Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de

Aktuell wird ein Dienst, der auf fast allen DSL-Modems zwecks Fernwartung aktiviert ist, für eine großangelegte Welle von Manipulationen (um das Schlagwort "Angriffe" zu vermeiden) genutzt.
Betroffen waren in den letzten Tagen eine ziemliche Menge von Geräten in Deutschland. Zur Zeit scheinen sich entsprechende Aktivitäten in Österreich anzubahnen. Mehr dazu:
http://www.admin-magazin.de/News/Telekom…-Router-gehackt
https://www.bsi.bund.de/DE/Presse/Presse…r_28112016.html
https://isc.sans.edu/forums/diary/Port+7…SL+Modems/21759

Gestern bekam ich doch glatt von meinem Anbieter eine SMS:

Zitat

Lieber A1 Kunde, aufgrund einer Sicherheitswarnung haben wir Ihr Internet gesperrt.
So sind Sie bald wieder online: Bestätigen Sie uns schriftlich mit Ihrer+Unterschrift, dass Sie Ihren Internet-Zugang bereinigt haben - per Fax an 050 664 949210 oder eingescannt per E-Mail an abuse(at)a1telekom.at.
Ihr A1 Team

Auf meine Rückfrage, ob das wirklich authentisch ist und welche Art von Sicherheitswarnung das gewesen sein soll, bekam ich heute einen Anruf von einem Techniker(!). Dieser erklärte mir, daß man am Monitoring auffällige Aktivitäten von meinem Anschluss gemerkt habe und dieser daraufhin gesperrt wurde. Vielleicht hätte ich ja von den Hacker-Angriffen in Deutschland gehört... Da habe man Vorkehrungen getroffen und besonders genau aufgepasst.

Im Zuge des Gesprächs klärten wir gemeinsam ein paar Details:

Was soll ein Normal-User mit so einer SMS anfangen?
Wie bereinigt man seinen Internet-Zugang (zumal der Hack über einen Dienst angreift, der mit üblichen Hausmitteln garnicht zugänglich ist und hinter sich die Tür zumacht...)
Wie sollte der User diese Bestätigung über die erfolgte "Bereinigung" per E-Mail senden? (Sofern der soeben gesperrte Anschluss sein einziger Zugang wäre)

Last, not least: Bis auf einen kurzen Ruckler gestern nachmittag läuft mein Internet 1A
Nach einer Schrecksekunde kam die Erklärung, daß dies maximal bis zum nächsten IP-Wechsel so wäre, dann würde die Neuanmeldung nicht mehr klappen. Der findet alle 24 Stunden statt. Es sei denn, die Verbindung würde vorher gekappt, was im Fall einer Sicherheitswarnung tatsächlich Sinn gemacht hätte. (Uups )

Aber, so versicherte er mir: Österreichs Telekom ist gewappnet, nach den Ereignissen in Deutschland sei man vorgewarnt gewesen und habe alle Hebel in Bewegung gesetzt. Außerdem betrifft es hierzulande nur eine handvoll Nutzer "mit ganz alten DSL-Modems".

Nun denn: Exakt 24 Stunden später wurde heute mein Internet finster. Wunschgemäß habe ich also bestätigt, daß ich meinen Internet-Zugang bereinigt habe (mit Blitzo, Nixdrin und MegaLOL). Seit zwei Stunden warte ich nun auf die Reaktivierung. Der Online-Chat (Montag bis Freitag von 08:00-22:00 Uhr sowie Samstag und Sonntag von 10:00 bis 20:00) sagt die ganze Zeit "Chat derzeit nicht verfügbar"...

</Lachnummer off>

Der aufgespielte Virus sitzt in deinem Telekom-Router/Modem. Keines deiner internen Systeme bekommt davon etwas mit. Wenn, dann höchstens indirekt, indem deine Leitungsqualität verändert wurde (durch Maßnahmen deines Anbieters oder weil dein Router als Teil eines Bot-Netzes jetzt hauptberuflich Regierungsserver attackiert)

Bitte beachten, daß dies ein News-Bereich ist. Eigene Fragen/Probleme bitte in die entsprechenden Problembereiche posten.

Dazu kann ich nur sagen: Der der aon-Techniker meinte damals am Telefon, ich möge unbedingt meinen "privaten Router" (gemeint war die Fritzbox) wieder als Modem anschließen und ihre Firmware auf letzten Stand bringen. Auf dem letzten Stand war sie, aber ich nutzte sie nur als Access-Point und internen Router. Als Modem hatte ich zu der Zeit das ganz alte Alcatel. Das war aber auch dicht und obendrein keine lohnende Beute für diesen Hack.

Die Fritzbox hat aber den Vorteil, daß man den Zugriff über TR-069 (und somit die Fernwartung) gezielt mit einem Klick abschalten kann.

Siehe auch zwei Uralt-Meldungen:
-> https://www.heise.de/newsticker/meldung/…ar-2292576.html <- da (und auch schon viel früher) wusste man schon, was kommen könnte.
-> https://www.heise.de/newsticker/meldung/…hr-2294267.html <- da geht unter anderem hervor, daß man den Zugriff bei beigestellten Geräten normalerweise nicht verhindern kann. (Der Anbieter will ja seine Geräte fernwarten können)

-> https://avm.de/service/aktuelle-sicherheitshinweise/ <- AVM über das aktuelle Thema
In dem Link aus dem ersten Beitrag steht ja auch, daß es eben vor allem die Telekom-eigenen Speedports getroffen hat.

BTW: Ich habe daraufhin das Alcatel wieder in Rente geschickt und dafür wieder das Pirelli als Modem. Es bietet von allen Geräten noch die meisten Möglichkeiten, sofern man sie mit der richtigen Firmware nutzen kann. Und es beherrscht sogar VoIP (das ich aber wegen zusätzlichem DECT lieber mit der Fritzbox nutze). Die beiden neuen, die sie mir zwischenzeitlich geschickt haben, habe ich überhaupt noch nie eingesetzt.