Einbruch in mein WLAN

Hinweis: In dem Thema Einbruch in mein WLAN gibt es 50 Antworten auf 6 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • Hi Leute,


    heute muss ich auch mal was fragen.


    Als angemeldeter User an meiner Fritzbox 7390 gab es einen "Ubuntuuser" im WLAN.
    Absolut nicht von mir, meiner Frau und unseren Kindern (2 Jahre
    Um ca. 15:30 war der "Ubuntuuser" noch nicht da.
    Passwort war stark, laut Fritz!Box . Klein/Groß/Ziffern/Sonderzeichen.
    Habe ich natürlich trotzdem sofort geändert als ich den ungewollten Gast bemerkte.


    Zur Infrastruktur in meinem privatem Heimnetzwerk:
    Fritz!Box 7390 (Aktueller Softwarestand 6.83)
    3 Computer mit 42.2 über LAN
    2 Computer mit 42.2 über WLAN
    Und
    3 Androiden (alle von Samsung)


    Scheinbar funktioniert noch alles. Nichts ist verschlüsselt worden. :)
    Das wäre auch nicht so schlimm, mehrfache redundante Backups :D sind vorhanden.


    Ich werde den Router noch auf nur bekannte MAC-Adressen einstellen. Ich weiß, können auch gefälscht werden...
    Ich will nur die Hürde etwas höher legen.


    Jetzt meine eigentliche Frage:
    Könnte irgendwo in meinem Netzwerk trotzdem etwas korrumpiert worden sein...
    Wo soll ich nachsehen.
    Wie kann / konnte der "Ubuntuuser" in mein Netzwerk gekommen sein?
    Gutes WLAN Passwort, wird 1-2x im Jahr geändert.


    Oder ritt nur jemand auf meinem Account? Ich hoffe, der hat keinen Sch.... gemacht.

    Für den Inhalt des Beitrages 108600 haftet ausdrücklich der jeweilige Autor: ThomasS

  • Jetzt wird es crazy.
    Der "Ubuntuuser" ist trotz des geänderten Passworts wieder da!
    Mit der selben internen IP-Adresse, wieder natürlich WLAN.


    Wenn ich das WLAN ausschalte (wie zuvor) ist der Ubuntuuser nicht da. Normal.
    Aktiviere ich es mit dem neuen Passwort, muss ich meine Geräte entsprechend anpassen.
    Nur der mir unbekannte "Ubuntuuser" macht mir angst.

    Für den Inhalt des Beitrages 108601 haftet ausdrücklich der jeweilige Autor: ThomasS

  • Hallo Thomas:)


    Leider kenn ich mich mit solchen Dingen so gar nicht aus. Eigtl. sollte ich dir empfehlen das Internet auszuschalten.
    Aber gleichzeitig wäre doch auch ein TCPdump interessant, damit man sieht was der Typ so treibt.
    Soweit ich weiß, kann man mit -u den Benutzer vom Root umleiten, also wieder den Nutzer und nicht root.
    Vllt. ist es auch was Banales, auf das man so gar nicht kommen würde?


    Ich seh grad Berichtigung ist im Thread.

    Für den Inhalt des Beitrages 108602 haftet ausdrücklich der jeweilige Autor: JeyF123

  • Mit diesen Angaben lässt sich exakt nichts sagen,
    außer ein paar allgemeine Bemerkungen.


    Erst mal würde ich auf die offensichtlichen Angaben nichts geben.
    Wer ein fremdes Netz knackt, tritt meist nicht mit beglaubigter Geburtsurkunde an.
    Eher im Gegenteil, sollte man davon ausgehen, dass alles, was du siehst, hübsch unschuldige Maskerade ist.


    Die Angriffsvektoren sind zahlreich.
    Im Prinzip jeder Dienst, der auf der Fritzbox läuft.
    Auch die, die Otto-Normal-Linuxer nicht kennt, aber auf Fritzboxen oft einfach laufen.
    Vordringlich wäre da Upnp in allen Varianten zu checken.


    Sollte es wirklich NUR ein WLAN Hacker sein, so steht zu vermuten, dass er mit Aircrack, kismet und Konsorten so lange gelauscht hat, bis er das Spasswort hatte.
    Was im Gegenzug heißt, dass er schon ziemlich lange lauscht. Er wohnt also wohl nahe bei dir.
    Wenn dem so wäre.
    Was ich ebensowenig annehmen würde.


    Mein Vorgehen wäre simpel: Auf der Fritzbox einen SSH- Server anwerfen/installieren, und mit tcpdump alles, was über egal welches Netz geht, auf einen Linuxkiste dumpen. Dort dann alle Ziel/Quellserver checken, ob die Verbindung plausibel ist. etherape und wireshark sind da deine Freunde.
    Wenn du damit nichts findest, so heißt das immer noch genau gar nichts.
    Das musst du ziemlich lange mitlaufen lassen.
    Zwei Wochen wenigstens.
    Alles andere ist Augenwischerei.


    Besonderes Augenmerk würde ich auf verschlüsselte Kommunikation legen. sslscan ist da dein Freund.


    All das mag in's Leere laufen.
    Zur Vorsorge ist auf jeden Fall ein sorgfältiger Portscan von außen nötig.
    Und damit rede ich nicht von Standard Nullachtfuchzehnscans.
    Alle Scanvarianten auf alle Ports. Wirklich alle auf wirklich alle.


    Es wäre auch eine Überlegung wert, ob man das Ding nicht umflasht auf openWRT.
    Dann könnten sich künftig ein paar mehr Tools um die Früherkennung kümmern.
    Mag auch mit FritzOS mehr gehen, aber openWRT ist halt open source.

  • ich hab jetzt das hier gefunden. Dabei fand ich den Mac Filter auch immer eine gute Idee.
    MAC-Filter – Wikipedia


    Wenn ich das jetzt richtig verstanden habe, müsste "Ubuntuuser" eine gefälschte MAC-Adresse verwenden, die ihm Zugang verschafft. (Also eine Macadresse die für dein WLAN beglaubigt ist). Aber selbst wenn, ergibt für mich dieser Weg keinen Sinn, denn er war ja vor deiner Mac-Sperre auch schon in deinem WLAN.


    Mir fällt auch noch ein, indem er sich "ubuntuuser" nennt, wirkt das auch ein wenig wie Hohn.


    Nochwas: Mal angenommen, es ist keine von dir eingegebene gültige Macadresse... die müsstest doch du eingeben, oder?

    2 Mal editiert, zuletzt von JeyF123 ()

    Für den Inhalt des Beitrages 108604 haftet ausdrücklich der jeweilige Autor: JeyF123

  • Spielereien mit der MAC- Adresse helfen nicht.


    Vor allem, wenn nicht klar, ist, wie er überhaupt reingekommen ist.
    Es ist keinesfalls sicher, dass er nur das WLAN gehackt hat.

  • Welches OS nutzt du auf der Fritte? Die 06.38? Falls ja geh mal auf WLan - Funknetz ... siehst du in der Liste der erfolglosen Anmeldeversuche irgend eine Mac-Adresse?
    Ich glaube nicht das jemand nach Änderung des Passwortes so schnell wieder in der Box ist, noch dazu unter so einem offenkundig auffälligen Benutzernamen. Hast du evtl paar Geräte auf 2 Frequenzbändern laufen? Also 2,5 und 5 GHz? Da ist nämlich ein Gerät zweimal da. Und den Namen "Ubuntuuser" hast du noch niemals verwendet? Ich hab schon die tollsten Sachen erlebt die sich hinterher als meine Dummheit herausgestellt hatten. Und ... Mac-Filter einschalten ist immer eine gute Idee.
    P.S. Ich würde gar nicht versuchen, den los zu werden. Ich würde ihn auf Kindersicherung setzen, die Onlinezeit und die Webseiten begrenzen. Dem würde innerhalb kürzester Zeit die Lust vergehen, meine Box zu nutzen ;) Entweder verschwindet der mit der Zeit oder du bekommst über Umwege heraus, woher der "Ubuntuuser" kommt.

  • Mac-Filter einschalten ist immer eine gute Idee.

    Aber keine Sicherheitsmassnahme......


    Damit kannst du nur vergleichen, welche MAC welcher IP zugeordnet ist, ob schon mal angemeldet usw.


    Eine benutzte und freigeschaltete MAC kann man vortäuschen

    Für den Inhalt des Beitrages 108613 haftet ausdrücklich der jeweilige Autor: Sauerland

  • @Sauerland
    Ist bekannt, dennoch kannst du dich in der Fritz.box mit aktivem Mac-Filter und korrektem Passwort auf keinen Fall anmelden. Unmöglich. Hab ich schon mehrfach durchexerziert. Wobei ich jetzt einfach mal annehme, dass der Punkt der Fritz.box "WLAN-Zugang auf die bekannten WLAN-Geräte beschränken" als Mac-Filter funktioniert. Kann aber auch sein, dass da noch ein anderes Sicherheitssystem mit implementiert ist. Müsste ich mich mal schlau machen.


    Edit:
    Ist ein Mac-Adressfilter. Zitat AVM

    Zitat von AVM

    Der MAC-Adressfilter allein bietet daher keinen ausreichenden Schutz vor unerwünschten Zugriffen und eignet sich nur als ergänzende Maßnahme zu einer sicheren WLAN-Verschlüsselung.Da MAC-Adressen von WLAN-Geräten in jedem Datenpaket unverschlüsselt übertragen werden, können Angreifer problemlos eine für die Anmeldung zulässige MAC-Adresse ermitteln.

    Dennoch glaube ich irgendwie nicht an einen Eindringling bei @ThomasS. Die neueste Software der Fritz.box macht zur Zeit einige komische Sachen.