[gelöst] DM8000 und Fritzbox im LAN

    This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

    • @elisen-jens: Zur Erläuterung der netstat Ausgabe siehe z.B. hackerboard.de/threads/ich-ver…stat-befehls-nicht.43041/ oder searchsecurity.de/tipp/Netzwer…-offene-Ports-und-Malware. Interessant ist besonders die Spalte Remoteadresse. Die enthält (bei netstat -n) die IP-Adressen der Systeme, mit denen gerade eine Netzwerkverbindung besteht.
    • Hi Satory,
      danke für die Infos. Habe eine endlos lange Liste bei netstat -l mit diversen Ports der DM800 zu diversen TCP-IP Adressen, die ich nicht zuordnen kann: 146.16.232.xxx
      Keine Ahnung, was das nun bedeutet...

      Kann mich jemand aufklären, ob das Hacker sind, die von der DM8000 Daten ziehen (Tagesschau von letzter Woche)???

      Hab jetzt alles getan, inkl. Neuflash und manueller Installation; bin ratlos, wer mir 600-700 KB pro sec klaut...

      VG
      elisenjens
    • Komme mit dem Problem nicht weiter; generelle Frage: was in der DM8000 kann denn einen stetigen Netzwerktraffic von > 600 Kb im Upload erzeugen???
      Wenn ich das Netzwerkkabel trenne, ist Traffic=0. Meine Kandidaten: upnp, nfs, Partnerbox, Samba oder doch Hacker auf meiner Box???

      Bitte dringend um Hilfe!!!
    • eindeutig: habe eben NFS (Verbindung zur DM900) und Samba (Integration ins Win-Netzwerk) gelöscht und jetzt ist kein Upload mehr; kann mir jemand sagen, ob ich etwas falsch konfiguriere ider ob einer der Dienste das Einfallstor für Hacker sein kann???
    • Wenn Du über 3 Wochen sporadisch Ausfall des I-Net, des Telefons und DVB-C hättest, würdest du vermutlich auch an mehreren Stellen nach Hilfe suchen, oder?

      Vodafone war mit einem Techniker vor Ort (Thema Rückwegstörer); IHAD, weil ich nicht weiß, ob es Newnigma-spezifisch ist; OSCam-Forum, weil das hier nicht diskutiert werden soll; AVM, weil die den Dump des Routers lesen können.

      Ich wusste nicht, dass es hier hilft, wenn man weiß, dass ich auch an anderen Stellen nachfrage...

      Trotzdem fehlt bislang noch der zündende Gedanke!
    • Mir persönlich ist es ziemlich egal ob du in 20 Foren postest, aber es wäre zumindest denen gegenüber fair die versuchen zu helfen, zu wissen was schon alles besprochen und probiert wurde bzw. wenigstens die Möglichkeit zu haben das nachlesen zu können und dass man hier im Board nicht über OSCam sprechen darf, wäre mir neu.
    • OK
      Hier der Sachstand in Kurzform:
      - OSCam soll nicht so gesprächig sein
      - AVM braucht nach Neuimage der Box zwei Dumps (mit Upload und ohne Upload) um vergleichen zu können
      - Vodafone hat die Segel gestrichen
      - IHAD hat mir Tipps zum Netzwerk-Monitoring gegeben
    • Wie ich schon sagte, wenn es so ist dass sobald auf der Box eine Datei-Freigabe eingerichtet wird, Daten nach außen an eine dir unbekannte IP gesendet werden, ist dein Netzwerk infiziert. Das kann im Prinzip von jedem Gerät mit Zugriff auf dein Netzwerk ausgehen.
      Wurde die Box wirklich mit einem sauberen Image neu geflasht (kein Backup, keine alte Sachen wiederhergestellt)? Wurde sofort ein Passwort gesetzt? Wurden mal alle anderen Geräte nach dem Flashen vom Netzwerk getrennt? Evtl. hat es damit auch gar nichts direkt zu tun, sondern der ungewollte Zugriff erfolgt direkt über das WLAN (WLAN am Router mal ganz ausschalten wenn das Problem auftritt)?
    • Image vom NN2-Feed; kein Restore, auch nicht die Einstellungen; mit Passwort für die Dreambox meinst du die Prozedur mit Telnet? Das hab ich bislang noch nicht gemacht; im Netz ist noch die DM900; die hab ich abgeklemmt, die Fritzbox (wurde auch neu geflasht) und mein Win-PC (daran hab ich nix gemacht. Verstehe nur nicht, dass der Upload von der DM8000 quasi eigenmächtig läuft; dir Fritzbox hat doch auch eine Firewall und ich habe KEINE Ports geöffnet. Wie kommt man denn durch die Fritte an die DM8000???

      Spielen upnp bzw. das Web-IF hier eine Rolle?

      JETZT laufen gerade wieder 600 KB upload...

      The post was edited 1 time, last by elisen-jens ().

    • Folgendes habe ich heute probiert:
      - Samba Freigabe
      - NFS Freigabe
      - Media Server (upnp)
      Monitoring der Fritzbox per Laptop und nicht mit dem normalen PC (falls der "Befallen" ist).
      Erkenntnis: jedwede Freigabe zieht nach kurzer Zeit (im Minutenbereich) Upstream von > 600 KB/sec nach sich und legt damit meine Fritzbox praktisch lahm.
    • Hatte im IHAD einen Hinweis zu einem Link auf einem IP-Suchdienst und dort mit einer der IPs, die heute mit netstat auf meiner DM8000 angezeigt wurden, folgenden Treffer:

      Gefundener whois-Eintrag von 186.12.86.241:
      Using server whois.lacnic.net.
      Query string: "186.12.86.241"

      % Joint Whois - whois.lacnic.net
      % This server accepts single ASN, IPv4 or IPv6 queries

      % LACNIC resource: whois.lacnic.net

      % Copyright LACNIC lacnic.net
      % The data below is provided for information purposes
      % and to assist persons in obtaining information about or
      % related to AS and IP numbers registrations
      % By submitting a whois query, you agree to use this data
      % only for lawful purposes.
      % 2018-11-01 16:21:16 (-03 -03:00)

      inetnum: 186.12.0/17
      status: allocated
      aut-num: N/A
      owner: AMX Argentina S.A.
      ownerid: AR-CCTI1-LACNIC
      responsible: Administrador de Direcciones IP
      address: Av. de Mayo, 878,
      address: 1425 - Capital Federal -
      country: AR
      phone: +54 11 41098823 []
      owner-c: SAD3
      tech-c: SAD3
      abuse-c: SAD3
      inetrev: 186.12.0/17
      nserver: NS1.TELMEX.NET.AR [lame - not published]
      nsstat: 20181031 UDN
      nslastaa: 20120422
      nserver: NS2.TELMEX.NET.AR [lame - not published]
      nsstat: 20181031 UDN
      nslastaa: 20120422
      created: 20080822
      changed: 20080822

      nic-hdl: SAD3
      person: Administración Direcciones IP
      e-mail: ipaddressing.ar@CLARO.COM.AR
      address: Av. de Mayo, 878,
      address: C1084AAQ - Bs.As, - CF
      country: AR
      phone: +54 11 40003000 [3000]
      created: 20060511
      changed: 20161012

      % whois.lacnic.net accepts only direct match queries.
      % Types of queries are: POCs, ownerid, CIDR blocks, IP
      % and AS numbers.

      Wandern meine Daten (Tagesschau von letzter Woche) nach Argentinien???
    • Ich hab dafür keine schlüssige Erklärung mehr. Ich kann nur sagen wie ich jetzt vorgegangen wäre - ob logisch oder nicht sei mal dahingestellt. Ich hätte mir zum Testen einen anderen Router besorgt, mich zum Monitoring mit dem Handy eingeloggt und nur die Dream mit den Freigaben angeschlossen. Bleibt alles still, liegt die Vermutung nah, dass sich im Router was festgesetzt hat - wie auch immer das möglich ist.
      Interresant wäre auch was passiert, wenn man die Freigabe inkl. der internen IP der 8000 auf der 900 einrichtet, ob diese dann ebenfalls so mitteilsam wird.
    • Hab schon eine andere Fritzbox eingesetzt und einen Laptop als PC-Ersatz; das Ergebnis bleibt so: die Daten fließen von der DM8000 ins Web ab...
      Meine 900 hat keine interne Festplatte; müsste dann an USB gehen; das geh ich morgen mal an und besorge nochmal eine neue Fritzbox; ich hatte nicht das gleiche Modell und musste deshalb meine 7270 im Bridgemodus anschließen; deshalb ist die Aussage, dass das nix ändert nicht ganz sauber; die Idee mit der Freigabe und der umgewidmeten IP nehme ich gern auf...

      The post was edited 2 times, last by elisen-jens ().

    • aber ich flashe auch nicht zum ersten Mal; das Verhalten nach dem Flashen ist normal; wüsste nicht, wo die Box sich irgendwas merken sollte; hab das aber zum Anlass genommen, bei Dream Property GmbH anzuklopfen.

      Da ich mich schon seit geraumer Zeit mit dem Problem auseinandersetze, weiß ich gar nicht mehr, was ich schon gemacht habe; ich werde wohl morgen nochmal bei Null starten
    • @elisen-jens: Hast du schon mit einem Portscanner geprüft, auf welche Ports der Fritzbox aus dem Internet zugegriffen werden kann? Siehe z.B. pentest-tools.com/network-vuln…port-scanner-online-nmap# oder dnstools.ch/port-scanner.html. Für mich sieht das sehr danach aus, dass Suchmaschinen am Werke sind.
      Zeigt die Fritzbox unter (Internet / Freigaben) etwas an, wenn die Uploads laufen?
      Auf dem Screenshot mit der netstat-Ausgabe sind die IP-Adressen leider nicht gut lesbar. 186.12.... wäre Argentinien, 106.12... China (siehe z.B. db-ip.com/186.12.86.241, db-ip.com/106.12.86.241). Deren Gefährdungspotential wird mit "low" angegeben.
      Vielleicht hilft dir die Analyse des Datenverkehrs weiter, siehe praxistipps.chip.de/fritzbox-datenverkehr-mitschneiden_9989

      The post was edited 1 time, last by Satory ().