunde bekommt man so etwas
nicht mit, ist aber so. Nennt sich u.a. "Netzübergangsgebühren".
> Dagegen kann ich mich wohl kaum schützen?
Doch: Du kannst bei der Telekom - sofern Du Kunde bist - Anrufe ins
Ausland sperren lassen:
https://www.telekom.de/hilfe/festnetz-internet-tv/telefonieren-einstellungen/anrufe-ins-ausland-sperren?samChecked=true
Ob das auch für 0190-Nummern geht, weiß ich nicht.
Heinz R. schrieb:> Das Lukrativste wäre wohl dann0190 Nummern anzurufen
0190 gibt es schon seit Ende 2005 nicht mehr, und bei den 0900ern ist es
meines Wissens durch eine andere rechtliche Struktur nicht mehr so
einfach, die Verantwortlichen hinter kaskadierten Briefkastenfirmen zu
verstecken.
Deshalb sind das heutzutage wieder (fast) ausschliesslich
Auslandsnummern.
Heinz R. schrieb:> Dagegen kann ich mich wohl kaum schützen?> Brauche Festnetztelefon eigentlich gar nicht - aber abbestellbar ist es> wohl nicht?
Erstmal natürlich Mehrwert- und ggf. Auslandsnummern sperren lassen.
Du kannst auch im Router einfach die VoIP-Accounts entfernen. Allerdings
bringt das nur dann etwas, wenn man sie nicht per Autoprovisioning
zurückbekommen kann und der Anbieter überhaupt eine Authentifizierung
erfordert - was die Telekom z.B. standardmässig nicht tut.
Unabhängig von der Telefoniegeschichte hat jemand, der Deinen Router
kontrolliert, natürlich immer die Möglichkeit, a) mit Deiner IP-Adresse
Mist zu bauen und b) sich ggf. auch noch in Deinem LAN auszutoben.
Heinz R. schrieb:> Das Lukrativste wäre wohl dann0190 Nummern anzurufen
0190 war einmal (bis 2005), seit vielen Jahren 0900 *)
Die 0900 kann man leider nicht pauschal sperren, da es ein paar
Ortsnetze **) damit gibt, macht Spaß, in Telefonanlagen Sperrwerke
einzurichten.
*)
https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Nummerierung/Rufnummern/0900/0900_node.html
**) http://www.deutschland-adressen.de/vorwahlen-09.php> Dagegen kann ich mich wohl kaum schützen?
Jeder Anbieter muß es ermöglichen, solche Bereiche zu sperren.
> Brauche Festnetztelefon eigentlich gar nicht - aber abbestellbar ist es> wohl nicht?
Frage Deinen Internetanbieter.
Ich habe DSL ohne Telefonie, weil mir die Preise nicht gefallen.
Festnetztelefonie habe ich trotzdem, Sipgate und Dusnet kommen dafür in
Betracht, unabhängig davon, wer Internet liefert. Bei Beiden habe ich
Prepaid, im Extremfall könnte mir jemand die aktuell aufgeladenen 15
Euro klauen, dann ist Schluß.
Frank M. schrieb:> da gibt es auch noch diejenigen, die> mit Telefonnetzanbietern in Afrika "Provisionsverträge" haben - wie zum> Beispiel in Ghana.
So ist das, die Sperre der Premiumdienste hat sich herumgesprochen und
wurde auch von der BNetzA mehrfach verfolgt, lohnt nicht mehr.
> Doch: Du kannst bei der Telekom - sofern Du Kunde bist - Anrufe ins> Ausland sperren lassen:
Doof nur, wenn man die gelegentlich braucht, hier Verwandtschaft im
fernen Ausland.
> Ob das auch für 0190-Nummern geht, weiß ich nicht.
Siehe oben, 0190 ist Geschichte, 0900 ist angesagt:
Auch das muß gehen:
https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Verbraucher/Rufnummernmissbrauch/schutz/VerbraucherMoeglichkeiten__node.html
Interessant wäre mal, ob die Anbieter das korrekt umsetzen, ich mit
0900-Sperre noch die JVA Kaisheim (09009) erreichen kann.
Ich habe vorgestern in meinen Einstellungen bei dus.net etwas ändern
müssen, da gibt es auch eine Liste, wo ich zu sperrende Ziele eintragen
kann. Offen ist, welcher Privatkunde das macht, wer hinreichend Wissen
dazu hat.
Manfred schrieb:> Die 0900 kann man leider nicht pauschal sperren, da es ein paar> Ortsnetze **) damit gibt, macht Spaß, in Telefonanlagen Sperrwerke> einzurichten.
Das muss noch aus der Anfangszeit der 0900-Nummern sein, selbst in der
BNetzA-Liste von 2010 sind die schon nicht mehr drin.
Manfred schrieb:> Interessant wäre mal, ob die Anbieter das korrekt umsetzen, ich mit> 0900-Sperre noch die JVA Kaisheim (09009) erreichen kann.
09002 Rain Lech -> 09090
09003 Harburg Schwaben -> 09080
09004 Tapfheim -> 09070
09005 Bissingen Schwaben -> 09084
09006 Mertingen -> 09078
09007 Marxheim -> 09097
09008 Bissingen-Unterringingen -> 09089
09009 Kaisheim -> 09099
"Seit dem 30.06.96 können nur noch die neuen Ortsnetzkennzahlen für die
folgende Ortsnetzbereiche im Raum Donauwörth verwendet werden. Ein
Anrufer, der die alte Ortsnetzkennzahl gewählt hat, wird durch eine
Ansage auf die neue Vorwahl hingewiesen. Dies gilt, solange der
Nummernbereich 0900 nicht durch Zuteilung von Rufnummern für die neuen
Telekommunikationsdienste belegt ist. Die ersten Zuteilungen von
Rufnummern für Informations- und Ansagedienste sind im neuen Bereich
0900 zum Herbst 1997 wirksam geworden."
Es gab also nie eine teilweise Überschneidung, sondern sogar über 1 Jahr
Abstand zwischen Umstellung der Vorwahlen und Inkrafttreten der ersten
0900-Zuteilungen.
Manfred schrieb:>> Doch: Du kannst bei der Telekom - sofern Du Kunde bist - Anrufe ins>> Ausland sperren lassen:>> Doof nur, wenn man die gelegentlich braucht, hier Verwandtschaft im> fernen Ausland.
Kein Problem - du kannst die Sperre per Internet im Online-Kundencenter
selbst administrieren.
Hmmm schrieb:> Manfred schrieb:>> Interessant wäre mal, ob die Anbieter das korrekt umsetzen, ich mit>> 0900-Sperre noch die JVA Kaisheim (09009) erreichen kann.>> 09002 Rain Lech -> 09090> 09003 Harburg Schwaben -> 09080> 09004 Tapfheim -> 09070> 09005 Bissingen Schwaben -> 09084> 09006 Mertingen -> 09078> 09007 Marxheim -> 09097> 09008 Bissingen-Unterringingen -> 09089> 09009 Kaisheim -> 09099
Danke für Deine Info.
Heißt also, dass www.deutschland-adressen.de seine Listen nicht pflegt.
Wie so oft, was im Internet steht, muß wahr sein ... oder manchmal
leider nicht.
Passt auch, Kaisheim 09099 steht seit Anfang 2017 in meiner persönlichen
Liste, 09009 war einmal :-(
Torsten S. schrieb:> muss ich mir Sorgen machen?
Hast du irgendwelche Probleme?
Hast du selbst eine Ursache dafür? Bist du ein spezielles Angriffsziel?
Dein Router macht doch, was er soll.
99,99% der Internetnutzer schaut da nicht rein.
Er schützt dich.
Das ist das "Typische Grundrauschen".
Da hat jemand über einen google/Suchmaschinen Dork deine F!B gefunden
und lässt über bruteforce eine Liste laufen.
So weit keine Gefahr sofern dein Passwort nicht 1234567890 oder so ist.
Das war bei den Servern die ich bisher so Administrativ betreut habe
nicht anders. Also keine Panik.
Aus jux kannst du ja mal einen Raspi laufen lassen, SSH und eine kleine
Seite mit "Fakelogin" aufsetzen.
Da siehst du das es solche Versuche immer gibt.
Kilo S. schrieb:> Das ist das "Typische Grundrauschen".
Ja.
Kilo S. schrieb:> Da hat jemand über einen google/Suchmaschinen Dork deine F!B gefunden
Nein, da sucht keiner bei Google, die suchen sich automatisch Ziele.
Kilo S. schrieb:> und lässt über bruteforce eine Liste laufen.
Ja.
Kilo S. schrieb:> So weit keine Gefahr sofern dein Passwort nicht 1234567890 oder so ist.
...oder mal wieder ein Fritzbox-Bug dafür sorgt, dass es auch ohne
Zugangsdaten geht. Sowas in ein VPN zu verpacken, ist schon die bessere
Option.
Kilo S. schrieb:> Das war bei den Servern die ich bisher so Administrativ betreut habe> nicht anders. Also keine Panik.
Mit dem Unterschied, dass ein offener http- oder https-Port an der
privaten Fritzbox nicht notwendig ist.
Vor ein paar Wochen gab es einen Bericht in der c't, dass ein NAS
gehackt wurde - der Heimwerkermüll hat sich per UPnP den Zugang
selbsttätig aufgeschlossen :-(
Manfred schrieb:> Mit dem Unterschied, dass ein offener http- oder https-Port an der> privaten Fritzbox nicht notwendig ist.
Das kann hier noch so oft wiederholt werden und trotzdem ist es
Situations und Fähigkeiten/Wissens abhängig.
Jemand der nur wenig über die heutigen Möglichkeiten weiß wird den
einfachsten Weg gehen.
Also eine DynDNS einrichten und den Remotezufriff auf die Fritzbox
einschalten oder Myfritz benutzen.
Es ist zwar durchaus möglich das ein VPN, das verändern der Ports, die
Nutzung von MyFritz oder auch das nutzen eines im Netzwerk befindlichen
Server als Brücke einen erfolgreichen Angriff verhindert, all dies ist
aber immer damit verbunden das es für alle diese Lösungen keine
Möglichkeit gibt sie zu Hacken.
Da es absolute Sicherheit nicht gibt, jeden Tag neue Exploits für alle
möglichen Geräte und Software veröffentlicht werden, Daten geleakt
werden, Smartphones und Rechner kompromittiert ist es genauso gut
möglich das ein Angreifer auch bei hohen Sicherheitsvorkehrungen
irgendwie einen Weg findet ins Netzwerk einzudringen und die Kontrolle
an sich zu reißen.
Mit einem guten Passwort, regelmäßigen Updates und Kontrolle der logs
kann ein normaler Heimanwender sich durchaus relativ sicher fühlen.
Schon deshalb weil ein privater Anschluss kein besonders Lukratives Ziel
ist.
Natürlich kann man ein bisschen Geld machen damit, natürlich hat man so
eine Gratis Möglichkeit seine Angriffe von dort aus erscheinen zu
lassen, manchmal gibt es sogar interessante Daten auf den Rechnern im
Netzwerk...
Aber der Aufwand ist gerechnet am nutzen zu groß.
Spätestens wenn die Liste mit Usernamen und Passwörtern abgearbeitet ist
hat der Angreifer keine Lust mehr sich weiter mit einem gut
abgesicherten Ziel zu beschäftigen. Dann lieber ein neues und einfacher
zu knackendes Ziel finden.
Alles andere ist ohne weitere Informationen zeitverschwendung.
Kilo S. schrieb:> Aber der Aufwand ist gerechnet am nutzen zu groß.>> Spätestens wenn die Liste mit Usernamen und Passwörtern abgearbeitet ist> hat der Angreifer keine Lust mehr sich weiter mit einem gut> abgesicherten Ziel zu beschäftigen. Dann lieber ein neues und einfacher> zu knackendes Ziel finden.>> Alles andere ist ohne weitere Informationen zeitverschwendung.
ganz genau so sehe ich es auch - da sind alles Zufallsfunde
Ich behaupte sogar: die meisten Angriffe haben noch nicht mal monetäres
Interesse - das sind irgendwelche Kiddies die zeigen wollen was sie
können
Ist genau so wie wenn einer hier ins Haus einbricht
Ja, ich habe den Schaden, aber großen Profit wird er keinen draus ziehen
Es wird wohl keiner den 55" TV mit vielleicht Restwert 300€ durch die
Straßen tragen, Schmuck usw gibt es hier keinen
Heinz R. schrieb:> ganz genau so sehe ich es auch - da sind alles Zufallsfunde>> Ich behaupte sogar: die meisten Angriffe haben noch nicht mal monetäres> Interesse - das sind irgendwelche Kiddies die zeigen wollen was sie> können
Entweder das oder automatisch laufende Scans um potentielle Ziele zu
testen.
O.T
Als ich vor 18 Jahren angefangen habe mich mit "Hacking" zu beschäftigen
war das ausschließlich aus dem Grund das ich damals selbst einen
öffentlich erreichbaren Server mit DynDNS an meiner Fritzbox laufen
hatte.
Zu der Zeit noch im Anfangsstadium meiner Webdesign und
Webentwicklungsfähigkeiten.
Regelmäßig hatte ich Probleme weil ich damals (php 3 Zeiten 🤣) keine
Eingaben für meine Seite gefiltert hatte und sich dauernd irgendjemand
einen Spaß daraus machte unsere Gaming Clan Seite zu hacken und unsere
Member abzuwerben.
Also musste ich lernen wie ich selbst erfolgreich Seiten (insbesondere
meine eigene) Hacke um zu verstehen wie ich das ganze verhindere.
Nach dem ich also meine ersten funktionierenden Angriffe gelernt hatte
trieb mich die Neugier natürlich auch zu anderen "Zielen".
Trotzdem habe ich selbs da schon gelernt das sich ein Ziel das viel
Arbeit macht um es unter seine Kontrolle zu bekommen kaum lohnte. Ich
habe damals fast 6 Wochen nach der Schule bis spät in die Nacht Angriffe
auf eine Seite eines anderen Clan versucht. Am Ende kam ich sogar weit
genug um tatsächlich Root Zugang zum Server zu erhalten.
Aber da war unser Spiel schon fast wieder uninteressant und unserer
Konkurrent den ich lahmlegen wollte wurde aufgelöst. Also reine
Zeitverschwendung.
Heute ist das ja nicht anders.
An privaten Anschlüssen Geld verdienen das es sich lohnt geht nur durch
Masse oder wenn man sicher weiß das Informationen auf einem Rechner im
Netzwerk einen Wert haben. Ein prallgefülltes Wallet mit Bitcoin,
Firmengeheimnisse, Bankdaten... wenn man weiß wo sie liegen und sicher
ist das sie da sind.
Dann arbeitet da aber auch kein script das auch noch vor jedem neuen
Versuch 30-40 Minuten wartet und Usernamen und Passwörter probiert.
Dann scannt man den Router vollständig von außen so weit man kommt und
versucht eine Lücke zu finden die sich schnell und effektiv ohne Spuren
im Log zu hinterlassen nutzen lässt.
Sonst wäre man schön blöd wenn man plötzlich ausgesperrt wird weil der
admin mitbekommt das man 10.000 falsche logins probiert hat.
Kilo S. schrieb:> aber immer damit verbunden das es für alle diese Lösungen keine> Möglichkeit gibt sie zu Hacken.
Deiner Argumentation nach reicht es also, das Gartentor abzuschliessen,
denn wer dort durchkommt, würde ja ohnehin auch die Haustür knacken
können.
Davon abgesehen kannst Du davon ausgehen, dass in einen VPN-Stack
deutlich mehr Sicherheits-Hirnschmalz eingeflossen ist als in das
Config-Frontend eines Consumer-Geräts. Viele Firmware-Modifikationen von
Consumer-Routern waren überhaupt erst möglich, weil das Config-Frontend
Sicherheitslücken aufwies.
Kilo S. schrieb:> Aber der Aufwand ist gerechnet am nutzen zu groß.
Die Hacks erfolgen vollautomatisch, und ein ein Millionenstückzahlen
verkauftes Gerät ist ein verdammt interessantes Ziel.
Das hat man nicht zuletzt bei Malware auf billigen Geräten wie
IP-Kameras gesehen: https://en.wikipedia.org/wiki/Mirai_(malware)Heinz R. schrieb:> Ich behaupte sogar: die meisten Angriffe haben noch nicht mal monetäres> Interesse - das sind irgendwelche Kiddies die zeigen wollen was sie> können
Für diese Aussage kommst Du etwa 20 Jahre zu spät.
Heutzutage ist das nach meinen Beobachtungen in der überwältigenden
Mehrheit finanziell motiviert, da waren die Experimente mit Honeypots
eindeutig.
Neben den Angriffen auf Telefonanlagen haben ich mir vor ein paar Jahren
auch mal die FTP-Brute-Forcer angesehen, die es wie vermutet auf
Webhosting-Accounts abgesehen hatten.
Im Erfolgsfall wurde meistens ein in Perl geschriebener Trojaner
nachgeladen, der sich mit einem C&C-Server verbindet und dann Mails
versenden, Hosts mit HTTP-Requests oder Pings flooden kann etc. - also
ein Werkzeug für Spammer, DDoS-Erpresser und ähnliche Gestalten.
Kilo S. schrieb:> Dann arbeitet da aber auch kein script das auch noch vor jedem neuen> Versuch 30-40 Minuten wartet und Usernamen und Passwörter probiert.
Doch, genau das ist heutzutage üblich, um (insbesondere bei
professionellen Zielen) im Grundrauschen unterzugehen.
Ich habe z.B. Portscans gesehen, die über Tage oder Wochen verteilt
wurden. In der Zwischenzeit war der Scanner natürlich nicht untätig, der
hat seine Ziele parallel abgeklappert.
Hmmm schrieb:> Deiner Argumentation nach reicht es also, das Gartentor abzuschliessen,> denn wer dort durchkommt, würde ja ohnehin auch die Haustür knacken> können.
Für einen solchen stumpfen wörterbuchangriff der einfach bekannte und
häufig verwendete Kombinationen Testet ist es tatsächlich wurscht ob du
einen VPN dazwischen hast so lange du eben bei der Wahl des Passwort
darauf achtest das es wirklich gut ist.
Ich habe damals selbst einen "Fakelogin" betrieben und einfach mal alle
loginversuche auf meine "Anmeldeseite" in eine Datei geschrieben. So
musste ich mir keine Liste selbst anlegen.
Dabei habe ich pro IP und Tag eine neue Datei anlegen lassen.
Die meisten solcher automatischen Scripts griffen damals auf ähnliche
oder gleiche Listen zu.
Hmmm schrieb:> Die Hacks erfolgen vollautomatisch, und ein ein Millionenstückzahlen> verkauftes Gerät ist ein verdammt interessantes Ziel.
Aber doch nicht für Wörterbuchangriffe. Das macht keinen Sinn. Bei einer
Lücke im Protokoll oder der anmeldeseite o.ä schon eher. Zum Passwörter
raten brauche ich nicht gezielt nach einer Sorte Geräte suchen sondern
ich suche nach allen Geräten mit anmeldeseite, teste meine Liste an
allen die ich finden kann um mehrere zu finden bei denen die passende
Kombination dabei ist.
Hmmm schrieb:> Ich habe z.B. Portscans gesehen, die über Tage oder Wochen verteilt> wurden. In der Zwischenzeit war der Scanner natürlich nicht untätig, der> hat seine Ziele parallel abgeklappert.
Also ein anderes Vorgehen als hier. Da ist es nur eine kurze Zeitspanne
die das script wartet bis zum nächsten Versuch. Und vermutlich war das
von dir beschriebene Szenario auch nicht auf eine Fritzbox angewandt.
Denn portscans dürfte die vermutlich auch nicht anzeigen als
"Potentiellen Angriff".
Sonst wären die logs ja schon beim Aufruf von eBay über mehrer Tage
hinweg mit täglich neuer IP gefüllt. eBay scannt Ports um kompromittiert
Systeme zu finden und verdächtige Transaktionen zu unterbinden.
Hmmm schrieb:> Heutzutage ist das nach meinen Beobachtungen in der überwältigenden> Mehrheit finanziell motiviert, da waren die Experimente mit Honeypots> eindeutig.
Selbst wenn dem so ist.
Bei diesem Wörterbuchangriff so wie hier in dem fall besteht eben nur
ein geringes Risiko das er erfolgreich ist und der Angreifer wird ganz
sicher das Interesse verlieren wenn die Kombination nicht dabei ist.
Sonst würde er anhand der Daten die er bisher gefunden hat schon lange
auf eine Lücke zurückgreifen mit der er sich sicher zugriff verschaffen
kann und nicht weiter "Ratespiele" spielen.
Thread beobachten
Seitenaufteilung abschalten