Hackerangriff auf Router?
Hallo zusammen. Folgendes: Ich war mit meinem Handy (Android, nicht gerootet) auf einer sagen wir mal unseriösen Seite unterwegs, auf der ich einen (il-)legalen Stream abgespielt habe. In der Zeit hat jemand versucht, auf mein Router zuzugreifen und das Passwort zurückzusetzen (zum Glück erfolglos). Der Zugriff fand von meinem Handy statt. Frage: Wie ist sowas möglich?
1 Antwort
Bist Du Dir sicher, dass es dein Handy war, das versucht hat, den Router zu hacken? Wie kommst du drauf?
Das WAN-Bein Deines Routers kennen die „Unseriösen“ ja...
Aber das LAN-Bein Deines Routers ist für deinen Browser auf dem Handy gar nicht so leicht zu finden. Dazu müsste sich die Schadsoftware entweder nach deiner Routing-Tabelle erkundigen oder alles durchprobieren.
Auch Android kann theoretisch vulnerabel sein (also für Schadsoftware zugänglich). Theoretisch könnte es möglich sein, dass die Schadsoftware dein Handy rootet... Allerdings ist das sehr unwahrscheinlich, weil Android eigentlich dauernd Sicherheitsupdates automatisch installiert.
Hast mal geguckt, ob dein Handy alle Updates bekommen hat? Bei GooglePlay irgendwo...
ok... unser IT Guy hat total komische IPs vergeben... z. B. für den Hauptrouter 10.77.33.22
hm... wurde denn die IP des Angreifers geloggt? Ich mein: Wie kannst du denn den Repeater wissen? der hat doch mit IPs nix zu tun... oder?
Ich glaub Repeater war der falsche Ausdruck. Es war der 2. Router welches über Kabel mit dem Hauptrouter verbunden ist. Dieser 2. Router hat ein eigenes Wlan mit eigenem Dhcp Server. Deshalb sehe ich im Hauptrouter nur die IP vom 2. Router. Und im 2. Router selbst konnte ich leider nix feststellen.
oh ok...
hat der 2. Router denn eine NAT? normal ändert ein Router nicht die IP Adresse des Absenders eines Pakets... er liest es an einem Bein und schickt es über ein anderes Bein weiter...
und was sagt dein Hauptrouter über den Zweitrouter? dass er versucht hat sich einzuloggen?
Hast mal geguckt, ob dein Handy alle Updates bekommen hat? GooglePlay...?
merkwürdig... dann müsstest du diesen Zweit-Router mit der xyz wohl mal das Loggen beibringen (um rauszufinden, welches Endgerät es war), da der hoffentlich eine NAT hat... denn wenn xyz keine NAT hat, dann würde es ja bedeuten, dass der Zweit-Router einen Hau hat... 😋
Also der zweite Router ist ein tplink bei dem leider nichts geloggt wird, warum auch immer. Man sieht nur irgendwelche Datenpakete. Der Hauptrouter ist eine Fritzbox. Was wäre eigentlich wenn der Zweitrouter kein NAT hat, aber der Hauptrouter schon? Letztendlich verbinde ich mich doch mit dem Hauptrouter zum Internet?
dem tplink könntest du vielleicht OpenWRT draufbügeln... https://openwrt.org/
der tplink braucht eigentlich keine NAT... jedenfalls, wenn sein DHCP IPs vergibt, die auch im Netz der Fritzbox liegen... die DHCP Server der beiden Router müssten na klar nicht überlappende IP-Bereiche benutzen...
verstehe... wie ist denn die IP vom Endgerät? auch 192.168.1.xxx? oder ganz was anderes?
ja... dann ist es klar, dass der tplink eine NAT verwendet, weil er ein anderes Netz benutzt... tplink: 192.168.0.0/24 und Fritzbox: 192.168.1.0/24
also war es wohl dein Handy... kann es sein, dass du versehentlich versucht hast, dich bei der Fritzbox einzuloggen? sonst hattest du echt Schadsoftware auf dem Handy...
da solltest du vllt lieber in einem Fritz/AVM Forum nachfragen...
bei uns in der Firma wird zwar auch wild rumgesurft, aber alle bis auf mich können die Router gar nicht erreichen... solche Pakete werden stillschweigend gedroppt.... allerdings sind die entsprechenden Zähler alle auf 0... es versucht also auch keiner... mein phone versucht auch nie die Router zu erreichen (die entsprechenden Zähler sind auch 0)...
Naja 100% sicher bin ich mir nicht aber es ist sehr wahrscheinlich. Denn der Angriff kam vom Repeater in meinem Zimmer. Welcher Client genau das war sieht man nicht. Und die Adresse im LAN 192.168.1.1 herauszufinden ist wirklich nicht schwer. Kann jeder erraten. Vielleicht hätte ich noch erwähnen sollen, dass ich während des Stream kurzzeitig mit einem VPN Tunnel verbunden war. Hatte den aber später ausgeschaltet. Der Zugriff fand danach statt.