Wie wurde mein WLAN gehackt ?

#1 Guten Abend liebe Community,

ich habe eine Arcor Easy Box 600 und dachte eigentlich immer dass durch die WPA2 verschlüsselung alles sicher ist, doch ich wurde leider eines Besseren belehrt.

Ich schaue ab und zu mal auf den Router um nach "Eindringlingen" zu gucken.
und siehe da, es war jemand mit einer "fremden" MAC-Adresse auf dem Router eingeloggt. Ich konnte auch den Computernamen sehen, und diese zurückverfolgen.
Dieser aussagekräftige Computername leitete mich direkt (via Google) auf ein Youtube-Profil sowie StudiVZ Profil. Ich konnte also den "Eindringling" eindeutig identifizieren.
Der Name ist mir also bekannt. Nun zog ich in der Nachbarschaft los und fand den Namen auch promt an einer Hausklingel ! Eas für eine Frechheit ! Ich habe jedoch bis jetzt noch niemanden zur Rede gestellt.

Ich habe nun den PSK-Schlüssel geändert, MAC-Filterung eingestellt, und das WLAN unsichtbar gemacht. REICHT DAS AUS?

Und nun meine zweite Frage: Lest euch mal bitte dieses LOG durch:


10/22/2010 19:21:26 sending ACK to 192.168.2.103
10/22/2010 19:19:19 Wireless 94:44:52:86:BE:C2 released
10/22/2010 19:15:04 192.168.2.103 login success
10/22/2010 19:15:00 User from 192.168.2.103 timed out
10/22/2010 18:07:38 sending ACK to 192.168.2.103
----HACKER ENDE
10/22/2010 13:52:30 802.1X supplicant 1C-AF-F7-65-9D-9B logoff
10/22/2010 13:39:46 sending OFFER to 192.168.2.107
10/22/2010 13:39:36 sending OFFER to 192.168.2.107
10/22/2010 13:10:18 Wireless 00:21:5D:34:05:48 released
10/22/2010 11:16:40 sending ACK to 192.168.2.101
10/22/2010 11:10:26 NTP Date/Time updated.
10/22/2010 11:09:40 Get system time from NTP server:78.46.194.187.
10/22/2010 10:18:32 Wireless 00:26:82:63:C7:6F released
10/22/2010 10:13:16 sending ACK to 192.168.2.102
10/22/2010 10:13:04 sending ACK to 192.168.2.102
10/22/2010 10:13:04 sending ACK to 192.168.2.102
10/22/2010 09:47:52 Wireless 00:26:82:63:C7:6F released
10/22/2010 09:42:52 Wireless 00:21:5D:34:05:48 released
10/22/2010 09:40:05 sending ACK to 192.168.2.102
10/22/2010 09:35:57 sending ACK to 192.168.2.101
10/22/2010 09:34:04 sending ACK to 192.168.2.101
10/22/2010 08:06:33 If(PPPoE1) PPP connection ok !
10/22/2010 08:06:32 If(PPPoE1) get secondary DNS IP:195.50.140.246
10/22/2010 08:06:32 If(PPPoE1) get primary DNS IP:195.50.140.248
10/22/2010 08:06:32 If(PPPoE1) get IP:88.74.164.78
10/22/2010 08:06:32 If(PPPoE1) start PPP
10/22/2010 08:06:32 If(PPPoE1) receive PADS
10/22/2010 08:06:32 If(PPPoE1) send PADR
10/22/2010 08:06:32 If(PPPoE1) receive PADO
10/22/2010 08:06:32 If(PPPoE1) send PADI
10/22/2010 08:06:32 If(PPPoE1) receive PADT
10/22/2010 08:06:32 If(PPPoE1) PPP connection terminated by peer
10/22/2010 08:06:32 If(PPPoE1) stop
-----HACKER START
10/22/2010 00:31:12 Wireless 00:0C:F6:75:92:95 released
10/21/2010 23:09:40 NTP Date/Time updated.
10/21/2010 23:08:53 Get system time from NTP server:83.137.98.96.
10/21/2010 19:07:59 sending ACK to 192.168.2.105
10/21/2010 19:06:05 Wireless 94:44:52:86:BE:C2 released
10/21/2010 17:54:44 sending ACK to 192.168.2.103
10/21/2010 17:27:05 Wireless 00:21:5D:34:05:48 released
10/21/2010 16:57:48 sending ACK to 192.168.2.101
10/21/2010 16:57:34 sending ACK to 192.168.2.101
10/21/2010 16:04:05 Wireless 00:21:5D:34:05:48 released
10/21/2010 15:27:29 sending ACK to 192.168.2.101
10/21/2010 15:25:05 Wireless 00:21:5D:34:05:48 released
10/21/2010 15:08:54 sending ACK to 192.168.2.101
10/21/2010 14:08:45 Wireless 00:21:5D:34:05:48 released
10/21/2010 12:17:26 sending ACK to 192.168.2.101
10/21/2010 11:41:17 sending ACK to 192.168.2.101
10/21/2010 11:08:53 NTP Date/Time updated.
10/21/2010 11:08:08 Get system time from NTP server:134.34.3.18.
10/21/2010 11:05:20 Wireless 00:21:5D:34:05:48 released
10/21/2010 08:04:01 sending ACK to 192.168.2.101

Ich habe den Zeitraum in dem der Eindringling eingeloggt war einmal markiert ( HACKER START, HACKER ENDE) Diese Befehle bzw. Meldungen habe ich noch NIE in dem LOG gesehen - was hat er da gemacht? ALso wie hat er einen Zugang zum Router bekommen???


Ich danke euch allen.

#2 Hallo celebster_3,

dein eintrag ist schon eine weile her, aber ich hätte da mal eine frage dazu. ich nehme an, dass mein router ebenfalls gehackt wurde und bin nun auf "spurensuche" da durch meinen router über die 10GB pauschale/monat hinaus kosten von €550.- in nur 7 tagen angefallen sind.
nun würde mich interessieren, wie man zu den log-daten des routers kommt? und wo genau konntest du den pc-namen des hackers sehen?

vielen dank, mfg yourstarlight

#3 Hallo yourstarlight,

um auf deinen router zu kommen einfach im browser die IP des routers eingeben.
in meinem fall ist es die 192.168.2.1 (Arcor A600 Box).

benutzername ist standard glaube ich : root
passwort wenn ich mich recht entsinne : 123456

auf der ersten seite siehst du alle statusmeldungen u.a. auch den logtext (siehe 1. beitrag)
und du siehst die MAC adresse samt PC-namen (nicht oben enthalten)

ich hoffe ich konnte dir helfen

#4 Das ist von Router zu Router unterschiedlich. In manchen Routern findet man sogar gar keine Übersicht der verbundenen Geräte, während in anderen Routern alles ziemlich detailliert dargestellt wird. In manchen Routern findet man diese Übersicht gleich auf den ersten Blick, bei anderen muss man sich durch komplizierte Menüführung durchwurschteln.

Dass man vom PC-Namen auf den Namen des unberechtigten Nutzers kommt, ist wohl eher Glücksache, da der Name ja frei wählbar ist.

Man kann ihn in der Regel schon mit Start -> cmd -> nslookup [IP-Adresse des Einbrechers] herausfinden.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser