{"id":293191,"date":"2024-03-11T01:42:09","date_gmt":"2024-03-11T00:42:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293191"},"modified":"2025-06-08T18:09:09","modified_gmt":"2025-06-08T16:09:09","slug":"externe-zugriffsversuche-auf-fritzbox-systeme-die-per-internet-erreichbar-sind-mrz-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/11\/externe-zugriffsversuche-auf-fritzbox-systeme-die-per-internet-erreichbar-sind-mrz-2024\/","title":{"rendered":"Externe Zugriffsversuche auf FRITZ!Box-Systeme, die per Internet erreichbar sind? (März 2024)"},"content":{"rendered":"

\"SicherheitKurze Rundfrage an die Blog-Leserschaft, die eine FRITZ!Box betreiben, die direkt per Internet erreichbar ist. Habt ihr in den letzten Tagen verst\u00e4rkt Zugriffsversuche von Dritten in den Protokollen gesehen? Ein Blog-Leser hat mich zum Wochenende mit einer entsprechenden Beobachtung konfrontiert. Nach dem Take-Down der Domain fritz.box<\/em> der n\u00e4chste Punkt, auf den Ger\u00e4tebesitzer achten sollten.<\/p>\n

<\/p>\n

\"\"Irgendwie scheinen Ger\u00e4tebesitzer im Fokus von Angreifern zu stehen. K\u00fcrzlich berichtete ich im Blog-Beitrag Angriffe auf Synology OpenVPN-Server? (Feb. 2024)<\/a> von Zugriffsversuchen durch unbekannte Dritte auf per Internet erreichbare Ger\u00e4te. Und auch Besitzer einer FRITZ!Box haben sie Wochen Stress, weil eine externe Aufl\u00f6sung nach fritz.box<\/em> zu einer externen Seite umleitet. Ich hatte im Beitrag FRITZ!Box-Problem: Eingabe der URL fritz.box leitet pl\u00f6tzlich auf externe Seite um<\/a> erstmals berichtet und vorige Woche den n\u00e4chsten GAU im Beitrag FRITZ!Box-Problem: Gekaperte Domain verursacht Stress<\/a> angesprochen. Inzwischen ist die Domain fritz.box<\/em> nach diesem heise-Artikel<\/a> erst einmal aus dem Verkehr gezogen und nicht mehr \u00f6ffentlich erreichbar.<\/p>\n

Zugriffsversuche auf FRITZ!Box<\/h2>\n

Michael hat mich gestern per E-Mail kontaktiert, weil er in der Ereignisanzeige seiner FRITZ!Box auf zahlreiche Zugriffsversuche von Dritten gesto\u00dfen ist. Unter dem Betreff \"Zugriffsversuche auf FritzBox – L\u00e4uft da was?\" schrieb mir Michael, dass er m\u00f6glicherweise\u00a0ein Thema f\u00fcr den Blog habe bzw. hoffte, dass ich vielleicht dazu auch schon Informationen aus anderen Quellen hab.<\/p>\n

Er hatte heute morgen eher durch Zufall in das Ereignisprotokoll seiner FritzBox geschaut und musste dabei feststellen, dass es \u00fcber die vergangenen Tage eine immense Anzahl an Zugriffsversuchen gab.<\/p>\n

Die Zugriffe wurden dabei, soweit Michael dies bis jetzt sagen kann, immer unterbunden, da das Kennwort falsch war. Der Versuch fand dabei immer von derselben IP-Adresse statt. Nachfolgender Screenshot von Michael zeigt diese Zugriffsversuche.<\/p>\n

\"Zugriffsversuche<\/a>
\nZugriffsversuche auf die FRITZ!Box, Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Im Ereignisprotokoll werden neben der IP-Adresse auch der Benutzername, unter dem der Zugriff versucht wird, angegeben. Dabei kommen laut Michael teilweise auch E-Mail-Adressen oder gar Klarnamen zum Einsatz. Neben den \u00fcblichen Versuchen wie \"system\", \"admin\", etc. scheint der Angreifer Brute-Force-Angriffe \u00fcber Listen mit Benutzernamen und Kennw\u00f6rtern durchzuprobieren.<\/p>\n

Michael hat dann auch die FRITZ!Box seiner Eltern kontrolliert und festgestellt, dass es dort ebenfalls Versuche gab, von derselben IP-Adresse auf die Oberfl\u00e4che bzw. das interne Netzwerk zuzugreifen. Diese Zugriffsversuche d\u00fcrften aber nur bei Ger\u00e4ten auftreten, die per Internet erreichbar sind – was bei Michael der Fall war.<\/p>\n

Dazu schrieb Michael: Meine FRITZ!Box und die meiner Eltern sind beide \u00fcber das Internet erreichbar, sodass man sich auf das Web-Interface einw\u00e4hlen und ggf. Einstellungen ver\u00e4ndern kann. F\u00fcr kritische \u00c4nderungen ist eine 2-Faktor Authentifizierung notwendig. Die FRITZ!Boxen sind dabei bei AVM registriert und haben einen DNS-Namen vom AVM eigenen DynDNS-Dienst. <\/em><\/p>\n

Michael gibt an, dass er nun den \u00f6ffentlichen Zugriff f\u00fcr die FRITZ!Boxen nun erst einmal deaktivieren und ein VPN einrichten werde, sodass er Remote immer noch auf die Systeme zugreifen kann (ist ihm bei den Eltern wichtig). Michael fragte in seiner Mail, ob mir etwas bekannt ist – was ich verneinen musste. Frage an die Leserschaft: Stellt ihr diese Angriffsversuche ebenfalls fest?<\/p>\n

Interessant: Nutzername fritz1234<\/h2>\n

Erg\u00e4nzung 1:<\/strong> Ein Leser wies mich auf Mastodon auf einen weiteren Punkt hin. Er hat auf der FRITZ!Box einen ihm unbekannten Nutzer 'fritz1234' entdeckt. Es stellte sich heraus, dass der Name das Login aus dem Heimnetz ohne Nutzernamen erm\u00f6glicht. Das Ganze ist in diesem AVM-Dokument<\/a> beschrieben.<\/p>\n

Erg\u00e4nzung 2:\u00a0<\/strong>Inzwischen hat auch Golem das Thema in diesem Artikel<\/a> mit einer Bewertung aufgegriffen. Mit aktuellem Kenntnisstand w\u00fcrde ich daf\u00fcr sorgen, dass die FRITZ!Box-Oberfl\u00e4che nicht per Internet f\u00fcr Fernzugriffe erreichbar ist und ggf. noch die in den nachfolgenden Kommentaren genannten IP-Adressen blockieren. Falls Fernzugriff zwingend ben\u00f6tigt wird, sollte man mindestens ein eigenes Kennwort, welches nicht bei anderen Diensten verwendet wird und nicht bei Have I been pwned auftaucht, verwenden. und auch bei Focus Online ist das Thema aufgeschlagen<\/a>.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nFRITZ!Box-Problem: Gekaperte Domain verursacht Stress<\/a>
\nFRITZ!Box-Problem: Eingabe der URL fritz.box leitet pl\u00f6tzlich auf externe Seite um<\/a>
\nAngriffe auf Synology OpenVPN-Server? (Feb. 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Kurze Rundfrage an die Blog-Leserschaft, die eine FRITZ!Box betreiben, die direkt per Internet erreichbar ist. Habt ihr in den letzten Tagen verst\u00e4rkt Zugriffsversuche von Dritten in den Protokollen gesehen? Ein Blog-Leser hat mich zum Wochenende mit einer entsprechenden Beobachtung konfrontiert. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[3081,4328],"class_list":["post-293191","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-geraete","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293191","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=293191"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293191\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=293191"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=293191"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=293191"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}