Login-Versuche aus dem Heimnetz auf fritz.nas?

[Kai W.]

Moin zusammen,

seit ein paar Tagen taucht in der Ereignisliste der Fritzekiste immer folgende Fehlermeldung auf:

Anmeldung des Benutzers xx.xxxxxxxx@gmx.de am FRITZ!Box SMB-Dienst von IP-Adresse xxxx:xxxx:xxx:xxxx:xxxx:xxxx:xxxx:xxxx gescheitert (Benutzer existiert nicht). [40 Meldungen seit 14.02.24 20:55:25]

Die IP existiert im Heimnetz, die E-Mail-Adresse im Prinzip auch - letztere jedoch tatsächlich nicht als Fritz!Box-Benutzer. Hat sie auch nie. Wird sie auch eher nicht, da habe ich andere Schreibweisen für die Benutzer gewählt.

Wie finde ich heraus, wer bzw. was da von dem entsprechenden Rechner aus an den fritz.nas will?


Danke vorab & Gruß,

Kai

 

[Herr Moehre]

Was ist das denn für ein Betriebssystem?

Du könntest z.B: unter Windows mal schauen, ob du im Ressourcenmonitor Verbindungen findest zu deiner Fritzbox und dadurch auch ggfls. den Prozess.

 

[Mornsgrans]

Über die IP-Adresse. Eines Deiner Geräte im Netzwerk muss ja die angegebene IPv6-Adresse haben.
Ist es festgestellt, kann es ja nur an einer App oder Netzwerk-Verbindung liegen.

 

[Lufo]

Ist auf einem Gerät ein Microsoft-Konto mit der Mailadresse angemeldet?

 

[mtu]

https://xkcd.com/742/ – scnr

 

[Kai W.]

Guten Abend,

Herr Moehre: Hmpf! Wieder nur die Hälfte verraten... Windows 10 Pro 64 Bit. Vielen Dank für das Stichwort "Ressourcenmonitor". Über Tasks/Prozesse/Dienste bin ich noch nicht fündig geworden.

Mornsgrans: Der Rechner ist es schon identifiziert, der Verursacher darauf nur noch nicht. Aber das schaue ich mir morgen nochmal genauer an...

Lufo: Auch das müsste ich morgen mal prüfen. Könnte tatsächlich sein. Aber warum will Microsoft seit kurzer Zeit Fritz.nasen anbimmeln?

Morgen mehr dazu.


Aber schonmal Danke & Gruß,

Kai

 

[AndreasBloechl]

Diese Adresse hat sich AVM nicht sichern lassen. Dazu gab es schon zig Meldungen.

 

[ggrohmann]

Aber warum will Microsoft seit kurzer Zeit Fritz.nasen anbimmeln?

Die stecken doch ihre Nase überall rein.
Riecht für mich nach einer Amok laufenden Netzlaufwerkverbindung (net use).

 

[Kai W.]

Aloha!

AndreasBloechl: Da zitiere ich mal von chip.de: "Nutzer eines AVM-Routers erleben derzeit eine Überraschung, wenn sie die Internetadresse "fritz.box" außerhalb des Heimnetzwerks aufrufen." Das bringe ich mit meiner Problematik jetzt nicht zusammen. Bitte einmal auf den Hinterkopf klapsen vielen Dank.

ggrohmann: Ich wühle mich heute Nachmittag nochmal durch den Rechner, ob ich etwas seltsames finden kann.

Ich werde berichten und ggf. Weiter blöd fragen... ;-)


Gruß,

Kai

 

[Herr Moehre]

Lass direkt mal 'nen Antiviruscheck drüber laufen, mit ProcessExplorer kannst du die Hashes deiner Prozesse auf Virustotal hochladen.
Hast du auch Auffälligkeiten auf anderen Systemen von dem Rechner - ähnliche Anmeldeversuche oder so?

Nicht, dass da gerade flächendeckend "gescant" wird, das wird zumindest gerne von Ransomwaregruppen wie Akira vorab in Firmenumgebungen gemacht, da kommen dann auch u.A. SMB und RDP Anmeldeversuche zustande.

 

[fakiauso]

Schaue mal nach, ob irgendein Dienst mit nas****.exe bei Dir läuft, es eine zugehörige Anwendung dazu gibt und diese von Dir eingesetzt wurde. Es kann ja auch "nur" ein Programm sein, welches auf Laufwerke im Netzwerk absucht wie in diesem Fall:

Redirecting

Das Merkwürdige ist daran eher, dass mittels (abgefischter?) Adresse Login-Versuche stattfinden und diese nicht von außen, sondern aus dem lokalen Netz und über IPv6 kommen. Insofern würde ich als Test Letzteres zumindest vorübergehend abschalten. Im angenommenen Extremfall wird mittels Brute Force/Rainbow Tables versucht, über SMB auf das NAS zuzugreifen und dort weitere Daten abzugreifen.

Hier sind so die letzten CVE für SMB:

Samba : Security vulnerabilities, CVEs

Security vulnerabilities related to Samba : List of vulnerabilities affecting any product of this vendor

www.cvedetails.com

 

[fishmac]

Anmeldung des Benutzers xx.xxxxxxxx@gmx.de am FRITZ!Box SMB-Dienst von IP-Adresse xxxx:xxxx:xxx:xxxx:xxxx:xxxx:xxxx:xxxx gescheitert (Benutzer existiert nicht). [40 Meldungen seit 14.02.24 20:55:25]

Mehr Informationen durch mitlaufenlassen eines Sniffers, wie z.B. Wireshark. Entsprechender Filter ist zu empfehlen um die interessanten herauszufiltern.

Wie finde ich heraus, wer bzw. was da von dem entsprechenden Rechner aus an den fritz.nas will?

Über den Source Port könntest Du dann die App ermitteln.

 

[Lufo]

Vielleicht hat jemand von dem PC letztens eine Datei von der Freigabe der Fritzbox geöffnet, die steht noch in der Liste der zuletzt geöffneten Dateien und Windows prüft ob die Datei noch existiert oder die Media Sharing Funktion ist aktiv und Windows prüft ob es auch Freigaben gibt oder so etwas obskures. Die E-Mail-Adresse ist wahrscheinlich der Benutzername aufgrund eines Microsoft-Kontos. Das wird einen sehr trivialen Grund haben.

 

[tp390x]

Da zitiere ich mal von chip.de: "Nutzer eines AVM-Routers erleben derzeit eine Überraschung, wenn sie die Internetadresse "fritz.box" außerhalb des Heimnetzwerks aufrufen."

wer "von ausserhalb" versucht, *seine* Fritz per fritz.box aufzurufen, sollte wohl eher nicht an's Admin-Interface gelassen werden...

 

[mtu]

Nichtsdestoweniger ist es eine unbegreifliche Fahrlässigkeit von AVM, sich fritz.box und fritz.nas nicht rechtzeitig gesichert zu haben. Diesen vanity-TLD-Blödsinn gibt es nun seit 5 oder sogar schon 10 Jahren, also Zeit genug für die Planung – und es gibt kein Unternehmen auf der ganzen Welt, das ein größeres Interesse an diesen Hostnamen hat!

 

[Herr Moehre]

@mtu das entscheidet aber nicht ein einzelnes kleines Unternehmen, wie die, was für DNS Topleveldomains vergeben werden und welche nicht... und an wen.

 

[mtu]

@mtu das entscheidet aber nicht ein einzelnes kleines Unternehmen, wie die, was für DNS Topleveldomains vergeben werden und welche nicht... und an wen.

Neuerdings kann aber jeder die Spaß-TLDs mit seinem Quatsch besetzen, und AVM hätte den Spaßvögeln zuvorkommen können, die nun AVM zuvorgekommen sind. Waren sie aber zu träge für.

 

[Kai W.]

Ei Gude!

So, endlich Zeit & Möglichkeit gehabt, dem Problem weiter auf den Grund zu gehen: Es gab tatsächlich eine Anwendung einer Buffalo-NAS, die ich auf dem Rechner eh nicht mehr brauchte. Also: Wech damit. Problem besteht trotzdem weiterhin. Hm. Also weiter forschen: Da fällt auf einmal die "RadeonSoftware.exe" ins Auge, die im Netzwerk rumfunkt. Ein Blick in die Kristallgoogle hat zwar keine schlüssige Erklärung geliefert, aber das Beenden des Tasks sorgte für Funkstille im Bezug auf das von mir Eingangs geschilderte Problem. Aktuell musste ich die Herrschaft über den Rechner wieder an meine Frau übergeben, aber morgen versuche ich mal, ob sich der "Fehler" reproduzieren lässt. Auch hier gilt: Ich werde berichten...


Danke nochmal fürs fleißige mithirnen & Gruß,

Kai

 

[fakiauso]

Da fällt auf einmal die "RadeonSoftware.exe" ins Auge, die im Netzwerk rumfunkt. Ein Blick in die Kristallgoogle hat zwar keine schlüssige Erklärung geliefert, aber das Beenden des Tasks sorgte für Funkstille im Bezug auf das von mir Eingangs geschilderte Problem.

Kann ja sein, dass da der automatische Updater oder irgendein Multimedia-Dingens versucht, eine Verbindung aufzubauen. Das sollte aber zumindest nicht so der Fall sein wie von Dir geschildert.

Gibt es ggf. eine aktuellere Version dieses Treibers? Sonst lässt Du das Zeug einfach weg im Autostart, denn im Normalbetrieb ist das imho sowieso nicht notwendig.

 

[cuco]

Jede Software kann sich natürlich so nennen wie sie möchte. Ich würde also mal prüfen, ob "RadeonSoftware.exe" wirklich was mit dem Grafikkartentreiber zu tun hat - oder sich einfach nur vergleichbar nennt, damit sie nicht auffällt. Vielleicht die RadeonSoftware.exe mal auf dem Rechner lokalisieren und dann zu VirusTotal hochladen und gucken, was da als Ergebnis rauspurzelt. Ggf. auch schauen, ob es mehrere RadeonSoftware.exe gibt. Vielleicht gibt's die echte und noch eine "unechte"?