Diese Website verwendet Cookies, um Dein Surferlebnis zu verbessern. Durch die weitere Nutzung der Website stimmst Du der Verwendung von Cookies zu.   Erfahre mehr.
Zustimmen
Heiko Schuster

Angriffe von Extern auf FB

Hallo zusammen,


heute habe ich wieder einmal die "Ereignisse" unter "System" in meiner Fritz-Box angeschaut und musste feststellen, dass von Extern (nicht WLan) versucht wurde auf die Benutzeroberfläche der FB zu gelangen. Dies ist aber nicht gelungen, da man einen User (ftpuser) benutzt hat, der inaktiv ist und auch nicht vom Internet zugreifen kann. Ebenfalls wurde ein falsches Passwort benutzt. Die IP-Adressen der Angreifer sind im System aufgelistet und lauten: 46.17.42.213, 46.17.42.180 und 79.142.70.44 (mehrfach). Kann ich mich gegen diese Angriffe schützen oder kann UM diese IPs sperren? Ist noch jemand betroffen?


Gruß Heiko

Speichern Abbrechen
Konnte dir geholfen werden?
  • Ja
Dieser Beitrag wurde geschlossen.
Es ist nicht möglich, Kommentare zu schreiben. Du kannst aber jederzeit eine Frage stellen.
Frage stellen
11 Kommentare
2018-07-22T07:25:56Z
  • Sonntag, 22.07.2018 um 09:25 Uhr
Nimm mal dein Haus/Wohnung.
Es ist einfach nicht möglich zu verhindern, dass ein Fremder bis zu deiner Tür kommt und versucht, deine Tür mit einem beliebigen Schlüssel zu öffnen. Deshalb hat ja jeder ein eigenes Schloss an der Tür.

Abhängig vom Firmwarestand der Fritzbox gibt es schon einige Möglichkeiten, weniger Angriffe zuzulassen. (Ich habe eine eigene 6490 mit FW 6.87. Was in der noch verbreiteten 6.50 geht, weiss ich nicht):

- unter Internet/Freigababen/Fritzbox-Dienste kannst du FTP komplett deaktiveren,, wenn du es nicht selbst benötigst.
- unter Internet/Filter/Listen kannst du den Stealth-Mode aktivieren. Das erschwert das Finden deiner Fritzbox von außen.
- unter System/Fritzbox-Benutzer kannst du unbeschadet den FTPuser entfernen. Das erzeugt aber beim Angriff nur eine andere Fehlermeldung.


2018-07-22T07:29:37Z
  • Sonntag, 22.07.2018 um 09:29 Uhr
Das sind leider mittlerweile standardisierte Angriffsversuche, die auf alle Fritzboxen versucht werden. Da laufen ständige Portscans von Botnetzen, um möglichst viele Boxen zu erkennen. Entweder du schaltest den FTP-Server ab oder nutzt nur noch ein VPN dafür.
2018-07-22T08:47:07Z
  • Sonntag, 22.07.2018 um 10:47 Uhr
Lass mal eine vernünftige IDS Firewall mitlaufen und Du wirst erschrecken wie viele Angriffe tatsächlich auflaufen. 

Ich blocke sämtliche Länder außer Deutschland generell, da ist man schon mal einen Großteil der Angriffe los. Den Rest übernimmt Suricata. 

2018-07-22T08:58:30Z
  • Sonntag, 22.07.2018 um 10:58 Uhr

Danke für die Infos.


- FTP war von Anfang an deaktiviert

- Stealth ist seit dem ersten Angriff aktiv

- ftpuser war deaktiviert und ist jetzt gelöscht.

- mit der Firewall muss ich testen


Schönes Wochenende.

2018-07-24T20:13:47Z
  • Dienstag, 24.07.2018 um 22:13 Uhr
hm, eine vlan hardware firewall wäre wohl ideal , gerade wenn server laufen, tun sich ja aus aller welt
leute an dein schloss wagen ...

in dieser dann zb bereits korrekte filterlisten / regeln anlegen, auch ländersperren möglich oder
hammering modus (kunde kommt bis zu deinem schloss und hämmert permanent)
- normal sollte man die tür öffnen und ihm honeypot drüberleeren -

2018-07-24T20:22:55Z
  • Dienstag, 24.07.2018 um 22:22 Uhr
Naja VLAN ist ja eigentlich Standard wenn man nicht mit mehreren Netzen arbeiten möchte. Wirklich helfen kann es aber bei Angriffen auch nicht. Da können nur IDS Firewalls etwas bewerkstelligen. Ich setze hierfür Suricata und pfBlocker mit GeoIP ein. Was da aufläuft ist erschreckend.


Interessanterweise laufen auf der Unitymedia Leitung deutlich mehr Angriffsversuche als auf der Telekomleitung. 

2018-07-24T20:29:42Z
  • Dienstag, 24.07.2018 um 22:29 Uhr
und wie trägst du dort zb update server adressen ein, von microsoft oder ausländischen dingen ?
du hast vorhin geschrieben, diese länderblockade ... (das internet wird eh verrückt,möchte garnicht wissen wieviele prozent heute VPN nutzen) jeder router alles um jede route
ich hab mich mal ein wenig in mikrotik eingelesen , cisco, aber die sind meistens nicht anfängerfreundlich und man sollte ohnehin ne menge hintergrundwissen für solch eine konfiguration mitbringen.


was kostet deine lösung zb. hardwaretechnisch. ich
bin privatanwender und wenn ich mir jetzt dieses suricata,
pfsense/blocker oder konsorten als hardware zulege, welche hardware
empfiehlst du hier ?

reden wir hier von ca 100 anschaffungskosten oder eher 400 aufwärts ?=

danke
2018-07-24T20:34:37Z
  • Dienstag, 24.07.2018 um 22:34 Uhr
Was meinst Du mit Updateserveradressen? Ich kann von meinem Netz aus jede IP in jedem Land erreichen. Nur fremde Länder können von sich aus nicht auf meinen Anschluss zugreifen.


Die Anschaffungskosten sind in meinem Fall überschaubar. Meine Hardware für die pfSense ist ein Mini PC mit i5 CPU und 4 Intel NIC's. Man kann dafür auch einfach einen PC nehmen. Ich habe mir einen Quotom besorgt da der ein passiv gekühltes Metallgehäuse hat samt Anschluss für eine serielle Konsole. Davor natürlich ein vernünftiges Kabelmodem, dahinter einen Switch. 


pfSense und Suricata sind Opensource und kostenlos. 


VPN realisiere ich via IPsec um von unterwegs auf mein Smart Home und Überwachungskameras zuzugreifen. Da ich auch einfache chinesische Kameras im Einsatz habe, sind die natürlich Outbound komplett geblockt und versuchen verzweifelt IP Adressen in Hong Kong und Shenzen  zu erreichen.

2018-07-24T20:37:57Z
  • Dienstag, 24.07.2018 um 22:37 Uhr
ok, und die 4 intel NICS (kein SFP òder`?) sind normale LAN Anschlüsse GIGABIT?

könnte ich ein inten nuc oder ein selfmade itx machen zb J5005 Asrock ,4GB Ram, 128SSD ?reicht das schon aus ? (nur onboard vga) der würde nur 10-20 watt brauchen

ja das mit den cams kenn ich mit dem onvif -auch hierfür wäre ein NAS mit surveillance station tip top .. aber da entsteht natürlich auch traffic, upload download, der separiert werden sollte von anderem oder ?
2018-07-24T20:42:16Z
  • Dienstag, 24.07.2018 um 22:42 Uhr
du könntest mir direkt deine whatsapp nummer schicken, darfst mir das alles per temviewer installieren dann