Skip to main content
Warum O2
Warenkorb
 Service
Gelöst

täglicher Fritzbox / Portscan Angriff

  • March 30, 2022
  • 20 Antworten
  • 2038 Aufrufe
S
Besucher:in

Hi, täglich werde ich (bestimmt auch andere) mehrmals von einer festen IP ( 193.46.255.250 ) gescannt. Es wird mit verschiedenen Benutzernamen versucht auf die Fritzbox und ins Interne Netz zu kommen. Auf die Kontaktaufnahme zur Unterlassung wird nicht reagiert.

Leider ist meinem Provider Kontakt → O2 Technik (2 Mitarbeitern) dieses Problem unbekannt und ich soll mich an AVM wenden, was aber Unsinn ist. Ein Nachverfolgen, ein IP Monitoring oder ein blocken wird abgelehnt.

Viele prüfen nie ihre Logs, oder bekommen das nicht mit solange nichts passiert, aber muss es soweit erst kommen. Hat nicht am Schluß O2 den Ärger und die Arbeit? 

Die IP ist bereits negativ bekannt https://www.liveipmap.com/?ip=193.46.255.250

Lösung von o2_Lars

Hallo @Schneehals,Hallo @gr3n und Hallo @luczz, willkommen hier in unserer o2 Community :-)

Portscans im Internet sind so alt wie das Internet selbst. Naja, nahezu. Sehr wahrscheinlich wird an jedem Router und Rechner, der mit einer öffentlichen IP-Adresse mit dem Internet verbunden ist, täglich mehrere male angeklopft und geschaut, welche Ports offen sind. Davon erscheint zum Beispiel in einer Fritzbox aber nicht wirklich was im Logfile, da sie im Regelfall eben nach außen keine offne Ports hat und dies dann auch nicht protokolliert. 

Anders wird es, wenn ihr auf dem Router einen Port öffnet, auf dem sich aus dem Internet heraus mit einem Benutzernamen und Kennwort angemeldet werden kann, zum Beispiel, wenn man von unterwegs auf Dienste des Routers zugreifen möchte, seien es nun Dateien, Konfiguration, was auch immer. 

In solchen Fall schaut die Fritzbox einfach, ob eine passende Kombination aus Nutzername und Kennwort angegeben wird. Wenn ja, wird dies protokolliert, wenn nein, dann ebenfalls.

Wenn man solche Meldungen nicht mehr sehen möchte, dann ist die Lösung, wie weiter oben schon geschrieben relativ einfach, einfach jegliche Dienste, die aus dem Internet heraus erreichbar sind zu deaktivieren und gegebenenfalls Portweiterleitungen auszuschalten.

Falls ein Zugriff von unterwegs aber erforderlich sein sollte, dann stellt sicher, dass kein generischer Nutzername (wie eben “Admin” oder ähnlich) genutzt wird und auch das Kennwort möglichst komplex ist. Diese Einträge werdet ihr dann aber eben weiterhin in den Logfiles finden. Irgendwann wahrscheinlich auch mit einer anderen IP-Adresse.

Letztendlich ist dies ein völlig normaler Vorgang, der eben auch einfach einmal deutlich macht, wie wichtig es ist, zum einen immer eine sichere Kombination aus Nutzernamen und Kennwort zu nutzen und zum anderen nie mehr Ports und Dienste zum Internet hin offen zu haben als wirklich absolut erforderlich.

Das, was sich in den Logfiles der Fritzbox findet, sind, um einen Vergleich mit der realen Welt heran zu ziehen, einfache Klingelstreiche.

Gruß,

Lars

 

    20 Antworten

    schluej
    Legende
    • schluej
    • March 30, 2022

    Moin,

    Das ist völlig normal… die Angriffe.

    Du kannst ja den Hoster in NL anschreiben. O2 kann da nichts tun.

    Trag die IP in der Firewall der FRITZ!Box ein. Fertig.

    Oder halt offene Ports schließen…

    Live long and prosper 🖖
      A
      • Anonymous
      • March 30, 2022

      Hallo @Schneehals und willkommen an Bord.

      Früher, als ich noch Sygate-Personal-Firewall im Einsatz hatte, habe ich da auch empfindlich auf solche PortScans reagiert. Wenn sie dann zu nervig wurden hatte ich unter Linux den Ping of death angewendet. (ping -f -l und so weiter) Gerade die Fritten sind sicher, es sei denn, Du hast einen Port für TCP freigegeben, der Probleme bereiten könnte. Siehe hierzu auch hier:

      https://www.heise.de/security/dienste/Spezielle-Ports-476542.html

      Da der fping inzwischen ja nicht mehr geht, die OS (selbst Windows) nicht abstürzen, sondern maximal keinen Onlinezugriff haben, solange der fping läuft, kannst Du da nicht viel machen.

      Andererseits wiederum kannst Du O2 nicht in die Pflicht nehmen. da O2 nicht für jeden einzelnen Kunden Sicherheiten im Netz garantieren kann. ;)

      Was Du für Dich prüfen kannst ist, ob Du z. B. OnlineBanking machst, mache ich nicht. Auch sonst nutze ich nichts, was für Angreifer monetär brauchbar wäre. Da ich auch keinerlei sozialen Netzwerke nutze, falle ich wohl aus dem Beuteschema von irgendwelchen ScriptKiddies! ;)

      Ich bin da heute gelassener, kann aber Deine genervte Reaktion absolut nachvollziehen! ;)

      Gruß

      Joachim

      Edit:

      Huch, da war @schluej schneller, aber im Tenor liegen wir ja beide gleich, nämlich, dass O2 da nichts machen kann! ;)

      S
      Besucher:in
      • Schneehals
      • Autor
      • Besucher:in
      • March 30, 2022

      Danke für euere Info, angeschrieben hatte ich ja den Hoster. Ja ich habe einige Dienste laufen, die ich jetzt gestoppt habe.

      Ich hatte vor Jahren durch ein “unzureichendes” Kennwort meines Hetzner Rootserver Lehrgeld bezahlen müssen, deshalb bin ich vorsichtig geworden.

      Zu heutigen Zeiten verursachen sinnlose Anfragen vielleicht keine Latenz mehr, aber bei Erfolg hat O2 die Arbeit und genervte Kunden. Es macht nur unnütz Arbeiten wenn man überall Feuerlöscher aufstellt, statt den Brandstiftern zu fangen = Störenfried blacklisten.

       

      Vorbeugen ist besser als auf die Schuhe zu kotzen.

      A
      • Anonymous
      • March 31, 2022

      Halle @Schneehals ,

      lade Dir auch generell mal den AdwCleaner herunter:

      https://de.malwarebytes.com/adwcleaner/

      Nur um sicher zu gehen, dass Du Dir nicht ein PUP (Potentiell Unerwünschtes Programm) gefangen hast.

      Wenn ich Deinen Gedanken weiterdenke, dann sollte O2 vielleicht einen DNS-Server anbieten, der per se bekannte lästige IPs etc. blockt? Gute Idee, aber machbar? ;)

      schluej
      Legende
      • schluej
      • March 31, 2022

      Ich frage mich was der DNS Server da soll?

      Jeder halbwegs intelligente Hacker scan IP Bereiche. Die Anfänger machen das per Ping.

      Die besseren gehen gleich auf den Port der sie interessiert. Zur not gibt es auch Suchmaschinen wenn man nach einer Hersteller antworten sucht.

      Wenn es immer eine IP ist dann trägt man die in die Firewall ein und fertig.

      Tipp gleich den ganz IP Range des Provider nehmen, sonst wird die nächste IP aus dem Bereich genommen.

      Das der DNS Server quatsch ist, erkennt man an der x[Cricetinae] Seite.

      Live long and prosper 🖖
        A
        • Anonymous
        • March 31, 2022

        Bonasera, bonasera, was habe ich Dir getan?

        Ich habe doch nur seinen Gedanken, so wie ich es interpretiert habe, weiter gedacht, um deutlich zu machen, dass dies nicht geht. Mehr nicht. Und ja, eine feste IP macht WC (wohl kaum) Sinn, es sei denn, es handelt sich um einen an sich ganz legalen Dienst. (Der auf VLC basierende ACE Stream ist z. B. so ein Programm, daher mein Rat mit dem AdwareCleaner!)

        Natürlich, gleich den IP-Range des Providers blocken. Bis dann ein weiterer PortScan auffällt und auch hier den gesamten IP-Range des nächsten Providers blocken. Am Ende geht dann nichts mehr.

        Setze mich doch einfach auf die Blockier-/Ignoreliste! ;)

        schluej
        Legende
        • schluej
        • March 31, 2022

        @JoachimK. Nix.

        Die eigenen DNS Server manipuliert O2 ja schon. Einer der Gründe warum ich den O2 DNS nicht nutze.

        Bei der festen IP komme ich jetzt nicht mehr mit…

        Es gibt einfach „IP - Adressen“ die immer scannen u. wie oben schon erwähnt, es werden IP Blöcke gescannt. Das beste Mittel ist den IP Range blocken, wenn es nervt. 

        Live long and prosper 🖖
        A
        • Anonymous
        • March 31, 2022

        Bei der festen IP komme ich jetzt nicht mehr mit…

        Hallo @schluej ,

        na, ein Hacker wird doch nicht so unvorsichtig und immer ein und die selbe IP nutzen!? Ferner: Definiere Hacker. Es gibt im Darknet jede Menge Seiten, wo Schadsoftware verkauft wird. Sprechen wir da von Hackern oder doch eher ScriptKiddies? ;) Was echte Hacker machen, erleben wir ja u. a. aktuell…

        Gehab Dich wohl und schönen Abend noch

        Joachim

        schluej
        Legende
        • schluej
        • March 31, 2022

        Bei der festen IP komme ich jetzt nicht mehr mit…

        Hallo @schluej ,

        na, ein Hacker wird doch nicht so unvorsichtig und immer ein und die selbe IP nutzen!?

        Doch das machen die… Kann man oben ja nachlesen.

        Die IP ist dafür auch bekannt…

        👌

        Live long and prosper 🖖
          G
          Besucher:in
          • gr3n
          • Besucher:in
          • April 4, 2022

          Seit dem 22.03.2022 versucht man von der IP 193.46.255.250 aus, mit den üblichen Accountnamen den Zugang zur FB zu erlangen. Dies passiert mehrfach täglich, nach dem u.a. Muster.

          Anmeldung des Benutzers Admin an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 193.46.255.250 gescheitert (falsches Kennwort). [2 Meldungen seit 04.04.22 01:12:43] 

          schluej
          Legende
          • schluej
          • April 4, 2022

          Entweder der Firewall sagen das sie die Verbindung ablehnt oder keine Ports öffnen!

          Live long and prosper 🖖
            L
            Besucher:in
            • luczz
            • Besucher:in
            • April 4, 2022

            Bin zwar mit DSL bei 1&1 habe aber das gleiche Problem “Anmeldung des Benutzers avm an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 193.46.255.250 gescheitert (falsches Kennwort).”

            L
            Besucher:in
            • luczz
            • Besucher:in
            • April 4, 2022

             

            schluej
            Legende
            • schluej
            • April 4, 2022

            Dann sperrt die IP in der Firewall oder schließt den Remote-Zugriff.

            Aber nervt nicht damit. An guten Tag kann ich hier über 1000 Angriffe zählen.

            https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3299_FRITZ-Box-meldet-Anmeldung-des-Benutzers-gescheitert/

            Live long and prosper 🖖
            L
            Besucher:in
            • luczz
            • Besucher:in
            • April 4, 2022

            chill doch mal was dein Problem.. habe selbst eine Sophos XG Home Firewall als VM dahinter.. mache mir doch auch keine sorgen… aber wenn man solche Probleme nie hatte darf man doch seine Erfahrung teilen.. also verstehe dein Problem nicht.. dann ignoriere doch die Beträge… Mensch Mensch Mensch

            schluej
            Legende
            • schluej
            • April 4, 2022

            @luczz Ich bin gechillt… Ihr schreibt doch ohhh ich werde immer von IP xxx angegriffen.

            Und was bringt das jetzt das wir wissen das Du auch von der IP gescannt wirst?

            KOnstruktive Maßnahmen? Anzeige erstatten? Den Hoster anschreiben?

            Du bist bei Sophos im Vertrieb und wer sich bei Dir meldet bekommt 5% Rabatt?

            Live long and prosper 🖖
            L
            Besucher:in
            • luczz
            • Besucher:in
            • April 4, 2022

            Auf so ne sinnlose Diskussion habe ich eh kein Bock.. denke was du denkst.. und gute N8

            schluej
            Legende
            • schluej
            • April 4, 2022

            Auf so ne sinnlose Diskussion habe ich eh kein Bock.. denke was du denkst.. und gute N8

            Habe ich ja gleich gesagt, das es Sinnfrei ist.

             

            chill doch mal was dein Problem.. habe selbst eine Sophos XG Home Firewall als VM dahinter..

            Dahinter ist dann relativ spät, wenn die schön mit der FRITZ!Box telefonieren… 

            Live long and prosper 🖖
              A
              • Anonymous
              • April 5, 2022

              Also ich muss da jetzt mal einem Mario Lanza die Beine brechen für @schluej . Es nützt doch nichts, wenn hier wiederholt erklärt wird, dass es PortScans gibt. Er hat entsprechend die Lösung bereits zwei mal vorgegeben. Entweder keine Ports öffnen (was sich nicht immer vermeiden lässt) oder eben die IP in der Firewall sperren und ab der Fisch. ;)

              Wie die aufgeschreckten Hühner hier zu berichten macht unerfahrene Nutzer nur unsicher...

                o2_Lars
                • o2_LarsModerator
                • Moderator
                • Lösung
                • April 9, 2022

                Hallo @Schneehals,Hallo @gr3n und Hallo @luczz, willkommen hier in unserer o2 Community :-)

                Portscans im Internet sind so alt wie das Internet selbst. Naja, nahezu. Sehr wahrscheinlich wird an jedem Router und Rechner, der mit einer öffentlichen IP-Adresse mit dem Internet verbunden ist, täglich mehrere male angeklopft und geschaut, welche Ports offen sind. Davon erscheint zum Beispiel in einer Fritzbox aber nicht wirklich was im Logfile, da sie im Regelfall eben nach außen keine offne Ports hat und dies dann auch nicht protokolliert. 

                Anders wird es, wenn ihr auf dem Router einen Port öffnet, auf dem sich aus dem Internet heraus mit einem Benutzernamen und Kennwort angemeldet werden kann, zum Beispiel, wenn man von unterwegs auf Dienste des Routers zugreifen möchte, seien es nun Dateien, Konfiguration, was auch immer. 

                In solchen Fall schaut die Fritzbox einfach, ob eine passende Kombination aus Nutzername und Kennwort angegeben wird. Wenn ja, wird dies protokolliert, wenn nein, dann ebenfalls.

                Wenn man solche Meldungen nicht mehr sehen möchte, dann ist die Lösung, wie weiter oben schon geschrieben relativ einfach, einfach jegliche Dienste, die aus dem Internet heraus erreichbar sind zu deaktivieren und gegebenenfalls Portweiterleitungen auszuschalten.

                Falls ein Zugriff von unterwegs aber erforderlich sein sollte, dann stellt sicher, dass kein generischer Nutzername (wie eben “Admin” oder ähnlich) genutzt wird und auch das Kennwort möglichst komplex ist. Diese Einträge werdet ihr dann aber eben weiterhin in den Logfiles finden. Irgendwann wahrscheinlich auch mit einer anderen IP-Adresse.

                Letztendlich ist dies ein völlig normaler Vorgang, der eben auch einfach einmal deutlich macht, wie wichtig es ist, zum einen immer eine sichere Kombination aus Nutzernamen und Kennwort zu nutzen und zum anderen nie mehr Ports und Dienste zum Internet hin offen zu haben als wirklich absolut erforderlich.

                Das, was sich in den Logfiles der Fritzbox findet, sind, um einen Vergleich mit der realen Welt heran zu ziehen, einfache Klingelstreiche.

                Gruß,

                Lars

                 

                ≋ Schnickschnack. Gedöns. Krams. Spiel, Spaß, Spannung ➤➤➤ g.o2.de/wcr ≋
                  Allgemeine Nutzungsbedingungen der O₂ CommunityAccessibility statement
                  © Telefónica Germany GmbH & Co. OHG Telefónica