iYassin
Well-known member
- Registriert
- 15 Mai 2009
- Beiträge
- 10.044
Ich habe ein ziemlich merkwürdiges Problem mit meinem Internetanschluss/WLAN. Zunächst mal: VDSL-Anschluss der Telekom mit IPv6, Router ist eine Fritzbox 7490 mit WPA2-gesichertem WLAN.
Heute Abend saß ich zuhause am Rechner und habe als erstes festgestellt, dass sich Onenote über ein Zertifikatsproblem bei der Synchronisierung beschwert. Habe das vorsichtshalber abgelehnt und erstmal ignoriert. Als ich dann später das TP-Forum aufgerufen habe, plötzlich das gleiche Problem - da wurde ich dann stutzig. Um die Internetverbindung zu testen, habe ich www.zeit.de aufgerufen, wurde auf www.zeit.de/index weitergeleitet und habe eine 404-Seite erhalten, angeblich von www.zeit.de selbst. Habe ich das "index" am Ende gelöscht, kam ich auf eine Seite, die so aussah wie der Login meiner Fritzbox - aber deutlich weniger schick als die normale Loginseite, nur ein blauer Balken oben mit "Fritz!Box 7490" und darunter ein Loginfenster. Das Problem bestand auf meinem PC sowie TP und auf den Rechnern meiner Mitbewohner. Nach einem Fritzbox-Neustart war das Problem erst weg, kam aber nach ca. einer Minute wieder.
OK, offenbar gab es ein Problem mit ein paar Websites. Also kurz einen Ping an die Seite gesendet - kommt zurück von 192.168.178.56... also mal google.de probiert, das ging einwandfrei, kam aber per IPv6 zurück. Also habe ich ein paar andere IPv4-Seiten probiert - zum Beispiel das TP-Forum, alle kamen von 192.168.178.56 zurück. Es waren nur noch IPv6-Adressen zu erreichen. Also mal ein Ping direkt an die Adresse - siehe da, kommt auch zurück. Mal sehen, was sich dahinter verbirgt - aha, die komische Fritzbox-Login-Seite. Ein Test mit dem Google-DNS am Rechner hat nichts gebracht, ins VPN konnte ich mich zwar erst einloggen, bin aber alle paar Sekunden wieder herausgeflogen. Also erstmal keine weitere Option, das Problem zu ignorieren.
Ein kurzer Anruf zuhause (ebenfalls Telekom + Fritzbox, wenn auch ADSL mit IPv4) brachte die Information, dass es kein allgemeines Telekom-Routing-Problem ist. Dann habe ich (auf normalem Weg, also über fritz.box) mich in die Fritzbox eingeloggt, um zu sehen, was die mir zu dem komischen Gerät erzählen kann. Es hieß "kali" und hatte unter anderem die MAC-Adressen "EA:56:4C:76:C3:CC" und "E8: DE:27:0C:9C:08", die beiden weiteren weiß ich nicht mehr. Ein Klick auf das Gerät mit der IP 192.168.178.56 (dessen MAC war EA:56:4C:76:C3:CC) brachte mich zur Login-Seite meines TP-Link WLAN-Repeaters.
Nun habe ich wohl einen Fehler gemacht: Ich dachte mir, dass das Problem wohl irgendwie im Netzwerk liegt. Das Gerät mit dem Namen "kali" ist mir zwar noch nie aufgefallen, aber da der Repeater gebraucht ist, wollte ich nicht ausschließen, dass irgendwo so ein Name in den Einstellungen herumhängt. Somit habe ich beschlossen, dem Gerät zu "vertrauen", habe die IP aufgerufen und das Passwort für die Fritzbox eingegeben, um zu schauen, ob ich dann auch auf die Fritzbox komme. Und es passierte... nichts, ich wurde zu "fritz.com" weitergeleitet und sah die gleiche Seite wieder.
Dann habe ich nochmal probiert, mich ins VPN einzuloggen. Nun ging es, wenn auch langsam - daher habe ich so erst einmal gearbeitet. Ein paar Minuten später habe ich am TP gesehen, dass auch das "normale" Internet wieder ging, also am Desktop wieder vom VPN abgemeldet.
In diesen Zeitraum fallen evtl. ein paar interessante Log-Einträge:
- 23:19: Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert.
- 23:21: Netzwerkgerät Name: kali, MAC: E8: DE:27:0C:9C:08 hat sich mit der FRITZ!Box verbunden.
- 23:26: Netzwerkgerät Name: kali, MAC: EA:56:4C:76:C3:CC hat sich mit der FRITZ!Box verbunden.
- 23:27: Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 192.168.178.70. (Anmerkung: Diese IP-Adresse existiert im Geräte-Log der Fritzbox nicht)
Wenig später habe ich eine Internetseite mit mehreren eingebundenen Bildern von abload.de und directupload.net aufgerufen, die allesamt nicht mehr funktionierten. Da mich das wunderte, habe ich "directupload.net" in den Browser eingegeben und kam auf eine schwarze Seite mit der Anonymous-Maske und dem Text "We are anonymous!" darunter. Kurzer Ping an die Adresse - kam von einer Adresse außerhalb des Netzwerks zurück. Das gleiche Spiel mit "abload.de".
Ein kurzer Anruf zuhause brachte Klarheit, dass directupload.net und abload.de dort einwandfrei funktionieren - also musste es tatsächlich irgendeine Art Hack auf Netzwerkseite sein. Wenige Minuten später waren die "Anonymous"-Seiten nicht mehr erreichbar, die richtigen Seiten luden aber immer noch nicht. Nun gab es wieder Zertifikatsprobleme im Forum.
Jetzt wurde es mir wirklich zu heikel und ich habe sämtliche Rechner vom Netz getrennt, Backups gestartet, um zur Not (Crypto-Trojaner oder sonst etwas?) Festplatten physikalisch abkoppeln zu können, und meinen Mac angeworfen, mit dem ich dann nochmal etwas sicherer fühle. Als der hochgefahren war, habe ich Firefox gestartet - und siehe da, alles ging wieder einwandfrei. Als nächstes habe ich mein TP wieder mit dem Internet verbunden - auch da war der Spuk vorbei. Ein kurzer Blick auf die Fritzbox-Seite zeigte dann, dass das Gerät "kali" nicht mehr verbunden war.
-------------
Erst da ist mir wirklich klar geworden, dass es sich wahrscheinlich um einen Hack von innerhalb des Netzwerks handelt. Um die "kali"-Hypothese zu prüfen, habe ich die MAC-Adressen überprüft - und siehe da, drei davon haben in keinem Vendor-Lookup etwas zu Tage gefördert. Die vierte Adresse ("E8-DE-...") zeigt im Vendor-Lookup auf TP-Link, ist aber nicht mit der MAC meines TP-Link-WLAN-Repeaters identisch. Diese Theorie würde zumindest mit der "komischen" Fritzbox-Seite Sinn machen, und der Tatsache, dass ich dort einmal das Passwort eingegeben habe. Ob das vor oder nach den Logeinträgen war, kann ich leider nicht mehr sagen...
Natürlich kann es auch sein, dass es sich um ein Problem auf Providerseite handelte, das jetzt gelöst ist. Das erklärt aber immer noch nicht das "kali"-Gerät, seine vier MAC-Adressen, von denen drei falsch sind und warum man nichts derartiges liest.
Meine erste Aktion war nun, die Fritzbox komplett zurückzusetzen und mit neuem Admin- und WLAN-Passwort neu einzurichten. Das sollte zumindest erst einmal verhindern, dass es weitere Probleme gibt. Nun bin ich aber auf Eure Hilfe angewiesen.
Was kann das gewesen sein? Ist es tatsächlich möglich, a) ein WPA2-Netzwerk mit vertretbarem Aufwand zu knacken, und b) dann einen Router derart zu beeinflussen, dass erst sämtliche IPv4-Websites Probleme machen und später zufällig und abwechselnd einzelne Websites mit dieser Anonymous-Seite zu überschrieben?
Was sollte ich nun tun? Wie gesagt, die Fritzbox ist neu aufgesetzt ud eingerichtet. Ein schneller Scan meiner beiden Rechner mit Windows Defender hat nichts zutage gefördert, ich werde wohl über Nacht einen vollständigen Scan laufen lassen. Bis jetzt verhalten sich beide Rechner auch normal, nur am X1 Yoga hat der letzte Neustart mehrere Minuten gedauert (ohne Updates) und seitdem ist mein Farbprofil weg - das wird aber vermutlich ein nicht zusammenhängendes Problem sein, denke ich mal
Was ist mit Passwörtern? Gibt es weitere Überprüfungen, die ich durchführen sollte?
Vielen Dank schonmal für Eure Hilfe!
Heute Abend saß ich zuhause am Rechner und habe als erstes festgestellt, dass sich Onenote über ein Zertifikatsproblem bei der Synchronisierung beschwert. Habe das vorsichtshalber abgelehnt und erstmal ignoriert. Als ich dann später das TP-Forum aufgerufen habe, plötzlich das gleiche Problem - da wurde ich dann stutzig. Um die Internetverbindung zu testen, habe ich www.zeit.de aufgerufen, wurde auf www.zeit.de/index weitergeleitet und habe eine 404-Seite erhalten, angeblich von www.zeit.de selbst. Habe ich das "index" am Ende gelöscht, kam ich auf eine Seite, die so aussah wie der Login meiner Fritzbox - aber deutlich weniger schick als die normale Loginseite, nur ein blauer Balken oben mit "Fritz!Box 7490" und darunter ein Loginfenster. Das Problem bestand auf meinem PC sowie TP und auf den Rechnern meiner Mitbewohner. Nach einem Fritzbox-Neustart war das Problem erst weg, kam aber nach ca. einer Minute wieder.
OK, offenbar gab es ein Problem mit ein paar Websites. Also kurz einen Ping an die Seite gesendet - kommt zurück von 192.168.178.56... also mal google.de probiert, das ging einwandfrei, kam aber per IPv6 zurück. Also habe ich ein paar andere IPv4-Seiten probiert - zum Beispiel das TP-Forum, alle kamen von 192.168.178.56 zurück. Es waren nur noch IPv6-Adressen zu erreichen. Also mal ein Ping direkt an die Adresse - siehe da, kommt auch zurück. Mal sehen, was sich dahinter verbirgt - aha, die komische Fritzbox-Login-Seite. Ein Test mit dem Google-DNS am Rechner hat nichts gebracht, ins VPN konnte ich mich zwar erst einloggen, bin aber alle paar Sekunden wieder herausgeflogen. Also erstmal keine weitere Option, das Problem zu ignorieren.
Ein kurzer Anruf zuhause (ebenfalls Telekom + Fritzbox, wenn auch ADSL mit IPv4) brachte die Information, dass es kein allgemeines Telekom-Routing-Problem ist. Dann habe ich (auf normalem Weg, also über fritz.box) mich in die Fritzbox eingeloggt, um zu sehen, was die mir zu dem komischen Gerät erzählen kann. Es hieß "kali" und hatte unter anderem die MAC-Adressen "EA:56:4C:76:C3:CC" und "E8: DE:27:0C:9C:08", die beiden weiteren weiß ich nicht mehr. Ein Klick auf das Gerät mit der IP 192.168.178.56 (dessen MAC war EA:56:4C:76:C3:CC) brachte mich zur Login-Seite meines TP-Link WLAN-Repeaters.
Nun habe ich wohl einen Fehler gemacht: Ich dachte mir, dass das Problem wohl irgendwie im Netzwerk liegt. Das Gerät mit dem Namen "kali" ist mir zwar noch nie aufgefallen, aber da der Repeater gebraucht ist, wollte ich nicht ausschließen, dass irgendwo so ein Name in den Einstellungen herumhängt. Somit habe ich beschlossen, dem Gerät zu "vertrauen", habe die IP aufgerufen und das Passwort für die Fritzbox eingegeben, um zu schauen, ob ich dann auch auf die Fritzbox komme. Und es passierte... nichts, ich wurde zu "fritz.com" weitergeleitet und sah die gleiche Seite wieder.
Dann habe ich nochmal probiert, mich ins VPN einzuloggen. Nun ging es, wenn auch langsam - daher habe ich so erst einmal gearbeitet. Ein paar Minuten später habe ich am TP gesehen, dass auch das "normale" Internet wieder ging, also am Desktop wieder vom VPN abgemeldet.
In diesen Zeitraum fallen evtl. ein paar interessante Log-Einträge:
- 23:19: Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert.
- 23:21: Netzwerkgerät Name: kali, MAC: E8: DE:27:0C:9C:08 hat sich mit der FRITZ!Box verbunden.
- 23:26: Netzwerkgerät Name: kali, MAC: EA:56:4C:76:C3:CC hat sich mit der FRITZ!Box verbunden.
- 23:27: Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 192.168.178.70. (Anmerkung: Diese IP-Adresse existiert im Geräte-Log der Fritzbox nicht)
Wenig später habe ich eine Internetseite mit mehreren eingebundenen Bildern von abload.de und directupload.net aufgerufen, die allesamt nicht mehr funktionierten. Da mich das wunderte, habe ich "directupload.net" in den Browser eingegeben und kam auf eine schwarze Seite mit der Anonymous-Maske und dem Text "We are anonymous!" darunter. Kurzer Ping an die Adresse - kam von einer Adresse außerhalb des Netzwerks zurück. Das gleiche Spiel mit "abload.de".
Ein kurzer Anruf zuhause brachte Klarheit, dass directupload.net und abload.de dort einwandfrei funktionieren - also musste es tatsächlich irgendeine Art Hack auf Netzwerkseite sein. Wenige Minuten später waren die "Anonymous"-Seiten nicht mehr erreichbar, die richtigen Seiten luden aber immer noch nicht. Nun gab es wieder Zertifikatsprobleme im Forum.
Jetzt wurde es mir wirklich zu heikel und ich habe sämtliche Rechner vom Netz getrennt, Backups gestartet, um zur Not (Crypto-Trojaner oder sonst etwas?) Festplatten physikalisch abkoppeln zu können, und meinen Mac angeworfen, mit dem ich dann nochmal etwas sicherer fühle. Als der hochgefahren war, habe ich Firefox gestartet - und siehe da, alles ging wieder einwandfrei. Als nächstes habe ich mein TP wieder mit dem Internet verbunden - auch da war der Spuk vorbei. Ein kurzer Blick auf die Fritzbox-Seite zeigte dann, dass das Gerät "kali" nicht mehr verbunden war.
-------------
Erst da ist mir wirklich klar geworden, dass es sich wahrscheinlich um einen Hack von innerhalb des Netzwerks handelt. Um die "kali"-Hypothese zu prüfen, habe ich die MAC-Adressen überprüft - und siehe da, drei davon haben in keinem Vendor-Lookup etwas zu Tage gefördert. Die vierte Adresse ("E8-DE-...") zeigt im Vendor-Lookup auf TP-Link, ist aber nicht mit der MAC meines TP-Link-WLAN-Repeaters identisch. Diese Theorie würde zumindest mit der "komischen" Fritzbox-Seite Sinn machen, und der Tatsache, dass ich dort einmal das Passwort eingegeben habe. Ob das vor oder nach den Logeinträgen war, kann ich leider nicht mehr sagen...
Natürlich kann es auch sein, dass es sich um ein Problem auf Providerseite handelte, das jetzt gelöst ist. Das erklärt aber immer noch nicht das "kali"-Gerät, seine vier MAC-Adressen, von denen drei falsch sind und warum man nichts derartiges liest.
Meine erste Aktion war nun, die Fritzbox komplett zurückzusetzen und mit neuem Admin- und WLAN-Passwort neu einzurichten. Das sollte zumindest erst einmal verhindern, dass es weitere Probleme gibt. Nun bin ich aber auf Eure Hilfe angewiesen.
Was kann das gewesen sein? Ist es tatsächlich möglich, a) ein WPA2-Netzwerk mit vertretbarem Aufwand zu knacken, und b) dann einen Router derart zu beeinflussen, dass erst sämtliche IPv4-Websites Probleme machen und später zufällig und abwechselnd einzelne Websites mit dieser Anonymous-Seite zu überschrieben?
Was sollte ich nun tun? Wie gesagt, die Fritzbox ist neu aufgesetzt ud eingerichtet. Ein schneller Scan meiner beiden Rechner mit Windows Defender hat nichts zutage gefördert, ich werde wohl über Nacht einen vollständigen Scan laufen lassen. Bis jetzt verhalten sich beide Rechner auch normal, nur am X1 Yoga hat der letzte Neustart mehrere Minuten gedauert (ohne Updates) und seitdem ist mein Farbprofil weg - das wird aber vermutlich ein nicht zusammenhängendes Problem sein, denke ich mal
Was ist mit Passwörtern? Gibt es weitere Überprüfungen, die ich durchführen sollte?
Vielen Dank schonmal für Eure Hilfe!
