Antwort schreiben 
 
Themabewertung:
  • 0 Bewertungen - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Verdächtige Zugriffe
19-02-2021, 15:41
Beitrag: #1
Verdächtige Zugriffe
Hallo Forumskollegen, ich betreibe eine XT2+, welche über einen Netgear Router Nighthawk R7000P an das LAN angeschlossen und mittels Port-Weiterleitung für Fernabfrage eingerichtet ist. Die letzten Tage ist mir aufgefallen dass mein Router unzählige Einträge von Zugriffen unterschiedlichster IP-Adressen aufweist. Alle verweisen dabei auf die IP und Port der XT2?! Auch wenn ich keine Ahnung habe, wie lange das schon so ist - die Anlage läuft jetzt schon 3 Jahre - auch wenn mir bisher noch keinerlei Auswirkungen dieser (hoffentlich nur Versuche) Zugriffe auffallen, bin ich jetzt doch sehr beunruhigt. Das Thema der Port-Weiterleitung ist mir hinlänglich bekannt und ich werde auch auf VPN umsteigen (falls es mir gelingt), aber lässt sich zu solchen Zugriffen etwas sagen? Das sind ja innerhalb weniger Stunden -zig verschiedene IP's - was wollen die von mir? Oder ist das irgendeine 'normale' Form einer Kommunikation der XT mit der Außenwelt? Kann ich mir kaum vorstellen. Hätte auch weniger Sorge um die Alarmanlage - da kann kaum wer was anstellen - aber könnte im Fall eines gelungenen Zugriffs auf die XT eigentlich auch mein PC selbst Ziel einer Attacke werden Huh
Ich habe jetzt die Portweiterleitung als erste Maßnahme mal abgeschalten - jetzt ist im Wesentlichen mal Ruhe. Aber vielleicht gibt es dennoch irgendeine andere Erklärung.
Ich habe einen Auszug dieser Router-Berichte angehängt, falls jemand etwas damit anfangen kann.
Danke für eure Hinweise. LG Franky


Angehängte Datei(en)
.pdf  Router Berichte.pdf (Größe: 105,13 KB / Downloads: 254)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
19-02-2021, 16:01
Beitrag: #2
RE: Verdächtige Zugriffe
Das wirst Du nicht verhindern können. Nimm bei der Portweiterleitung einen Port, der weniger geläufig ist (also nicht 80 oder 443). VPN ist grundsätzlich die bessere Lösung, wird die Angriffe auf Deinen Router allerdings nicht verhindern, da Du mit VPN ja lediglich eine sicherere Lösung in der Kommunikation zwischen zwei Endgeräten herstellst. Diese Angriffe bleiben i.d.R. erfolglos, wenn Du ein gutes Passwort verwendest und den Fernzugriff auf Deinen Router offline stellst. Regelmäßige Router-Updates sollen auch hilfreich sein, womit der Router Hersteller die Hauptverantwortung trägt, auf aktuelle Gefahren rechtzeitig zu reagieren.

Nachtrag: Du solltest auch mal die DNS im Router ändern, weil das pdf auf gezielte Angriffe schließen lässt. Mach am besten folgendes: Statt Port 443 nimm z.B. den Port 10487, ändere die dns (123.lupus-ddns.de in xxx.lupus-ddns.de), hast Du eine feste IP beim Provider? Stell den Fernzugriff im Router aus, ändere prophylaktisch mal Deine Passwörter im Router und der XT2.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
19-02-2021, 16:16
Beitrag: #3
RE: Verdächtige Zugriffe
Vielen Dank für die vielen Tipps - werde ich jedenfalls so versuchen

(19-02-2021 16:01)ssb-security schrieb:  
Nachtrag: Du solltest auch mal die DNS im Router ändern, weil das pdf auf gezielte Angriffe schließen lässt. Mach am besten folgendes: Statt Port 443 nimm z.B. den Port 10487, ändere die dns (123.lupus-ddns.de in xxx.lupus-ddns.de), hast Du eine feste IP beim Provider? Stell den Fernzugriff im Router aus, ändere prophylaktisch mal Deine Passwörter im Router und der XT2.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
19-02-2021, 18:49
Beitrag: #4
RE: Verdächtige Zugriffe
Schönes Beispiel, warum man auf Portforwarding verzichten sollte... Das PDF zeigt schon, dass deine IP bzw der DynDNS-Eintrag irgendwo kursiert oder sogar jemand über ein Bot-Netzwerk da irgendwas versucht. Verschiedene IPs und kleine zeitliche Abstände sind üblich, um in einfachen IDS nicht aufzufallen. Das könnten die üblichen Versuche sein, mit Username+Passwort Kombinationen reinzukommen (z.b. "admin" (passt ja schon) und den supersicheren Passwötern "123456" usw) oder gezielte Angriffe auf Schwachstellen der verwendeten Software (OpenSSL, den Webserver dahinter usw). Bei letzterem wirds eben bitter, wenn man durchkommt (was bei idR schlecht gepatchten Appliances schnell der Fall ist), denn wenn man dann auf dem System ist, ist man idR im Netzwerk und von da hopst man weiter. Was da genau reinkommt, könntest du sehen, wenn du die Requests auf einen Raspi leiten und mitloggen kannst.

(19-02-2021 16:01)ssb-security schrieb:  Nachtrag: Du solltest auch mal die DNS im Router ändern, weil das pdf auf gezielte Angriffe schließen lässt. Mach am besten folgendes: Statt Port 443 nimm z.B. den Port 10487,
Du meinst den externen Port, nicht DNS. DNS ist was anderes...
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
20-02-2021, 17:26
Beitrag: #5
RE: Verdächtige Zugriffe
Leider weiß ich nicht, ob das auch bei der XT2+ geht, aber bei meiner XT3 habe ich unter "System -> Zugangsdaten" auch den Benutzernamen des admin auf einen eigenen Eintrag (mit Sonderzeichen, Groß-/Kleinschreibung und Ziffern) geändert.
Somit kann schon mal keiner einfach so mit dem Standarduser (admin) zugreifen und lediglich das Passwort hält vom Zugriff ab.
Ich hoffe dabei natürlich, dass die Anlage nicht einfach so die im System definierten Usernamen an eine externe Anfrage aus dem Internet rausrückt.

Weiterhin hatte ich auch schon mal Versuche von Extern, auf meine Fritz!Box zuzugreifen.
Dabei wurden immer unterschiedliche Benutzernamen ausprobiert, die natürlich nicht im System hinterlegt waren.
Ich habe dann über Whois versucht mehr Details zur UrsprungsIP herauszufinden.
Dadurch konnte ich zumindest den Betreiber (irgendwo in Russland) herausfinden und habe deren Support eine Mail geschrieben, dass von einer IP aus ihrem Bereich unberechtigte Zugriffsversuche auf mein Gerät erfolgen und sie das mal prüfen sollen.
Natürlich habe ich keine Rückinfo mehr erhalten - aber die Zugriffsversuche haben seitdem gestoppt.

Für die FritzBox kann man auch unter "System -> Fritz!Box-Benutzer" zum Admin-User die Zwei-Faktor Authentifizierung (2FA) einrichten um eine zusätzliche Hürde für Zugriffe auf die Box aufzubauen. Ich weiß leider nicht ab welchem Fritz!OS das geht - ich habe OS 07.21.
In der Einstellung heißt es zwar "Bestätigung über Google Authenticator App" aber man kann auch eine andere One-Time-Password APP benutzen.
Ich verwende z.B. andOTP aus dem Google-Playstore.

XT3
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
21-02-2021, 01:05
Beitrag: #6
RE: Verdächtige Zugriffe
(19-02-2021 16:01)ssb-security schrieb:  Nachtrag: Du solltest auch mal die DNS im Router ändern, weil das pdf auf gezielte Angriffe schließen lässt. Mach am besten folgendes: Statt Port 443 nimm z.B. den Port 10487,
Du meinst den externen Port, nicht DNS. DNS ist was anderes...
[/quote]

Nö, ich meinte den (D)DNS in der XT.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
21-02-2021, 19:53
Beitrag: #7
RE: Verdächtige Zugriffe
(21-02-2021 01:05)ssb-security schrieb:  
(19-02-2021 16:01)ssb-security schrieb:  Nachtrag: Du solltest auch mal die DNS im Router ändern, weil das pdf auf gezielte Angriffe schließen lässt. Mach am besten folgendes: Statt Port 443 nimm z.B. den Port 10487,
Du meinst den externen Port, nicht DNS. DNS ist was anderes...

Nö, ich meinte den (D)DNS in der XT.
[/quote]

Was hat der DynDNS ([dynamischer] Domain Name Service) mit TCP/UDP-Ports zu tun? Das sind schon zwei verschiedene Dinge, zumal der DynDNS sinnvollerweise über den Internetrouter realisiert wird - aber das hatten wir hier auch schon etliche male durchgekaut.

Was du hier schreibst, betrifft den extern freigegebenen Port des Portforwardings, der dann im internen Netz auf die IP der XT auf Port 443 geleitet wird. Das hat absolut gar nichts mit DNS oder dynDNS zu tun.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
22-02-2021, 00:13
Beitrag: #8
RE: Verdächtige Zugriffe
Was hat der DynDNS ([dynamischer] Domain Name Service) mit TCP/UDP-Ports zu tun? Das sind schon zwei verschiedene Dinge, zumal der DynDNS sinnvollerweise über den Internetrouter realisiert wird - aber das hatten wir hier auch schon etliche male durchgekaut.

Was du hier schreibst, betrifft den extern freigegebenen Port des Portforwardings, der dann im internen Netz auf die IP der XT auf Port 443 geleitet wird. Das hat absolut gar nichts mit DNS oder dynDNS zu tun.
[/quote]

Jetzt wird mir die Abkürzung DDNS übersetzt und da wird`s schon komisch. Die DDNS hat mit den Ports gar nichts zu tun. Wer sagt das?
Auffällig ist, dass wiederholt an mehreren Tagen die gleiche IPV4 angreift und wie ist das möglich, wenn der Angegriffene keine feste IPV4, die ja nun mal täglich wechselt oder Kabel-DSL (wo die IPV4 monatelang nicht wechselt) hat. Also kennt der Angreifer die "DDNS", die ich als erstes wechseln würde. Dann muss sich der Angreifer ein neues Ziel suchen, denn der Router und die XT des Betroffenen ist im Nirvana verschwunden.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
22-02-2021, 10:14
Beitrag: #9
RE: Verdächtige Zugriffe
(22-02-2021 00:13)ssb-security schrieb:  Die DDNS hat mit den Ports gar nichts zu tun. Wer sagt das?

DNS ist auf OSI in der Anwendungsschicht, Ports gehören zur Transportschicht. Das sollte schon reichen. Aber auch beim reinen drüber nachdenken, sollte das klar sein.

(22-02-2021 00:13)ssb-security schrieb:  Auffällig ist, dass wiederholt an mehreren Tagen die gleiche IPV4 angreift und wie ist das möglich, wenn der Angegriffene keine feste IPV4, die ja nun mal täglich wechselt oder Kabel-DSL (wo die IPV4 monatelang nicht wechselt) hat. Also kennt der Angreifer die "DDNS", die ich als erstes wechseln würde. Dann muss sich der Angreifer ein neues Ziel suchen, denn der Router und die XT des Betroffenen ist im Nirvana verschwunden.

Jetzt wird ein Schuh draus und beim nochmaligen Lesen deines Textes wird mir in Verbindung hiermit klar, was du meinst. Dein Text ist nur etwas verdreht oben, du redest von DNS, dann die Aufforderung die Ports zu verändern und danach erst, den Domain-Namen zu ändern. Wäre es sortierter, wäre es vielleicht klarer gewesen. Vielleicht mein Fehler, vielleicht hat es aber dann ein Anfänger noch weniger verstanden bzw. vermischt genau beides.

Ja, das ist korrekt, wenn sich denn seine IP-Adresse geändert haben sollte, ist sein Domainname kompromittiert, so schrieb ich es ja auch. Aber heutzutage, wo jeder Anbieter auch noch Smart-Home-Zeugs über Internet-Verbindung verkauft + Fernsehen, wechselt die IP-Adresse nicht mehr, auch bei DSL nicht mehr. Nur noch bei Resyncs, die, wenn die Leitung stabil ist (in der Fritzbox kann man das super anpassen auf alte Standards), eher die Ausnahme sind. Ich habe seit mehreren Monaten keinen mehr gehabt und der letzte Resync lag daran, dass ich die Stromleiste getauscht habe, also Reboot Wink

Also sollte der Threadsteller mal in seinem Router-Log gucken, wie lange die Verbindung schon steht.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
01-03-2021, 22:31
Beitrag: #10
RE: Verdächtige Zugriffe
Also erst mal Danke für eure Versuche da vielleicht etwas Licht in die Sache zu bringen. Allerdings muss ich auch sagen dass es mir in der Sache selbst nicht wirklich weiter geholfen hat. Ich habe natürlich gleich mal User, Passwörter, DynDNS, und externen Port geändert. Den internen Port hatte ich auch versucht zu ändern - hat aber nicht geklappt denn dann war die XT nicht mehr erreichbar. Hatte also alles mögliche versucht, aber kaum war die Weiterleitung mit der neuen DDNS wieder am Netz, gingen auch die "Zugriffe" unvermindert weiter. Kann mir also nicht wirklich vorstellen dass da so schnell und fast im Minutentakt Zugriffsversuche erfolgen. Vor allem da keinerlei Manipulation weder auf einem der Rechner noch auf der XT2 selbst feststellbar ist. Im Gegensatz dazu gibt es bei den Kameras, welche über eigene Ports direkt im Netz hängen keinerlei Zugriffe. Nachdem es solche Zugriffe aber schon seit vielen Monaten wenn nicht sogar Jahren gibt, glaube ich zumindest bei den vielen eingetragenen "LAN Access .. ") nicht wirklich daran dass es irgendwelche gefährliche Attacken sind. Und wenn doch erreichen sie scheinbar nichts. Einzig die sehr selten auftauchenden "DOS attack ..." machen mir vielleicht Sorge, aber auch die hatten bisher keine merkbaren Auswirkungen. Ich denke dass gute Router bei entsprechender Konfiguration schon mal einen guten Schutz bieten (ich weiß manche sind anderer Meinung) und Hacker kommen ohnehin überall rein - selbst VPNs sind ja schon gehackt worden.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
23-03-2021, 21:46
Beitrag: #11
RE: Verdächtige Zugriffe
Und die neuen Zugriffe finden weiter auf 443 statt oder dem neuen externen Port? Die externe IP hat sich auch wirklich mal geändert?
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
23-03-2021, 21:57
Beitrag: #12
RE: Verdächtige Zugriffe
Falls Du wirklich (ich will Dir ja glauben) die DynDNS, den externen Port (z.B. 443 auf 10871) geändert hast und keine feste IP beim Provider besitzest, oder Kabel-DSL und immer noch die gleiche Anzahl Angriffe auf den Router erhältst, wie vor den Änderungen, dann scheint mir das Problem eher ein internes zu sein, weil dieses Szenario wirklich extrem unwahrscheinlich ist.
Über welchen Dienst hast Du die DNS angelegt? Benutzeraccount geändert? geh mal zu noip , leg eine neue Adresse an, lösch die DNS in der XT und versuch das noch mal.
An der XT2+ kann das auf gar keinen Fall liegen, dass wüsste ich.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
10-04-2021, 21:38
Beitrag: #13
RE: Verdächtige Zugriffe
Sorry für meine verspätete Antwort. Habe in der Zwischenzeit auf das routereigene VPN umgestellt und die Port-Umleitung raus genommen. Auch das hat nichts verändert. Nach wie vor jede Menge Einträge. Ich hoffe also dass es wirklich eher "harmlose" Einträge sind. Bis jetzt ist ja auch sonst nichts passiert!
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
10-04-2021, 23:29
Beitrag: #14
RE: Verdächtige Zugriffe
Aha..., habe gerade mal das Protokoll meines Routers (LANCOM IAP-321) der letzten 10 Tage angeschaut und da gab`s keinen einzigen Angriff. Vielleicht hat das was mit Deinem Router zu tun. Kannst Du sowas wie DOS Protection oder Portscan ein/ausschalten? Manche Router geben das her. Schau mal ob Du die Funktion "Respond Ping on Internet port" irgendwo in der GUI findest. Hast Du manchmal Geschwindigkeitsprobleme? Die würden auch durch DOS Attacken ausgelöst. Also Normal ist das definitiv nicht, noch nicht mal bei einem Standard AVM Router ist mir sowas bekannt. Die VPN schützt nur den Weg von Deinem Router zum mobilen Endgerät. Wenn jemand auf Deinen Router kommt, bringt das nichts. Damit kommt er zwar noch lange nicht auf die XT, könnte aber z.B. Deine VPN verändern oder löschen, so dass keine Meldungen mehr am Endgerät ankommen.

SSB-Security.de - Sicherheitstechnik Siegen
Planung und Remote Einrichtung Video & Alarm Bundesweit und Ausland
Dahua - Hikvision - AXIS - Lupus
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
Antwort schreiben 




Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste