Unitymedia FritzBox Hacking / über HTTPS Acc

[Snipy]

Hallo,

ich habe seit Wochen das Problem das jemand versucht sich in meine Fritzbox über den HTTPS Zugang zu hacken.

Hier ein Auszug aus meinem Log:

16.03.18 - 12:40:51 Anmeldung des Benutzers admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 95.211.213.4 gescheitert (falsches Kennwort). [2 Meldungen seit 16.03.18 08:06:56]
16.03.18 - 02:58:25 Anmeldung des Benutzers ftpuser an der FRITZ!Box Benutzeroberfläche von IP-Adresse 95.211.213.4 gescheitert (falsches Kennwort).

das geht nun schon seit Wochen so und ich bin damit auch nicht alleine.

Hier unter diesem Link: https://www.abuseipdb.com/check/95.211.213.4?page=1#report berichten einige davon und es ist immer die selbe IP (95.211.213.4).

Ich möchte ungern meinen ''Remote Zugriff'' deaktivieren und frage mich ob man das dem Support melden kann oder AVM. Gibt es ne Möglichkeit die IP auf eine Blacklist in der Fritzbox zu setzen? Ich habe eine solche Option nicht nicht gefunden.

Bitte um Hilfe

 

[Conan179]

"nice" bei mir auch
14.03.18 12:37:56
Anmeldung des Benutzers user an der FRITZ!Box Benutzeroberfläche von IP-Adresse 95.211.213.4 gescheitert (falsches Kennwort).
14.03.18 07:24:13
Anmeldung des Benutzers admin an der FRITZ!Box Benutzeroberfläche von IP-Adresse 95.211.213.4 gescheitert (falsches Kennwort).
14.03.18 11:32:36
Anmeldung des Benutzers user an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 95.211.213.4 gescheitert (falsches Kennwort).
14.03.18 06:18:39
Anmeldung des Benutzers admin an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 95.211.213.4 gescheitert (falsches Kennwort).
15.03.18 18:25:16
Anmeldung des Benutzers ftpuser an der FRITZ!Box Benutzeroberfläche von IP-Adresse 95.211.213.4 gescheitert (falsches Kennwort). [3 Meldungen seit 15.03.18 03:58:44]
15.03.18 02:50:36
Anmeldung des Benutzers ftpuser an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 95.211.213.4 gescheitert (falsches Kennwort).
15.03.18 10:15:31
Anmeldung des Benutzers ftpuser an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 95.211.213.4 gescheitert (falsches Kennwort).
15.03.18 17:16:04
Anmeldung des Benutzers ftpuser an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 95.211.213.4 gescheitert (falsches Kennwort).

aber nur bei 2 von meinen 4 boxen, die ds-lite box ist klar, die andere hat ne ipv4...

 

[MartinP_Do]

Profi-Hacker.....
Man kann die Adresse PINGEN

Ping wird ausgeführt für 92.211.213.4 mit 32 Bytes Daten:
Antwort von 92.211.213.4: Bytes=32 Zeit=83ms TTL=51
Antwort von 92.211.213.4: Bytes=32 Zeit=103ms TTL=51
Antwort von 92.211.213.4: Bytes=32 Zeit=125ms TTL=51
Antwort von 92.211.213.4: Bytes=32 Zeit=70ms TTL=51

Könnte aber auch ein gekaperter Rechner sein. Aber normalerweise dichten Leute, die fremde Rechner gekapert haben diese erstmal ordentlich ab gegen andere Kaperer ....

 

[Conan179]

in der wikipedia wurde der gesamte 95.211.0.0/16 block wegen openproxy gesperrt, du weist was openproxy bedeutet

 

[Joerg123]

also für mich sieht es erstmal aus wie eine normale Arcor-IP - http://whois.domaintools.com/92.211.213.4
aber wenn das dauerhaft so ist, jeden Tag entsprechende Logeinträge von der gleichen, oder zumindest einer Arcor-IP kommen, würde ich mal eine der genannten Emailadressen kontaktieren.

Zum einen würde ich den betroffenen raten, ein sicheres Passwort für die Fritzbox zu nutzen (also viele Stellen, Zahlen, Gross/Kleinbuchstaben, Sonderzeichen und das bei allen konfigurierten Usern), zum anderen vielleicht die Frage, ob ihr tatsächlich den Zugriff über das Internet benötigt ? bei meiner 6360er Box lässt sich über Internet > Freigaben > Fritzbox-Dienste der Zugriff aus dem Internet deaktivieren (ich weiss jetzt nicht, wie das standardmässig ist, bei mir ist es zumindest deaktiviert, ich brauche es auch nicht)

PS: muss nicht zwingend wissentlich der Anschlussinhaber dahinter stecken, eventuell hat er nur die "passenden Schadprogramme" auf seinen PCs und weiss nichts davon, dass sein Computer ferngesteuert wird

PPS: eine weitere Möglichkeit die Sache abzusichern, wäre es den HTTPS-Port von standardmässig 443 zu ändern. Verlangt dann natürlich, dass man für den Zugriff natürlich diese Portnummer mit angibt, also https://fritz.box:8811 (oder eine andere Portnummer als 8811 verwenden, zumindest eine freie Portnummer nutzen, welche keinem Standard zugewiesen ist).
Parallel würde ich dann noch eine Weiterleitung des HTTPS-Ports 443 einrichten, auf eine LAN-IP die es nicht gibt/nicht genutzt wird (der Angreifer soll schliesslich nicht merken, dass der Port 443 blockiert ist, dass bringt ihn nur selbst auf die Idee es unter anderen Ports zu versuchen *g*)

 

[Conan179]

klar die 92.2... ist arcor ABER die 95.2... um die es hier geht ist keine acor, sodnern aus den niederlanden
https://whatismyipaddress.com/ip/95.211.213.4

 

[Joerg123]

@Conan
stimmt - der Martin ist schuld, der hat mit der falschen IP angefangen
aber auch für die 95er gibts einen Abuse-Kontakt: http://whois.domaintools.com/95.211.213.4 bei den Käsefressern

 

[addicted]

remarks: Please send all abuse notifications to the following email address: [email protected]. To ensure proper processing of your abuse notification, please visit the website www.leaseweb.com/abuse for notification requirements.