NEWS
Steht offen im Internet ???
-
@wildbill Das war nicht so, myFritz war schon immer ein einfacher DynDNS Service von AVM, bequem und einfach einzurichten auch von einem DAU
Hier ein Artikel von Heise zu myFritz von 2016
https://www.heise.de/newsticker/meldung/AVMs-Fritzbox-Router-Ausfaelle-bei-DynDNS-Dienst-MyFritz-3111974.htmlAber das war jetzt auch nicht mein Anlass zu schreiben sondern das @Jan1 wohl nicht verstanden hat für was DynDNS steht bzw. was die Abkürzung bedeutet.
@uwerlp sagte in Steht offen im Internet ???:
@wildbill Das war nicht so, myFritz war schon immer ein einfacher DynDNS Service von AVM, bequem und einfach einzurichten auch von einem DAU
Hier ein Artikel von Heise zu myFritz von 2016
https://www.heise.de/newsticker/meldung/AVMs-Fritzbox-Router-Ausfaelle-bei-DynDNS-Dienst-MyFritz-3111974.htmlAber das war jetzt auch nicht mein Anlass zu schreiben sondern das @Jan1 wohl nicht verstanden hat für was DynDNS steht bzw. was die Abkürzung bedeutet.
Das weiß er schon, nur wo bitte bekommst dann bei AVM die statische Adresse (Link) des DynDNS? Eben, nirgends und somit ist das eben nicht das für was es verkauft wird. Das war mal so, man hat über myfritz die Freigabe gemacht und hatte dann ein Link generiert bekommen, mit dem man immer auf die Fritz drauf kam und wo ist der nun? Das ist ne ganz normale Freigebe ohne DynDNS, nicht mehr und nicht weniger. Man kommt schön auf die öffentliche IP die sich alle 24 Stunden ändert aber die musst eben erst mal selber nachschauen, als nix mit DynDNS ;)
So viel dazu, dann war das früher auch noch schön verschlüsselt, da man scannen konnte so viel man wollte, war über myfritz ne Freigabe gemacht, waren die Ports zu und das ist es eben nun auch nicht mehr.
Jungs mir ist es wurscht, ich habe das schon lange nicht mehr über myfritz laufen und das über ne VPN, deshalb bin ich hier nun auch endgültig fertig :)
-
@wildbill Dort kann ich aber nicht ersehen das myFritz mehr ist wie ein DynDNS Dienst. Dort wird noch zusätzlich VPN behandelt das eine hat aber nix mit dem anderen zu tun. Mit der myFritz Adresse kanns du dann eine VPN Verbindung aufbauen das mußt dann Du aber erledigen dass macht nicht myFritz.
@uwerlp Wie gesagt, ich bin wohl der DAU, Du nicht. Ich (und viele andere) haben es wohl falsch bedient und trotz fehlender Portfreigaben jahrelang Zugriff bekommen. Passiert, wenn man keine Ahnung hat...:expressionless:
Du musst mir nix glauben, ich muss Dir nix glauben, keiner muss irgendwem was glauben. Ich hatte es schon erwähnt, dass ich den Entschluss, mich komplett von AVM abzuwenden, nie bereut habe. Wem es gefällt und wer zufrieden ist, der darf es gerne so handhaben. Löst aber nix am eigentlichen Problem, dass die myfritz-Freigaben (in der jetzigen Form) hochgradig unsicher sind, da sie eben einfach Ports öffnen und ansonsten einen simplen dynDNS-Dienst bieten, was man (wenn man dem, was ich erlebt haben will, glaubt) früher eben manuell tun musste und wohl nur tat, wenn man wusste, warum man es tat, oder weil einem alles egal war.
Gruss, Jürgen
@Jan1 hat es ja dann eben nochmal bestätigt, dass es früher so war, wie ich sagte. Ist eben auch ein DAU. :blush: -
@uwerlp Wie gesagt, ich bin wohl der DAU, Du nicht. Ich (und viele andere) haben es wohl falsch bedient und trotz fehlender Portfreigaben jahrelang Zugriff bekommen. Passiert, wenn man keine Ahnung hat...:expressionless:
Du musst mir nix glauben, ich muss Dir nix glauben, keiner muss irgendwem was glauben. Ich hatte es schon erwähnt, dass ich den Entschluss, mich komplett von AVM abzuwenden, nie bereut habe. Wem es gefällt und wer zufrieden ist, der darf es gerne so handhaben. Löst aber nix am eigentlichen Problem, dass die myfritz-Freigaben (in der jetzigen Form) hochgradig unsicher sind, da sie eben einfach Ports öffnen und ansonsten einen simplen dynDNS-Dienst bieten, was man (wenn man dem, was ich erlebt haben will, glaubt) früher eben manuell tun musste und wohl nur tat, wenn man wusste, warum man es tat, oder weil einem alles egal war.
Gruss, Jürgen
@Jan1 hat es ja dann eben nochmal bestätigt, dass es früher so war, wie ich sagte. Ist eben auch ein DAU. :blush:@wildbill
Ich denke wir reden nur aneinander vorbei. Du hast ja recht, das ging jahrelang auch so und das tuts so eben nicht mehr. Genau darum gehts ja. AVM hat das komplett geändert und in den Anleitungen dazu steht es auch noch so wie es mal war.
Aber auch egal, Du hast keine Fritz mehr und ich ne VPN. Also beide nix mit dem Problem am Hut und der Rest kann sich es nun raus suchen was er tun möchte, oder eben nicht. -
@wildbill
Ich denke wir reden nur aneinander vorbei. Du hast ja recht, das ging jahrelang auch so und das tuts so eben nicht mehr. Genau darum gehts ja. AVM hat das komplett geändert und in den Anleitungen dazu steht es auch noch so wie es mal war.
Aber auch egal, Du hast keine Fritz mehr und ich ne VPN. Also beide nix mit dem Problem am Hut und der Rest kann sich es nun raus suchen was er tun möchte, oder eben nicht.@jan1 Zumindest wir beide reden absolut nicht aneinander vorbei, sondern sind wohl exakt gleicher Meinung. Ich hatte Dich (und mich) auch nur als DAU bezeichnet (IRONIE), weil wir offenbar jahrelang zu dumm waren, den myfritz-Service korrekt (nur als DynDNS mit Portöffnungen) zu nutzen, sondern Zugriff ohne offene Ports hatten.
Wie gesagt, jeder soll nutzen, was er mag. Nur wenn ein großer Hersteller hier mit einem Mal Sicherheitslücken aufreisst, die anscheinend nicht (gut) dokumentiert werden und das gar als Feature verkauft, was schon immer so war, da hört eigentlich der Spass auf.
Gruss, Jürgen -
@jan1 sagte in Steht offen im Internet ???:
Das weiß er schon, nur wo bitte bekommst dann bei AVM die statische Adresse (Link) des DynDNS?
myfritz.net ist die Domain die auf AVM registriert ist. Die generieren dann noch eine zufällige Zeichenklette und erzeugen daraus eine Subdomain aus den zwei Teilen ergibt sich dann die Adresse für deine FritzBox z.B. rQ4KBnRRy1wBz3SepM0Y.myfritz.net. Dieser Adresse wird nun die aktuelle IP deines Internetanschlusses zugewiesen und im DNS eingetragen, mehr passiert da nicht.
Jungs mir ist es wurscht, ich habe das schon lange nicht mehr über myfritz laufen und das über ne VPN, deshalb bin ich hier nun auch endgültig fertig :)
Wie ermittels du für das VPN die IP Adresse deines Anschlusses?
@wildbill sagte in Steht offen im Internet ???:
Löst aber nix am eigentlichen Problem, dass die myfritz-Freigaben (in der
Das sind zwei paar Schuhe. Einmal die myFritz Adresse und zum zweiten die Freigabe eines Ports. Wenn du in der FritzBox dann wählst, dass die Oberfläsche der Box aus dem Internet erreichbar sein soll dann werden die entsprechenden Ports geöffnet. Aber das hast Du bzw. derjenige der einstellt zu verantworten, vorallem hat er zu wissen was er macht. Ich habe auch eine myFritz Adresse habe aber nur eine Freigabe für VPN und nicht auf die Box selber.
Das scheint mir ist wohl das größte Problem, viele wissen nicht was sie tun. -
@jan1 sagte in Steht offen im Internet ???:
Das weiß er schon, nur wo bitte bekommst dann bei AVM die statische Adresse (Link) des DynDNS?
myfritz.net ist die Domain die auf AVM registriert ist. Die generieren dann noch eine zufällige Zeichenklette und erzeugen daraus eine Subdomain aus den zwei Teilen ergibt sich dann die Adresse für deine FritzBox z.B. rQ4KBnRRy1wBz3SepM0Y.myfritz.net. Dieser Adresse wird nun die aktuelle IP deines Internetanschlusses zugewiesen und im DNS eingetragen, mehr passiert da nicht.
Jungs mir ist es wurscht, ich habe das schon lange nicht mehr über myfritz laufen und das über ne VPN, deshalb bin ich hier nun auch endgültig fertig :)
Wie ermittels du für das VPN die IP Adresse deines Anschlusses?
@wildbill sagte in Steht offen im Internet ???:
Löst aber nix am eigentlichen Problem, dass die myfritz-Freigaben (in der
Das sind zwei paar Schuhe. Einmal die myFritz Adresse und zum zweiten die Freigabe eines Ports. Wenn du in der FritzBox dann wählst, dass die Oberfläsche der Box aus dem Internet erreichbar sein soll dann werden die entsprechenden Ports geöffnet. Aber das hast Du bzw. derjenige der einstellt zu verantworten, vorallem hat er zu wissen was er macht. Ich habe auch eine myFritz Adresse habe aber nur eine Freigabe für VPN und nicht auf die Box selber.
Das scheint mir ist wohl das größte Problem, viele wissen nicht was sie tun.@uwerlp sagte in Steht offen im Internet ???:
Ich habe auch eine myFritz Adresse habe aber nur eine Freigabe für VPN und nicht auf die Box selber.
So hatte ich das auch bislang mit einer 6490 an einem reinen IPv4-Anschluss.
Den habe ich auf IPv6-Dual-Stack umstellen lassen, seither funktioniert das nicht mehr mit dem Zugriff via IPv4. (Andere Baustelle, kümmere ich mich nochmal drum, wenn die FritzBox 6660 anfang Oktober geliefert wird).Deswegen war ich erstaunt, das bei Nutzung von MyFritz generell alle Ports (warum sollten das eigentlich alle sein? DMZ?) rausgeführt werden sollen. Konnte das aber nicht mehr nachstellen.
Hört sich für mich immer noch nach Fehlkonfiguration auf Anwender-Seite an. Wobei die Dokumentation seitens AVM an der Stelle wirklich etwas nebulös ist.
-
@uwerlp sagte in Steht offen im Internet ???:
Ich habe auch eine myFritz Adresse habe aber nur eine Freigabe für VPN und nicht auf die Box selber.
So hatte ich das auch bislang mit einer 6490 an einem reinen IPv4-Anschluss.
Den habe ich auf IPv6-Dual-Stack umstellen lassen, seither funktioniert das nicht mehr mit dem Zugriff via IPv4. (Andere Baustelle, kümmere ich mich nochmal drum, wenn die FritzBox 6660 anfang Oktober geliefert wird).Deswegen war ich erstaunt, das bei Nutzung von MyFritz generell alle Ports (warum sollten das eigentlich alle sein? DMZ?) rausgeführt werden sollen. Konnte das aber nicht mehr nachstellen.
Hört sich für mich immer noch nach Fehlkonfiguration auf Anwender-Seite an. Wobei die Dokumentation seitens AVM an der Stelle wirklich etwas nebulös ist.
@thomas-braun sagte in Steht offen im Internet ???:
So hatte ich das auch bislang mit einer 6490 an einem reinen IPv4-Anschluss.
Den habe ich auf IPv6-Dual-Stack umstellen lassen, seither funktioniert das nicht mehr mit dem Zugriff via IPv4. (Andere Baustelle, kümmere ich mich nochmal drum, wenn die FritzBox 6660 anfang Oktober geliefert wird).Habe eine FritzBox 6660 (kauf) mit Dual-Stack an einem Vodafone (ehemals Kabeldeutschland) Anschluss. Sollte analog auch mit der 6490 gehen.
-
Auch ich bin ein DAU!
deswegn hatte ich mich damals für eine FritzBox entschieden, weil damals (ewig her) der myFritz Dienst als mehr als Dyn-DNS beworben wurde und der Zugriff aus dem Internet sicher abgewickelt werden sollte.
Der Hersteller meines damaligen Routers (ich weiß nicht mehr wer das war) bot seinen Kunden ebenfalls einen kostenlosen Dyn-DNS Dienst an, aber -weil DAU- war das nichts für mich.Ich bin auch sehr sicher, dass damals myFritz zusätzlich zum DynDNS ein Routin oder was auch immer anbot um ohne Portfreigaben sicher in sein Heimnetz zu kommen.
Diese zusätzliche Sicherheit wurde anscheinend irgendwann wieder entfernt (heute heisst es "war immer so") und über die MyFritz-Freigabe wird der "normale" Port geöffnet.
"Zur Sicherheit" werden anscheinend in jüngster Zeit deshalb die MyFritz-Freigaben auch unter den normalen Portfreigaben angezeigt.
Auch hier bin ich mir sicher, dass es damals nicht so war.
Ich bin zwar nie dazu gekommen myFritz umzusetzen, habe mich damals aber intensiv damit beschäftigt, weil es für mich die einfachste sichere Lösung gewesen wäre.kein Support per PN! - Fragen im Forum stellen - es gibt fast nichts, was nicht auch für andere interessant ist.
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
der Installationsfixer: curl -fsL https://iobroker.net/fix.sh | bash -
-
Auch ich bin ein DAU!
deswegn hatte ich mich damals für eine FritzBox entschieden, weil damals (ewig her) der myFritz Dienst als mehr als Dyn-DNS beworben wurde und der Zugriff aus dem Internet sicher abgewickelt werden sollte.
Der Hersteller meines damaligen Routers (ich weiß nicht mehr wer das war) bot seinen Kunden ebenfalls einen kostenlosen Dyn-DNS Dienst an, aber -weil DAU- war das nichts für mich.Ich bin auch sehr sicher, dass damals myFritz zusätzlich zum DynDNS ein Routin oder was auch immer anbot um ohne Portfreigaben sicher in sein Heimnetz zu kommen.
Diese zusätzliche Sicherheit wurde anscheinend irgendwann wieder entfernt (heute heisst es "war immer so") und über die MyFritz-Freigabe wird der "normale" Port geöffnet.
"Zur Sicherheit" werden anscheinend in jüngster Zeit deshalb die MyFritz-Freigaben auch unter den normalen Portfreigaben angezeigt.
Auch hier bin ich mir sicher, dass es damals nicht so war.
Ich bin zwar nie dazu gekommen myFritz umzusetzen, habe mich damals aber intensiv damit beschäftigt, weil es für mich die einfachste sichere Lösung gewesen wäre.@homoran sagte in Steht offen im Internet ???:
"Zur Sicherheit" werden anscheinend in jüngster Zeit deshalb die MyFritz-Freigaben auch unter den normalen Portfreigaben angezeigt.
Aber dort siehst du noch immer nicht alle Portfreigaben. Über "Diagnose/Sicherheit" sieht man mehr. Da ist dann auch mein VPN und für die Telefonie aufgeführten Freigaben drin.
So sieht die Konfig bei mir aus,
-
@homoran sagte in Steht offen im Internet ???:
"Zur Sicherheit" werden anscheinend in jüngster Zeit deshalb die MyFritz-Freigaben auch unter den normalen Portfreigaben angezeigt.
Aber dort siehst du noch immer nicht alle Portfreigaben. Über "Diagnose/Sicherheit" sieht man mehr. Da ist dann auch mein VPN und für die Telefonie aufgeführten Freigaben drin.
So sieht die Konfig bei mir aus,
Ich hau auch noch mal einen raus.
Es gibt vermutlich einen Zusammenhang mit dem MyFritz Konto und Features, die AVM zu Verfügung stellt.
Nachdem ich ja in meinem letzten Post hier MyFritz deaktviert hatte, ging der Wetterbildschirm nicht mehr auf dem FritzFon C6.
Vermutlich war das der Webserver auf Port 80 (Screenshot von mir weiter oben).
Ich hab also die Wahl zwischen Pest oder Cholera?!Synology DS218+ & 2 x Fujitsu Esprimo (VM/Container) + FritzBox7590 + 2 AVM 3000 Repeater & Homematic & HUE & Osram & Xiaomi, NPM 10.9.4, Nodejs 22.21.0 ,JS Controller 7.0.7 ,Admin 7.7.19
-
Ich hau auch noch mal einen raus.
Es gibt vermutlich einen Zusammenhang mit dem MyFritz Konto und Features, die AVM zu Verfügung stellt.
Nachdem ich ja in meinem letzten Post hier MyFritz deaktviert hatte, ging der Wetterbildschirm nicht mehr auf dem FritzFon C6.
Vermutlich war das der Webserver auf Port 80 (Screenshot von mir weiter oben).
Ich hab also die Wahl zwischen Pest oder Cholera?!@haselchen sagte in Steht offen im Internet ???:
...
Nachdem ich ja in meinem letzten Post hier MyFritz deaktviert hatte, ging der Wetterbildschirm nicht mehr auf dem FritzFon C6.
...Für den Wetterbildschirm benötigst du myfritz.net
Und damit du myfritz sicher einrichten kannst, folgender Link
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3602_Sicherheitshinweise-fur-MyFRITZ/Wenn du dich daran hälst, dann bringt dir der heise-check zukünftig auch ein grünes Licht ;-)
Gruß, Karsten
-
@haselchen sagte in Steht offen im Internet ???:
...
Nachdem ich ja in meinem letzten Post hier MyFritz deaktviert hatte, ging der Wetterbildschirm nicht mehr auf dem FritzFon C6.
...Für den Wetterbildschirm benötigst du myfritz.net
Und damit du myfritz sicher einrichten kannst, folgender Link
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3602_Sicherheitshinweise-fur-MyFRITZ/Wenn du dich daran hälst, dann bringt dir der heise-check zukünftig auch ein grünes Licht ;-)
Gruß, Karsten
-
Danke für die Info.
So wichtig ist mir das Wetter dann doch nicht, wenn ich dazu nen Dienst noch "konfigurieren" muss.
Das C6 bietet ja noch andere Startbildschirme ;)@haselchen Hallo Leute,
ich muss dieses doch sehr alte Thema noch einmal aufgreifen, weil mir heute, etwas mehr als 2 Jahre später das Gleiche passiert ist:
Im IOB wurden zwei Skripte angelegt. Das eine hat mir Ständig Telegramm Nachrichten geschickt, das andere hat auf ALLEN meinen Alexas eine Sprachausgabe getätigt, mit dem Hinweis, das mein IOB offen im Netz sei. Dazu waren alle Instanzen gestoppt bis auf Alexa und Telegramm.
Soweit vielleicht wirklich nur ein freundlicher Hinweis, auch wenn zuhause leichte Panik ausbrach als alle Alexas gelabert haben. Das sind einige bei den Kindern, Spielzimmer, Wohnzimmer, Bad, Küche, Terrasse :D.
Jedenfalls hat der "Angreifer" leider nicht gesagt, wie er auf den IOB gekommen ist und ich finde die Lücke auch nicht.
Ich habe einen Sever mit Win11. Die neuesten Updates waren nicht installiert weil der nicht alleine neu starten darf. Updates vielleicht 3 Montage alt.
Fritzbox 7590 Port Portweiterleitung an den Server 8086 für Apache PHP Server (Stellt nur eine Webseite für das öffnen eines Garagentors bereit) und eine Weiterleitung an einen Minecraft Server TCP und UDP irgendwo im 2xxxxx Bereich.Wenn ich von außen auf den IOB möchte kann ich einen VPN Tunnel zur Fritzbox aufbauen, aber wenn das jemand getan hätte, würde es in den Logs der Fritzbox stehen.
Außerdem käme man auf den Server über Teamviewer drauf.
Wenn jemand den VPN oder Teamviewer angegriffen hätte, dann hätte er vorher nicht ahnen können, dass sich dahinter ein IOB verbirgt. Warum hätte er dort eindringen sollen nur um im IOB den Hinweis zu geben. Da hätte man auf eine wesentlich größere Lücke aufmerksam machen müssen.
Das Gleiche gilt für das WLAN im Haus. Ich wohne in einem Dorf weit weg von Großstädten. Warum sollte jemand mein WLAN angreifen um dort nach IOB zu suchen und dann den Hinweis zu geben. Außerdem stünde es dann ja nicht offen im Netz.In diesem Thread wurde über offene Ports durch myFritz diskutiert. Aber ich habe dort das neueste Update drauf und ein offener Port an der FB wird ja nicht auf den Server durchgereicht auf dem IOB ist. Das kann also meiner Meinung nach nicht sein.
Kann man über die Portweiterleitung von 8068 auf den Port 8082 des Servers zugreifen, auf dem der IOB Admin läuft? Das sollte doch eigentlich nicht Möglich sein.
Die andere Möglichkeit wäre dann ja nur, dass auf dem Server etwas läuft, was so wie Teamviewer oder Hamachi sich bei einem Dienst Meldet, dort den IOB Admin Freigibt und dann jemand über diesen Dienst auf mein IOB Server kam. Dazu habe ich allerdings auch keine Hinweise finden können.
Ich habe auch selbst versucht über meine Öffentliche IP von außen auf den IOB Admin zuzugreifen. Das habe ich selbst nicht hinbekommen.
Als letztes bliebe noch, dass irgendein Scherzkeks in seinem Adapter einprogrammiert hat, dass das die besagten Skripte zu einem bestimmten Zeitpunkt erstellt werden. Das würde das letzte Auftreten, ebenfalls im September aber vor 2 Jahren eventuell erklären.
-
@haselchen Hallo Leute,
ich muss dieses doch sehr alte Thema noch einmal aufgreifen, weil mir heute, etwas mehr als 2 Jahre später das Gleiche passiert ist:
Im IOB wurden zwei Skripte angelegt. Das eine hat mir Ständig Telegramm Nachrichten geschickt, das andere hat auf ALLEN meinen Alexas eine Sprachausgabe getätigt, mit dem Hinweis, das mein IOB offen im Netz sei. Dazu waren alle Instanzen gestoppt bis auf Alexa und Telegramm.
Soweit vielleicht wirklich nur ein freundlicher Hinweis, auch wenn zuhause leichte Panik ausbrach als alle Alexas gelabert haben. Das sind einige bei den Kindern, Spielzimmer, Wohnzimmer, Bad, Küche, Terrasse :D.
Jedenfalls hat der "Angreifer" leider nicht gesagt, wie er auf den IOB gekommen ist und ich finde die Lücke auch nicht.
Ich habe einen Sever mit Win11. Die neuesten Updates waren nicht installiert weil der nicht alleine neu starten darf. Updates vielleicht 3 Montage alt.
Fritzbox 7590 Port Portweiterleitung an den Server 8086 für Apache PHP Server (Stellt nur eine Webseite für das öffnen eines Garagentors bereit) und eine Weiterleitung an einen Minecraft Server TCP und UDP irgendwo im 2xxxxx Bereich.Wenn ich von außen auf den IOB möchte kann ich einen VPN Tunnel zur Fritzbox aufbauen, aber wenn das jemand getan hätte, würde es in den Logs der Fritzbox stehen.
Außerdem käme man auf den Server über Teamviewer drauf.
Wenn jemand den VPN oder Teamviewer angegriffen hätte, dann hätte er vorher nicht ahnen können, dass sich dahinter ein IOB verbirgt. Warum hätte er dort eindringen sollen nur um im IOB den Hinweis zu geben. Da hätte man auf eine wesentlich größere Lücke aufmerksam machen müssen.
Das Gleiche gilt für das WLAN im Haus. Ich wohne in einem Dorf weit weg von Großstädten. Warum sollte jemand mein WLAN angreifen um dort nach IOB zu suchen und dann den Hinweis zu geben. Außerdem stünde es dann ja nicht offen im Netz.In diesem Thread wurde über offene Ports durch myFritz diskutiert. Aber ich habe dort das neueste Update drauf und ein offener Port an der FB wird ja nicht auf den Server durchgereicht auf dem IOB ist. Das kann also meiner Meinung nach nicht sein.
Kann man über die Portweiterleitung von 8068 auf den Port 8082 des Servers zugreifen, auf dem der IOB Admin läuft? Das sollte doch eigentlich nicht Möglich sein.
Die andere Möglichkeit wäre dann ja nur, dass auf dem Server etwas läuft, was so wie Teamviewer oder Hamachi sich bei einem Dienst Meldet, dort den IOB Admin Freigibt und dann jemand über diesen Dienst auf mein IOB Server kam. Dazu habe ich allerdings auch keine Hinweise finden können.
Ich habe auch selbst versucht über meine Öffentliche IP von außen auf den IOB Admin zuzugreifen. Das habe ich selbst nicht hinbekommen.
Als letztes bliebe noch, dass irgendein Scherzkeks in seinem Adapter einprogrammiert hat, dass das die besagten Skripte zu einem bestimmten Zeitpunkt erstellt werden. Das würde das letzte Auftreten, ebenfalls im September aber vor 2 Jahren eventuell erklären.
@undeat sagte in Steht offen im Internet ???:
Fritzbox 7590 Port Portweiterleitung an den Server 8086 für Apache PHP Server
Du hast die Tür aufgemacht!
Wie der Angreifer dann auf den ioBroker kommt, weiß nur er. Und dieses Wissen wird er ja nicht in die Welt hinausposaunen.
Das können Schwachstellen in Deiner Apache-Version sein, in der verwendeten PHP-Version oder auch Sicherheitslücken in dem dort erreichbaren Script.
Und wenn der Angreifer durch diese Lücke(n) an erweiterte Rechte gekommen ist, kommt er auch ganz schnell tiefer ins System.Portfreigaben in der FB sind ein no-go.
Das hat jemand vor einer Weile mal mit einem Honeypot ausprobiert. Nach 11 Sekunden war der erste Besucher da. -
@haselchen Hallo Leute,
ich muss dieses doch sehr alte Thema noch einmal aufgreifen, weil mir heute, etwas mehr als 2 Jahre später das Gleiche passiert ist:
Im IOB wurden zwei Skripte angelegt. Das eine hat mir Ständig Telegramm Nachrichten geschickt, das andere hat auf ALLEN meinen Alexas eine Sprachausgabe getätigt, mit dem Hinweis, das mein IOB offen im Netz sei. Dazu waren alle Instanzen gestoppt bis auf Alexa und Telegramm.
Soweit vielleicht wirklich nur ein freundlicher Hinweis, auch wenn zuhause leichte Panik ausbrach als alle Alexas gelabert haben. Das sind einige bei den Kindern, Spielzimmer, Wohnzimmer, Bad, Küche, Terrasse :D.
Jedenfalls hat der "Angreifer" leider nicht gesagt, wie er auf den IOB gekommen ist und ich finde die Lücke auch nicht.
Ich habe einen Sever mit Win11. Die neuesten Updates waren nicht installiert weil der nicht alleine neu starten darf. Updates vielleicht 3 Montage alt.
Fritzbox 7590 Port Portweiterleitung an den Server 8086 für Apache PHP Server (Stellt nur eine Webseite für das öffnen eines Garagentors bereit) und eine Weiterleitung an einen Minecraft Server TCP und UDP irgendwo im 2xxxxx Bereich.Wenn ich von außen auf den IOB möchte kann ich einen VPN Tunnel zur Fritzbox aufbauen, aber wenn das jemand getan hätte, würde es in den Logs der Fritzbox stehen.
Außerdem käme man auf den Server über Teamviewer drauf.
Wenn jemand den VPN oder Teamviewer angegriffen hätte, dann hätte er vorher nicht ahnen können, dass sich dahinter ein IOB verbirgt. Warum hätte er dort eindringen sollen nur um im IOB den Hinweis zu geben. Da hätte man auf eine wesentlich größere Lücke aufmerksam machen müssen.
Das Gleiche gilt für das WLAN im Haus. Ich wohne in einem Dorf weit weg von Großstädten. Warum sollte jemand mein WLAN angreifen um dort nach IOB zu suchen und dann den Hinweis zu geben. Außerdem stünde es dann ja nicht offen im Netz.In diesem Thread wurde über offene Ports durch myFritz diskutiert. Aber ich habe dort das neueste Update drauf und ein offener Port an der FB wird ja nicht auf den Server durchgereicht auf dem IOB ist. Das kann also meiner Meinung nach nicht sein.
Kann man über die Portweiterleitung von 8068 auf den Port 8082 des Servers zugreifen, auf dem der IOB Admin läuft? Das sollte doch eigentlich nicht Möglich sein.
Die andere Möglichkeit wäre dann ja nur, dass auf dem Server etwas läuft, was so wie Teamviewer oder Hamachi sich bei einem Dienst Meldet, dort den IOB Admin Freigibt und dann jemand über diesen Dienst auf mein IOB Server kam. Dazu habe ich allerdings auch keine Hinweise finden können.
Ich habe auch selbst versucht über meine Öffentliche IP von außen auf den IOB Admin zuzugreifen. Das habe ich selbst nicht hinbekommen.
Als letztes bliebe noch, dass irgendein Scherzkeks in seinem Adapter einprogrammiert hat, dass das die besagten Skripte zu einem bestimmten Zeitpunkt erstellt werden. Das würde das letzte Auftreten, ebenfalls im September aber vor 2 Jahren eventuell erklären.
-
@haselchen Hallo Leute,
ich muss dieses doch sehr alte Thema noch einmal aufgreifen, weil mir heute, etwas mehr als 2 Jahre später das Gleiche passiert ist:
Im IOB wurden zwei Skripte angelegt. Das eine hat mir Ständig Telegramm Nachrichten geschickt, das andere hat auf ALLEN meinen Alexas eine Sprachausgabe getätigt, mit dem Hinweis, das mein IOB offen im Netz sei. Dazu waren alle Instanzen gestoppt bis auf Alexa und Telegramm.
Soweit vielleicht wirklich nur ein freundlicher Hinweis, auch wenn zuhause leichte Panik ausbrach als alle Alexas gelabert haben. Das sind einige bei den Kindern, Spielzimmer, Wohnzimmer, Bad, Küche, Terrasse :D.
Jedenfalls hat der "Angreifer" leider nicht gesagt, wie er auf den IOB gekommen ist und ich finde die Lücke auch nicht.
Ich habe einen Sever mit Win11. Die neuesten Updates waren nicht installiert weil der nicht alleine neu starten darf. Updates vielleicht 3 Montage alt.
Fritzbox 7590 Port Portweiterleitung an den Server 8086 für Apache PHP Server (Stellt nur eine Webseite für das öffnen eines Garagentors bereit) und eine Weiterleitung an einen Minecraft Server TCP und UDP irgendwo im 2xxxxx Bereich.Wenn ich von außen auf den IOB möchte kann ich einen VPN Tunnel zur Fritzbox aufbauen, aber wenn das jemand getan hätte, würde es in den Logs der Fritzbox stehen.
Außerdem käme man auf den Server über Teamviewer drauf.
Wenn jemand den VPN oder Teamviewer angegriffen hätte, dann hätte er vorher nicht ahnen können, dass sich dahinter ein IOB verbirgt. Warum hätte er dort eindringen sollen nur um im IOB den Hinweis zu geben. Da hätte man auf eine wesentlich größere Lücke aufmerksam machen müssen.
Das Gleiche gilt für das WLAN im Haus. Ich wohne in einem Dorf weit weg von Großstädten. Warum sollte jemand mein WLAN angreifen um dort nach IOB zu suchen und dann den Hinweis zu geben. Außerdem stünde es dann ja nicht offen im Netz.In diesem Thread wurde über offene Ports durch myFritz diskutiert. Aber ich habe dort das neueste Update drauf und ein offener Port an der FB wird ja nicht auf den Server durchgereicht auf dem IOB ist. Das kann also meiner Meinung nach nicht sein.
Kann man über die Portweiterleitung von 8068 auf den Port 8082 des Servers zugreifen, auf dem der IOB Admin läuft? Das sollte doch eigentlich nicht Möglich sein.
Die andere Möglichkeit wäre dann ja nur, dass auf dem Server etwas läuft, was so wie Teamviewer oder Hamachi sich bei einem Dienst Meldet, dort den IOB Admin Freigibt und dann jemand über diesen Dienst auf mein IOB Server kam. Dazu habe ich allerdings auch keine Hinweise finden können.
Ich habe auch selbst versucht über meine Öffentliche IP von außen auf den IOB Admin zuzugreifen. Das habe ich selbst nicht hinbekommen.
Als letztes bliebe noch, dass irgendein Scherzkeks in seinem Adapter einprogrammiert hat, dass das die besagten Skripte zu einem bestimmten Zeitpunkt erstellt werden. Das würde das letzte Auftreten, ebenfalls im September aber vor 2 Jahren eventuell erklären.
Kann ich @Codierknecht zu 200% beipflichten.
In der FB wird keine Portweiterleitung gemacht.
Du hast Dir damit schon selber die Antwort gegeben.
Und sei froh , dass der Angreifer hoffentlich nur eine Nachricht dagelassen hat. -
@undeat Also letzteres würde ich ausschliessen weil Du dann nicht der einzige wärst :-)
Also checke nochmal die Port Weiterleitung und vllt auch IPv6 EInstellungen? Ist da vllt was routebar?
Vielen Dank für die Infos.
Im IPV6 wird auch nichts geroutet. Den Apache Server dazu zu bringen einen anderen Port zu öffnen bzw. einen ganz anderen Webserver auf den Port vom Apache umzuleiten? Keine Ahnung ich bin kein Hacker aber unter "offen im Netz" verstehe ich auch etwas anderes.Aber du müsstest es ja wissen, wenn der iob selbst seinen Zugang irgendwo anmeldet um von außen verfügbar zu sein. Da du darauf nicht eingegangen bist, gehe ich mal davon aus, dass iob so etwas nicht OnBoard hat.
Wenn Portweiterleitung so ein No Go ist, wie soll ich dann meinen Minecraft Server online bringen?
Oder die Webseite um das Garagentor zu öffnen (OK dafür müsste ich mir vielleicht eine andere Lösung überlegen, aber gehen muss es trotzdem) -
Kann ich @Codierknecht zu 200% beipflichten.
In der FB wird keine Portweiterleitung gemacht.
Du hast Dir damit schon selber die Antwort gegeben.
Und sei froh , dass der Angreifer hoffentlich nur eine Nachricht dagelassen hat.@haselchen Also wenn nur der Port 8086 weiter geleitet wird dann kann man trotzdem auf den Port 8082 irgendwie kommen? Auf "Normalem" weg geht das nicht.
-
@haselchen Also wenn nur der Port 8086 weiter geleitet wird dann kann man trotzdem auf den Port 8082 irgendwie kommen? Auf "Normalem" weg geht das nicht.
Wie schon erwähnt wird der Angreifer sein Vorgehen mit Sicherheit nicht preisgeben .
Hier gibt es genug Cracks , die Dir helfen können, alles safe aufzusetzen .
Ich hab ne NAS , paar Switches , Router….
Mit den Ports löse ich intern über die Konstellation. -
@haselchen Also wenn nur der Port 8086 weiter geleitet wird dann kann man trotzdem auf den Port 8082 irgendwie kommen? Auf "Normalem" weg geht das nicht.
@undeat sagte in Steht offen im Internet ???:
Auf "Normalem" weg geht das nicht.
Ein Hacker nutzt ja auch nicht den "normalen Weg" ;-)
679
Online32.4k
Benutzer81.5k
Themen1.3m
Beiträge