Fritzbox squid-http port 3218?
Hi,
Bei einem Routine Scan gestern Abend bin ich auf den offenen Port 3218 (squid-http) gestoßen. Der unter anderem auch auf jedem Gerät das mit der FritzBox verbunden ist offen zu sein scheint, laut Portscan.
Bei meiner Recherche fand ich heraus dass das, wenn ich es richtig verstanden habe, ein Proxy ist der wohl meinen Datenverkehr umleitet.
Die Oberfläche der Fritzbox ist nur noch über http und nicht mehr über https erreichbar. Bei einem Versuch mit https erscheint auch direkt eine Warnung das die Verbindung nicht vertrauenswürdig ist.
Meine Idee, evtl ein Backup der Box erstellen. Die Einstellungen in der Backup Dat überprüfen ggf ändern und wieder einspielen..
Oder auf die FB per ssh zugreifen, falls das noch möglich ist...
Bitte um Hilfe
Fritz Box 7590
Fehlermeldung bei HTTPS Verbindung zur FritzBox 7590
"NET::ERR_CERT_AUTHORITY_INVALID"
Bei den betroffenen Geräten handelt es sich um mobil Telefone, TV.
Bei allen läuft Android als Betriebssystem.
Hier mal ein ScreenShot der Fehlermeldung und das Zertifikat.
1 Antwort
Als erstes kontrollierst Du die Portfreigaben (Internet > Freigaben). Ist dort der Port 3218 freigegeben? Vielleicht als "selbstständige Portfreigabe"? Lösche die Freigabe.
Dann schaltest Du UPnP ab (Heimnetz > Netzwerk > Netzwerkeinstellungen > Heimnetzfreigaben).
Der unter anderem auch auf jedem Gerät das mit der FritzBox verbunden ist offen zu sein scheint, laut Portscan.
Wie hast Du den Portscan gemacht? Um welche Geräte handelt es sich? Das würde ja bedeuten, dass auf jedem Deiner Geräte im Heimnetz ein Proxy läuft.
Auf einem Windows-Gerät kannst Du die Eingabeaufforderung mit Administrator-Rechten öffnen und verifizieren:
netstat -bo | findstr 3218
Die Oberfläche der Fritzbox ist nur noch über http und nicht mehr über https erreichbar. Bei einem Versuch mit https erscheint auch direkt eine Warnung das die Verbindung nicht vertrauenswürdig ist.
HTTP reicht doch erst mal im Heimnetz. Der genaue Inhalt der Fehlermeldung wäre auch interessant, weil die Meldung zig verschiedene Gründe haben kann.
Meine Idee, evtl ein Backup der Box erstellen. Die Einstellungen in der Backup Dat überprüfen ggf ändern und wieder einspielen..
Wenn ich es richtig im Kopf habe, hat die Datei eine Prüfsumme. Die müsstest Du auch korrigieren ...
Oder auf die FB per ssh zugreifen, falls das noch möglich ist...
SSH ging glaube ich noch nie, Telnet geht schon seit einigen Jahren nicht mehr.
Guten Morgen =)
Mahlzeit :-)
Portfreigaben gibt es keine, die Geräte die selbstständig Ports öffnen dürfen haben keine geöffnet zZ.
Upnp ist deaktiviert.
Dann verstehe ich nicht, was Du geschrieben hast. Wie kommst Du darauf, dass der Port auf allen verbundenen Geräten geöffnet ist?
Den Portscan habe ich von einem Live System (linux) mittels nmap gemacht.
Auf welche IP-Adresse(n)?
SSH sollte möglich sein, ob es bei der 7590 funktioniert kann ich NOCH nicht sagen.. werde es aber testen.
Ich wüsste nicht, dass meine 7590 SSH unterstützt. Jedenfalls hört sie nicht auf Port 22.
Und ja, wie sind die Details der Fehlermeldung beim HTTPS-Aufruf der Fritzbox?
Danke ebenso =)
Details bzw die einzigste Meldung, über einen cert error habe ich oben der Frage hinzugefügt.
NET::ERR_CERT_AUTHORITY_INVALID
..also ich habe mein gesamtes Netz überprüft, dann jedes Gerät einzeln..
Sobald ein gerät mit der FB eine verbindung aufbaut wird der Port 3218 geöffnet. Auf der FB ist er immer offen :-/
Wenn das OS manipuliert/erweitert wurde (zB freetz) können weitere Tools eingespielt werden, unter anderem kann auch ein squid proxy eingerichtet werden..
Das ganze kann von einem Linux System und einem Nutzer ohne wirkliche Erfahrung aufgespielt werden.. ein script übernimmt diese Aufgabe. Was ziemlich erschreckend ist wie ich finde.
Jedenfalls hab ich das so recherchiert, wenn ich alles richtig verstanden habe.
...dieser Proxy (wenn einer existiert) kann so eingerichtet werden das die Geräte immer noch den Standardgateaway haben /bzw über diese Adresse ihre Daten beziehen. Manipuliert versteht sich..
Mit ip tables und Routing kenn ich mich Null aus.. und werde wohl die ein oder andere Abendlektüre auf meine to do Liste setzen müssen..
Aber wie finde ich heraus wo sich der proxy letztendlich versteckt ?
Wie wäre es denn selbst einen Proxy ins Netz zu bringen der den gesamten Verkehr filtert und man so vllt den Halunken ausfindig macht ?
Wie erwähnt, ich könnte Hilfe gebrauchen.. Bin jetzt wirklich kein Nerd oder Netzwerkexperte, lese meistens sehr viel über ein Thema bis ich es verstehen und umsetzen kann... aber irgendwann bin ich dann raus ..
Details bzw die einzigste Meldung, über einen cert error habe ich oben der Frage hinzugefügt.
NET::ERR_CERT_AUTHORITY_INVALID
Dann sollte man sich mal das Zertifikat anschauen.
Du verbindest Dich aus Deinem Heimnetz heraus mit der Fritzbox?
Sobald ein gerät mit der FB eine verbindung aufbaut
Was meinst Du damit? Wann und wie baut ein Gerät eine Verbindung mit der FB auf?
wird der Port 3218 geöffnet.
Wo wird der Port geöffnet? Wie stellst Du das fest?
Auf der FB ist er immer offen :-/
Auf der LAN-Seite?
Wenn das OS manipuliert/erweitert wurde (zB freetz) können weitere Tools eingespielt werden, unter anderem kann auch ein squid proxy eingerichtet werden..
Im Zweifel: Original-Betriebssystem neu einspielen, neu konfigurieren.
Und ja, da stellt sich natürlich die Frage: Wie konnte das passieren?
Aber insgesamt sind mir Deine Schilderungen zu ungenau.
Mit ip tables und Routing kenn ich mich Null aus.. und werde wohl die ein oder andere Abendlektüre auf meine to do Liste setzen müssen..
iptables ist das falsche Thema. Erst mal musst Du herausfinden, warum die FB den offenen Port hat. Und dann musst Du das Problem beseitigen.
Aber wie finde ich heraus wo sich der proxy letztendlich versteckt ?
Der Proxy ist da, wo der Port offen ist. Wenn bei der FB der Port 3218 offen ist, ist das der Proxy. Deshalb verstehe ich ja Deine Behauptung nicht, dass alle Geräte im Heimnetz diesen Port offen haben. Dann wären ja alle Geräte Proxy. Das ergibt wenig Sinn.
Wie wäre es denn selbst einen Proxy ins Netz zu bringen der den gesamten Verkehr filtert und man so vllt den Halunken ausfindig macht ?
Keine gute Idee. Das wäre zu komplex.
Ich bitte um Entschuldigung, bin unterwegs und etwas im Stress.
Dann sollte man sich mal das Zertifikat anschauen.
Ja, aber wie komme ich an das Original um es mit dem aktuellen zu vergleichen und kann dies wenn ich es von der FB herunterlade/speichere nicht auch manipuliert sein, sodass es auf den ersten Blick Ok scheint ?
Du verbindest Dich aus Deinem Heimnetz heraus mit der Fritzbox?
Ja, alles geschieht im privaten Netzwerk.
Was meinst Du damit? Wann und wie baut ein Gerät eine Verbindung mit der FB auf?
Wenn ich die Geräte per Wlan mit der FB verbinde.
Wo wird der Port geöffnet? Wie stellst Du das fest?
Auf der FB ist er wie schon erwähnt immer offen, laut scan mit verschiedenen Tools.. bevorzugt nmap. Wenn ich die Box oder die Geräte einzeln über ihre IP scanne..
Auf der LAN-Seite?
Wird kein offener Port angezeigt.
Ja, aber wie komme ich an das Original um es mit dem aktuellen zu vergleichen und kann dies wenn ich es von der FB herunterlade/speichere nicht auch manipuliert sein, sodass es auf den ersten Blick Ok scheint ?
Ich möchte es erst einmal sehen. Es geht nicht um ein neues Zertifikat.
Wird kein offener Port angezeigt.
?? Jetzt bin ich komplett verwirrt. Also jetzt noch mal strukturiert:
Ich nehme an, Dein Netzwerk hat die Adresse 192.168.178.0/24. Verbinde Deine Geräte mit dem WLAN und scanne das Netz per nmap:
nmap -p 3218 192.168.178.0/24
Wie ist die Ausgabe?
Wie sieht das Zertifikat aus, welches Deinem Browser beim Aufruf von https://192.168.178.1 präsentiert wird?
Und ja, da stellt sich natürlich die Frage: Wie konnte das passieren?
Wenn du auf meinem GF Profil schaust, entdeckst du vor nicht all zu langer Zeit einen Beitrag über einen Virus der sich über eine erhaltene Nachricht verbreitet hat.
Bis dato hatte ich Ruhe und dachte alle Schädlinge bekämpft zu haben..
Und nein die Nachricht wurde nicht geöffnet bzw der link der mir zugesandt wurde.
Dieser Wurm Virus was auch immer ist schon etwas älter. Und anscheinend hat da jemand Lust auf ein Comeback.. bekannt wurden die links mit der Adresse wp20.ru
Diese schädlichen links werden auf allen möglichen social media Plattformen geteilt ... und später auch an Freunde bekannte verschickt.. mal getarnt als Gewinnspiel oder ein lustiges Foto, mal als interessanter Artikel usw.....
Bitte nicht falsch verstehen, ist nicht böse gemeint ..aber was denkst du wie meine scans wohl aussahen und ich die offenen Ports gefunden habe ? =)
Und ja wir befinden uns noch immer im Heimnetz =)
Wenn ich die komplette Range scanne simuliert die Box fake Clients um einem scan entgegen zu wirken.. dann hab ich 255 die online sind, auch mit dem Port 3218...
Deswegen hab ich die einzelnen Verbindungen in einem scan getestet.
Das Zertifikat werde ich gleich posten.
Wenn ich die komplette Range scanne simuliert die Box fake Clients um einem scan entgegen zu wirken
Das widerspricht doch dann der Behauptung, dass auf den angeschlossenen Clients der Port 3218 geöffnet ist.
Und ja, Du hast mir also die ganze Zeit vorenthalten, dass Du eine Infektion im Netz hattest. Woher soll ich das Wissen? Meinst Du, ich forste von jedem, dem ich eine Frage beantworte, erst mal die gesamte Historie durch?
Du weißt also, dass Du Schadsoftware im Netz hattest und ggf. noch hast. Du meinst wirklich, das wäre durch die Korrektur der Konfiguration der Fritzbox erledigt? Wie naiv bist Du?
Dein gesamtes Netzwerk ist durchseucht, inklusive Router. Es bleibt also nichts, als das Ding komplett neu zu flashen und neu zu konfigurieren. Und natürlich musst Du sämtliche Geräte im Netz gründlich putzen.
Das widerspricht doch dann der Behauptung, dass auf den angeschlossenen Clients der Port 3218 geöffnet ist.
Eigentlich nicht, die Geräte sind online und werden auch richtig dargestellt beim scan der Range und wenn ich sie einzeln anspreche. Die anderen Clienten werden dann von der Box simuliert. Wobei es sehr komisch ist das auch die fake Clienten den offenen port 3218 haben.
Du weißt also, dass Du Schadsoftware im Netz hattest und ggf. noch hast. Du meinst wirklich, das wäre durch die Korrektur der Konfiguration der Fritzbox erledigt? Wie naiv bist Du?
Das ganze ist schon eine Weile her, nochmal es war bis dato Ruhe.. alle Systeme wurden zurückgesetzt und bereinigt.
Ein Gastnetz mit Zeitkonto für Besucher eingerichtet und die Kindersicherung entsprechend eingestellt für alle Geräte die sich erstmalig verbinden.
Es wäre "eine" möglichkeit die Einstellungen der Box nur etwas genauer zu betrachten. Je nachdem wie das OS bzw die Box befallen ist hilft auch kein aufspielen einer neuen oder alten Firmware... Das gleiche gilt für ein mobil Telefon.
Nochmal, bisher war nichts verdächtiges oder in keinster Weise etwas komisches in meinem Heimnetz zu entdecken.
Durch so einen Proxy, der auf der FB selbst aktiv sein kann, oder mit einem os wie freez hat man alle Möglichkeiten.. unter anderem auch alle html Dokumente der fritzbox ändern.. usw
und mit etwas Fingerfertigkeit kann auch ein Update oder die Firmware beim Einspielen geändert werden..
Je nach Härtegrad des Befalls werde ich wohl einige Geräte entsorgen können..
Ich bin mir über das Ausmaß vieler Dinge mehr als nur bewusst.. daher auch meine Vorsicht, regelmäßige Scans und überprüfen der Verbindungen im Heimnetzwerk..
Ich klicke nicht jeden Schwachsinn an, speichere keine Kekse oder Passwörter.. Surfe meist privat ohne JScript.. ich achte schon auf mein Surfverhalten und was ich wann wo mache. Und all das als dummer Handwerker, niemand in meinem Bekanntenkreis ist so vorsichtig wie ich im netz... und trotzdem ist man NIE sicher...
Ich hoffe der lange Text kommt jetzt nicht in einem falschen Ton rüber, ich bin zZ echt nur noch extrem genervt von diesem ganzen Wahnsinn =/
Es macht langsam keinen spass mehr im netz unterwegs zu sein...
Danke für deine Hilfe und Zeit die du für mich hier opferst. MFG
..die IP in dem Zertifikat ist doch nicht korrekt oder ? Sollte da nicht sowas wie 192.168.178.1 stehen?
Eigentlich nicht
Eigentlich schon.
die Geräte sind online und werden auch richtig dargestellt beim scan der Range und wenn ich sie einzeln anspreche. Die anderen Clienten werden dann von der Box simuliert. Wobei es sehr komisch ist das auch die fake Clienten den offenen port 3218 haben.
Eben. Wer oder was da antwortet, hast Du nicht geprüft. Letztendlich kannst Du das am besten prüfen, indem Du zwei Rechner direkt per Kabel miteinander verbindest (von mir aus auch mit einem Switch, nicht aber mit der FB) und dann scannst.
Das ganze ist schon eine Weile her, nochmal es war bis dato Ruhe.. alle Systeme wurden zurückgesetzt und bereinigt.
Offensichtlich nicht.
Durch so einen Proxy, der auf der FB selbst aktiv sein kann, oder mit einem os wie freez hat man alle Möglichkeiten.. unter anderem auch alle html Dokumente der fritzbox ändern.. usw
Du musst mir nicht erklären, was ein Proxy ist. Ich bin seit Jahrzehnten im Netzwerkbereich beruflich unterwegs.
die IP in dem Zertifikat ist doch nicht korrekt oder ? Sollte da nicht sowas wie 192.168.178.1 stehen?
Richtig, da sollte die IP-Adresse der FB drinstehen. Außerdem fehlt der Alternativname fritz.box. Das Zertifikat der FB ist unter Internet > Freigaben > Fritz!Box-Dienste zu finden. Die 192.0.0.2 ist für DS Lite reserviert. Die hat hier überhaupt nichts zu suchen.
Eben. Wer oder was da antwortet, hast Du nicht geprüft. Letztendlich kannst Du das am besten prüfen, indem Du zwei Rechner direkt per Kabel miteinander verbindest (von mir aus auch mit einem Switch, nicht aber mit der FB) und dann scannst.
Habe ich getan und mehrfach erwähnt, wobei ich zugeben muss dass meine Formulierung nicht ganz eindeutig war, sorry.
Ich sagte dass ich sie einzeln angesprochen habe. Ja, schlecht formuliert.
Du musst mir nicht erklären, was ein Proxy ist. Ich bin seit Jahrzehnten im Netzwerkbereich beruflich unterwegs.
Es sollte verdeutlichen, dass ich keinesfalls zu naiv in der Hinsicht bin.. und wohlgemerkt über dessen Ausmaß Bescheid weiß.
...am liebsten würde ich aber auch mit so einem herablassenden Ton wie du antworten.. :-P
Ganz nach deinem Motto:
Woher soll ich das denn Wissen ? Denkst du ich guck mir von jedem der mir antwortet den Lebenslauf an :-?
...und jetzt nimm dir mal en Keks und atme tief durch. =D
Wenn das bereinigen und aufspielen neuer/alter Firmware beim letzten mal nicht geholfen hat, wie kommst du denn darauf das dass jetzt funktioniert?
Ehrlich gesagt hab ich aber mit so einer Antwort gerechnet..
"ich bin seit Jahren beruflich bla bla und Format c ... foooormat C."
Jetzt nicht direkt von dir persönlich, aber wusste dass sowas im netz kommt.
Somit wurde weder die Sicherheitslücke entdeckt noch das Problem behoben.. ich gehe der Sache gerne auf den Grund und schäme mich auch nicht nach Hilfe zu fragen.
...ich gebe mir Mühe mein Problem möglichst verständlich zu schildern und versuche was ich kann.
Und diese Diskussion führt zu keinem Erfolg und bringt mich auch bei meiner Fehlersuche keineswegs weiter, daher mache ich an dieser Stelle einen cut.
Trotzdem bedanke ich mich nochmal Recht herzlich für deine "Hilfe" und deine Zeit. Ich wünsch dir noch einen schönen Tag =)
Habe ich getan und mehrfach erwähnt, wobei ich zugeben muss dass meine Formulierung nicht ganz eindeutig war, sorry.
Gemäß Deiner Äußerungen hast Du das nicht gemacht. Du schriebst: Wenn Du ein Gerät mit der FB verbindest, wird der Port 3218 geöffnet. Ich habe Dir jetzt gesagt, Du sollst das Gerät ohne Kontakt zur FB scannen.
Ich sagte dass ich sie einzeln angesprochen habe. Ja, schlecht formuliert.
Falsch formuliert. Einzeln angesprochen: nmap 192.168.178.20
Nicht einzeln angesprochen: nmap 192.168.178.0/24
Deine Aussage:
Der unter anderem auch auf jedem Gerät das mit der FritzBox verbunden ist offen zu sein scheint, laut Portscan.
und
Sobald ein gerät mit der FB eine verbindung aufbaut wird der Port 3218 geöffnet. Auf der FB ist er immer offen :-/
ist damit hinfällig und falsch?
...und jetzt nimm dir mal en Keks und atme tief durch. =D
Das nützt nichts, weil Du Dir ständig widersprichst, nicht systematisch vorgehst und nur die Hälfte erzählst.
Die Ausgaben von netstat habe ich bisher auch nicht gesehen, obwohl ich darum gebeten habe. So komme ich nicht weiter.
Wenn das bereinigen und aufspielen neuer/alter Firmware beim letzten mal nicht geholfen hat, wie kommst du denn darauf das dass jetzt funktioniert?
Wie kommst Du darauf, dass ich wissen könnte, dass Du die FB bereits neu geflasht hast?
Solche Informationen sowie die Info über den Schadsoftware-Befall gehören direkt in die Frage und nicht kleckerweise nachgeliefert.
Das nützt nichts, weil Du Dir ständig widersprichst, nicht systematisch vorgehst und nur die Hälfte erzählst.
Ok, wir haben ein Kommunikationsproblem. Ich arbeite an meiner Formulierung. =)
Das mit dem systematischen Vorgehen ist korrekt, da ich so manche Technik mir erst aneignen musste, wie gesagt kein Experte bin und mir alles allein zusammen puzzle..
Bin aber für jeden Vorschlag dankbar =)
Die Ausgaben von netstat habe ich bisher auch nicht gesehen, obwohl ich darum gebeten habe. So komme ich nicht weiter.
Lieber Franz ich hatte doch erwähnt, dass ich unterwegs bin =). Sobald ich Zuhause an den Rechner kann stelle ich diese zur Verfügung.
Solche Informationen sowie die Info über den Schadsoftware-Befall gehören direkt in die Frage und nicht kleckerweise nachgeliefert.
Da muss ich dir Recht geben und entschuldige mich dafür, dass du mir dies hast aus der Nase ziehen müssen.
Es wäre sehr nett wenn du mich auf ein zwei Punkte aufmerksam machen könntest, die ich dann abarbeiten werde, die Dir und mir evtl weiterhelfen. Bezüglich beim auffinden des Schädlings/Schwachstelle.
Sollte nicht auch irgendwo eine squid.cfg existieren ?
Und würde es nicht helfen diese Datei ausfindig zu machen?
...und jetzt nimm dir mal en Keks und atme tief durch. =D
Das nützt nichts, weil Du Dir ständig widersprichst, nicht systematisch vorgehst und nur die Hälfte erzählst.
Damit hast du mich gekriegt.. ich mag dich Franz, obwohl man stellenweise deine Agressionen im Unterton regelrecht spürt xD
Ich stelle mir das schon echt hart vor, ehrlich gesagt will ich gar nicht wissen was du beruflich schon so alles gesehen und erlebt hast.. Der Job kann einem bestimmt so einiges abverlangen... und dann ist man noch so freundlich und opfert seine Freizeit für so nen dully wie mich, der die Infos als Rätsel ausspricht xD
Entschuldige bitte.
Danke für deine Geduld und die nette Stellungnahme. Ich wünsch dir einen schönen Abend. =)
Lieber Franz
Heißt hier jemand Franz?
Es wäre sehr nett wenn du mich auf ein zwei Punkte aufmerksam machen könntest, die ich dann abarbeiten werde, die Dir und mir evtl weiterhelfen. Bezüglich beim auffinden des Schädlings/Schwachstelle.
Zunächst einmal muss man genau analysieren, was da überhaupt passiert. Meine Vermutung ist, dass der Router mit Schadsoftware infiziert ist, die Endgeräte jedoch nicht.
Sollte nicht auch irgendwo eine squid.cfg existieren ?
Nein. Nur weil der Port 3218 der Standardport von Squid ist, ist nicht alles, was auf Port 3218 hört, ein Squid. Zudem kann ich auch einen Squid so bauen, dass es keine squid.cfg geben muss. Es muss sich ja noch nicht einmal um einen Proxy handeln.
Du hattest ja gesagt, dass Du mal den Datenverkehr mitschneiden wolltest. Das mache doch mal bei nächster Gelegenheit, filtere dabei auf Port 3218. Dann mal schauen, was da für eine Kommunikation zustande kommt.
Dann interessiert mich die Ausgabe von netstat bei einem Endgerät (s. oben). Wenn möglich, kannst Du dasselbe Gerät mal mit dem Hotspot Deines Mobiltelefons verbinden und dann noch einmal die Ausgabe von netstat anschauen.
Ich stelle mir das schon echt hart vor, ehrlich gesagt will ich gar nicht wissen was du beruflich schon so alles gesehen und erlebt hast.
Ich auch nicht :-)
Hallo,
Frei nach dem Motto ...28days later..
Nach einem Dschungel von Manuals und man pages hab ich einiges herausgefunden.
Jedenfalls werde ich keine weiteren Daten über meinen Pc Modem oder was ähnliches öffentlich posten.. der Feind liest mit :)
...mein Router inkl Geräte Zuhause ist /sind offline. Und das bleibt auch erst einmal so. Was ich bisher in Erfahrung bringen konnte ist mehr als erschreckend.
Sobald mein Pc gestartet wird dient er als VM...
auf dem router wurde das OS um ein paar Scripte von Freetz-ng erweitert und die Ansicht der Weboberfläche für bestimmte Nutzer angepasst, sprich mir wird die alte html angezeigt.....
Wird auch sehr ausführlich in den Kommentaren erklärt, dass der Nutzer x nicht den gesamten Inhalt der Seite sehen darf ....
Mein Festnetztelefon kann nun auch belauscht werden, telefoniere normalerweise nicht über ip telefonie.. neuerdings anscheinend doch.. alle Gespräche können nun unverschlüsselt zB mit wireshark angehört werden.. (getestet)
Wahrscheinlich wurde die Firmware der Netzwerk- und Grafikkarte ebenfalls manipuliert. Egal welches OS gestartet wird, es öffnet sich sofort ein rpc Zugang, ein proxy startet sich und es wird eine l2tp verbindung aufgebaut ..
(Bios Infektion ist natürlich auch nicht auszuschließen)
Der webserver oder proxy der auf meinem Smart tv läuft fängt anscheinend netflix und co ab und streamt es zum Angreifer.
Ich konnte durch ein forensisches Image meiner beiden SSDs mehrere infizierte Dateien ausfindig machen und einige Logs rekonstruieren... die alles andere als gut aussahen..
Wahrscheinlich wurde mein Pc auch als Dropzone verwendet, da Dokumente und Fotos zum Vorschein kamen die 100% nicht von mir oder aus diesem Land stammen...
Vieles was die Box angeht wurde in javascript geschrieben und gab mir ein paar Einblicke wie das Chaos funktioniert.. auch die tollen Kommentare die der/die Angreifer in ihrem Code hinterließ/en... halfen mir ungemein dabei..
Ich gehe fest davon aus dass es sich um eine HackerGruppe handelt, da in den Kommentaren teilweise deutsch und english gesprochen wird und sie sich gegenseitige Fragen stellen ..
Ich versuche jetzt eine remote shell auf dem Smart TV oder der fritzbox zu erlangen.. um mir die Dateien auf dem Server und der FBox genauer anzusehen.. bisher ohne Erfolg.
Jetzige Idee....
ein script/ backdoor zu erstellen und mittels USB stick am tv oder Router auszuführen..
Problem: Ich weiß noch nicht genau wie ich dass script auf der Box anschubsen kann..
Auf dem smart tv dachte ich mir ich binde es an eine apk oder android verträgliche dat un führe sie dann aus.
Btw ..fürs Tv gibts auch fürn paar Eur ein Service kabel, mit dem man direkten Zugriff auf die Techniker console hat, dass wär ja zu einfach :)
Wenn alle Stricke reisen, bleibt mir nur noch der versuch über UART.. also wieder einmal paar Tage lesen und verstehen lernen ..
Für weitere Tips und Hilfestellungen bin ich immer noch dankbar :)
Meine Energie, das Bisherige nach 13 Tagen noch einmal durchzuforsten und nachzuvollziehen, hält sich in sehr engen Grenzen.
Sobald mein Pc gestartet wird dient er als VM...
Sicher nicht. Ein PC kann nicht als Virtuelle Maschine dienen. Das geht prinzipbedingt nicht, weil ein PC nicht virtuell ist.
Mein Festnetztelefon kann nun auch belauscht werden, telefoniere normalerweise nicht über ip telefonie.
Wie denn sonst?
alle Gespräche können nun unverschlüsselt zB mit wireshark angehört werden.. (getestet)
Das ist normal und geht nicht anders. Das hat rechtliche Gründe.
Wenn alle Stricke reisen,
Gute Reise ...
Für weitere Tips und Hilfestellungen bin ich immer noch dankbar :)
Das war mir zu wirr.
Guten Abend,
...da isser, der Mann mit der Goldwaage :)
Sicher nicht. Ein PC kann nicht als Virtuelle Maschine dienen. Das geht prinzipbedingt nicht, weil ein PC nicht virtuell ist.
Jaaa, dann wird eben das Betriebssystem in eine virtuelle Umgebung versetzt.
Rootkit = containerfähig
Bei Linux durch ein Kernel exploit ..
Bei Windows wird das ganze so ähnlich realisiert.. und da es egal ist welches System ich starte und ob SSD oder Live Usb, muss der Schädling sonst wo sitzen..
....Freetz OS installiert sich nicht von alleine.. und die hyperV Verbindungen in Windows kommen woher ??
Die Kommentare im Quelltext oder im script verschiedener Seiten der Fbox sind mehr als deutlich.
Und nein ich hatte vorher weder Dect aktiv.. noch IP telefonie.
Ps.: der Kommentar sollte eigentlich alleinstehend gepostet werden. War keine Absicht dich Persönlich anzusprechen.
..ich will auch nicht wieder auf die alte Leier kommunizieren, verschwendete Zeit.
Guten Morgen =)
Portfreigaben gibt es keine, die Geräte die selbstständig Ports öffnen dürfen haben keine geöffnet zZ.
Upnp ist deaktiviert.
Den Portscan habe ich von einem Live System (linux) mittels nmap gemacht. Werde heute mal die FB direkt mit dem PC verbinden und mal den Datenverkehr mitschneiden..
Evtl, komm ich so an eine Adresse falls da ein Proxy zwischen, oder gar davor geschaltet ist.
Jein, jedenfalls sollte es funktionieren wenn der Zugriff per https in der Box aktiviert ist =)
Korrekt checksum muss mit geändert werden, habe es jedoch auch noch nie ausprobiert.
SSH sollte möglich sein, ob es bei der 7590 funktioniert kann ich NOCH nicht sagen.. werde es aber testen.