Gehackt?

Das gleiche Verhalten, wie es iYassin als Thread-Starter erlebt hat, hatte ich am gleichen Abend auch. Ich habe die Fritzbox aus- und wieder ein-geschaltet und der Spuk war vorbei. Geräte, die zu der Zeit im Netzwerk aktiv waren:
- Fritz!Box 7362 SL mit Fritz!OS 6.50
- Devolo dLAN duo+ mit Firmware 1.1.1.03-
- TP-Link TL-WR851ND v9 mit Original-Firmware vom Hersteller 3.16.9 Build 150310 Rel.54318n als Client-Brigde
- Dazu ein Yoga 11e über WLAN zur Windows Ersteinrichtung
- Ein PC mit Windows 10 per Kabel am TP-Link
- Ein weiteres Thinkpad mit Ubuntu 16.10

Beim Updaten über System Update auf dem Yoga bliebt der Update stehen, und beim Surfen wurde jede Seite auf die Fritzbox-Loginseite umgeleitet. An den anderen Geräten war es dann genau so, worauf ich von einem Hänger im DNS-Dienst der Fritzbox ausgegangen bin und diese einfach rebootet habe.

Für den Fall, dass diese Informationen weiterhelfen - wem auch immer, bei was auch immer.
 
think_pad schrieb:
Das ist aber die Schwachstelle deines WLAN-Systems, deswegen bist du gehackt worden! Wer hindert dich, temporär einen Zweitrouter/AP per Kabel an den Hauptrouter anzustöpseln, wenn du zeitweise Geräte (ohne MAC-Eingabe) austesten/anmelden willst?
Zum Vergrößern anklicken....
Nein, die MACs haben mit dem Hack vermutlich so viel zu tun wie ein Fahrradschloss mit einem Autodiebstahl.
think_pad schrieb:
Es gibt sie einfach nicht. Und wenn doch, sind sie falsch... :D
Zum Vergrößern anklicken....
:confused: Natürlich gibt es auch bei dir MAC-Adressen. Ohne geht es nicht.

iYassin schrieb:
Das alte Passwort war "BioPhysik2014!". Ergebnis von Einfallslosigkeit und Faulheit der versammelten WG. :D Das neue ist aber auch nicht aus einem Passwortgenerator. Ihr habt Recht, ich sollte das jetzt einfach zum Anlass nehmen, genau das umzusetzen - dann muss man in Zukunft eben doch einen Zettel in der Wohnung deponieren (klar, auch nicht optimal, aber für eine WG gibt es wohl nichts praktikables sichereres).
Zum Vergrößern anklicken....
... genau da kann WPS-PBC dann ins Spiel kommen. Dann kann man auch kryptische und lange Passwörter vergeben, wenn man zum Login nur kurz einmalig WPS anwerfen muss und nicht das PW einzutippen braucht :)

iYassin schrieb:
Was mir aber immer noch nicht klar ist, ist, wie der Repeater geholfen hat, auf den Router zu kommen.
Zum Vergrößern anklicken....
Mir fällt so direkt auch kein Szenario ein, das muss aber nichts heißen, ich bin kein Sicherheitsexperte. Spontan würde ich aber sagen, dass das Einfallstor entweder ein "geleaktes" Passwort war oder das Passwort geknackt wurde. Bei dem Aufbau ist das schaffbar, wenn auch nicht einfach. Für BruteForce ist das zu lang. Aber "gute" Cracker gehen an sowas z.B. mit Markow-Ketten, nutzen also Muster aus, die Menschen gerne beim Aufbau von Passwörtern benutzen. Beispiele: Sonderzeichen gibt es bei "menschengenerierten" Passwörtern meist nur eines pro Passwort und das in der Regel am Ende. Dabei ist das Ausrufezeichen mit Abstand das beliebteste. Zahlen werden in der Regel zwischen Buchstaben und Sonderzeichen auch am Ende gesetzt, meist sind es 1-4. Auf sowas kann man Markow-Ketten trainieren. 2 Wörter aus dem Wörterbuch, 1-4 Zahlen, 1 Sonderzeichen - zu dem Muster gehören viele Passwörter und eures ebenfalls. Mit einer so trainierten Markow-Kette bekommt man dann auch eure 14 Zeichen plötzlich leicht geknackt, während das mit BruteForce schon quasi unknackbar wäre.
Ein eventueller "Leak" des Passwortes, weil es eben nicht gerade wenige Leute besitzen, ist aber mindestens genau so wahrscheinlich :)

iYassin schrieb:
Also klar, nach dem Knacken des WLAN-Passworts war der Repeater durch admin/admin zugänglich - aber was hatte das dann für Konsequenzen, so lange niemand im Repeater den DNS-Server geändert hat?
Zum Vergrößern anklicken....
Keine - und wenn der Repeater wirklich nur repeatet, dann verteilt er auch keine (anderen) DNS-Server an seine Clients als der Hauptrouter. Ich vermute daher, dass der Repeater zwar nahezu ungesichert war, bei diesem Angriff aber keine große Rolle gespielt hat.

iYassin schrieb:
Apropos: Vielleicht sollte ich mal noch die Einstellungen des Repeaters überprüfen, ob dort etwas geändert wurde, das habe ich völlig vergessen...
Zum Vergrößern anklicken....
Oh ja, das solltest du definitiv tun! Besser vielleicht noch: Zurücksetzen und von Grund auf neu einrichten.
 
cuco schrieb:
Nein, die MACs haben mit dem Hack vermutlich so viel zu tun wie ein Fahrradschloss mit einem Autodiebstahl.
Zum Vergrößern anklicken....

Na ja, dann lesen wir noch mal nach... :)

iYassin schrieb:
... Dann habe ich (auf normalem Weg, also über fritz.box) mich in die Fritzbox eingeloggt, um zu sehen, was die mir zu dem komischen Gerät erzählen kann. Es hieß "kali" und hatte unter anderem die MAC-Adressen "EA:56:4C:76:C3:CC" und "E8: DE:27:0C:9C:08", die beiden weiteren weiß ich nicht mehr. Ein Klick auf das Gerät mit der IP 192.168.178.56 (dessen MAC war EA:56:4C:76:C3:CC) brachte mich zur Login-Seite meines TP-Link WLAN-Repeaters. ...
Zum Vergrößern anklicken....

Vier MAC-Adressen hören laut FritzBox-Protokoll nach "dem Hack" auf den namen "kali", der ersten MAC-Adresse "EA:56:4C:76:C3:CC" wird die IP 192.168.178.56 zugeordnet, der Gerätename "kali" ist der IP zugeordnet.

---> ... macht ... drei falsche MAC-Adressen, die auf den Namen "kali" hörten und demzufolge temporär die IP 192.168.178.56 besaßen, sonst hätten sie von der FritzBox nicht den Namen zugewiesen bekommen.

Für den Hack musste man also...

  1. einen zweiten, mit falscher MAC-Adresse ausgestatteten Repeater namens "kali" in Reichweite der FritzBox in Betrieb nehmen
  2. den Original-Repeater außer Betrieb setzen oder die Anmeldeinformationen "überschreiben"
  3. den falschen "kali" an der FritzBox "ordnungsgemäß anmelden"
  4. mit Hilfe des falschen "kali" alle http-Anforderungen auf die gefakte, angeblich "echte Anmelde-Website der FritzBox" umleiten
  5. das Passwort erbeuten und abspeichern
  6. das Repeater-Handling an den Original-Repeater zurückgeben, damit der ahnungslose User nichts merkt

Das hätte der TE auch nicht gemerkt, wenn die Anmeldeseite nicht so dilettantisch aufgebaut worden wäre: Keine FritzBox erfragt mitten im Betrieb das Passwort!

Vielleicht irre ich mich in dem einen oder anderen Punkt, aber so wird es gewesen sein: Ein In-House-Hack, bei dem jemand die Kontrolle über die FritzBox übernehmen wollte, und die angeblich so sicheren Hardware-MACs wurden von der FritzBox nicht erkannt...
 
Mitsch87 schrieb:
Die hängen an der Fritzbox immernoch an der Fritzbox und sind somit gebridged, das hilft nichts...
Zum Vergrößern anklicken....

Mach ich denn einen Denkfehler?
Wenn der Hack von innen erfolgt, kann dieser sich doch nur auf das jeweilige WLAN(Innenseite) und nicht die FB beziehen.
In das andere WLAN kommt man dann nicht mehr rein(Routing auf unterschiedliche Subnetzte). Vorausgesetzt man hat vorher alles wieder klariert.
 
Argema schrieb:
Mach ich denn einen Denkfehler?
Zum Vergrößern anklicken....

Ja, der Router handelt bzw. routet das WAN und das LAN/WLAN.

Das WAN (Wide Area Network) ist das Internet, das LAN (Local Area Network) ist das In-House-Netz.

Die FritzBox als "reiner Router" hat also drei grundsätzliche Funktionen:

  1. WAN -> Internetverbindung
  2. LAN/WLAN -> In-House-Vernetzung
  3. Routing -> Verbinden der WAN- und LAN-Geräte

Aber: Das Gerät FritzBox hat nur ein Passwort! Man kann dort sowohl das WAN als auch das LAN manipulieren...
 
Zuletzt bearbeitet:
iYassin schrieb:
Gehackt?

Ich habe ein ziemlich merkwürdiges Problem mit meinem Internetanschluss/WLAN. Zunächst mal: VDSL-Anschluss der Telekom mit IPv6, Router ist eine Fritzbox 7490 mit WPA2-gesichertem WLAN.
Zum Vergrößern anklicken....

hier mal ganz gut erklärt wie es vermutlich ging
http://www.pcwelt.de/ratgeber/Der_WLAN-Knack-Test-Mehr_Sicherheit_ohne_Komfort-Verlust-8954625.html :cool:

Also entweder mal eine Woche als Router SSID "Hallo Kali" verwenden, vielleicht fühlt sich jemand ertappt :thumbsup:
Oder mit Kismet oder ähnlichen Werkzeugen mal auf die Suche nach dem experimentierfreudigen Nachbar gehen.:D
 
Seaman schrieb:
Also entweder mal eine Woche als Router SSID "Hallo Kali" verwenden, vielleicht fühlt sich jemand ertappt [emoji106]
Zum Vergrößern anklicken....
Gute Idee! Würde dafür den Gastzugang der Fritz!Box "missbrauchen". Den nutze ich eh selten (genau genommen nie), aber man kann eine eigene SSID dafür wählen :) Als Passwort kann man dann ja tatsächlich einen 63-Zeichen-Key aus dem Generator für das Hallo-Kali-Netz nehmen. Mal gucken, ob sich sogar jemand meldet, aber zumindest fühlt sich dann demnächst jemand ertappt ;)
 
Helios schrieb:
Hast du mal noch den Check, wie in Post #4 beschrieben, durchgeführt?
Zum Vergrößern anklicken....
Ja, ist alles bestanden - nur, dass WPS aktiv ist und dass der Router auf einem Port (ich glaube, VoIP) auf Anfragen antwortet.

cuco schrieb:
Gute Idee! Würde dafür den Gastzugang der Fritz!Box "missbrauchen". Den nutze ich eh selten (genau genommen nie), aber man kann eine eigene SSID dafür wählen :) Als Passwort kann man dann ja tatsächlich einen 63-Zeichen-Key aus dem Generator für das Hallo-Kali-Netz nehmen. Mal gucken, ob sich sogar jemand meldet, aber zumindest fühlt sich dann demnächst jemand ertappt ;)
Zum Vergrößern anklicken....
Haha, gute Idee :D :D das werde ich heute Abend gleich mal einrichten :thumbup:
 
vlooe schrieb:
Ähnlich ist es mit der versteckten SSID.
Ein AccessPoint posaunt die immer raus. Die Einstellung signalisiert nur dem enduser tool, dass sie nicht angezeigt werden soll. Übertragen ist sie jedoch.
Zum Vergrößern anklicken....
Nicht ganz. In den normalen Beacon steht einen Hidden SSID nicht drin. Aber sobald ein Client, der die SSID kennt, sich mit dem Netz verbinden will, wird diese unverschluesselt
(in den ProbeRequest und ProbeResponse) uebertragen und man kann sie mitsniffen. Man muss also nur etwas warten, um eine Hidden SSID herauszufinden.

- - - Beitrag zusammengeführt - - -

iYassin schrieb:
Also klar, nach dem Knacken des WLAN-Passworts war der Repeater durch admin/admin zugänglich - aber was hatte das dann für Konsequenzen, so lange niemand im Repeater den DNS-Server geändert hat?
Zum Vergrößern anklicken....
Das haengt davon ab, was der Repeater noch alles kann.
Man koennte auf ihm, falls vorhanden, einen DHCP-Server aktivieren, der den Clients einen DNS-Server unter der Kontrolle des Angreifers mitteilt. Damit muss kein anderer Rechner des Angreifers im WLAN Netz bleiben.
Ich vermute mal, dass das WLAN-Passwort nicht wirklich geknackt, sondern nur weiter gegeben wurde, bis es jemand erhielt, der sich im WLAN etwas umsah und entweder den Repeater manipulierte oder ueber seinen eigenen Client DHCP- und DNS-Server spielte. Fuer letzteres sprechen die beiden unbekannten MAC-Adressen.
 
iYassin schrieb:
Die wohl gefakte Passwort-Seite hängt wohl noch in meinem Browser-Cache, so sah das ganze aus:
Zum Vergrößern anklicken....

... Tante Edith .... :crying:

Unabhängig davon solltest Du unter C:\Windows\System32\drivers\etc noch einmal die Datei hosts kontrollieren,
auch so ein beliebter DNS-Burner für spätere Attacken.. :rolleyes:
 
Zuletzt bearbeitet:
Danke ;)

think_pad schrieb:
Unabhängig davon solltest Du unter C:\Windows\System32\drivers\etc noch einmal die Datei hosts kontrollieren,
auch so ein beliebter DNS-Burner für spätere Attacken..
rolleyes2.png
Zum Vergrößern anklicken....
Da sieht alles gut aus :thumbup:
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben