1300 mal für eine Sekunde eingewählt?!?

#0
01.03.2004, 18:13
...neu hier

Beiträge: 2
#1 Hallo,

ich habe ein sehr sehr seltsames Problem, für das ich keinerlei Erklärung habe. Vielleicht kann mir ja jemand helfen, zuvor jedoch ein paar Worte zur Konfiguration:

- Lancom IL-11 (Wireless AccessPoint mit ISDN/DSL Router) am ISDN
- dahinter mehrere PCs / Laptops
- geschlossenes, unverschlüsseltes WLAN (mit MAC-Adressenfilter)

Das Problem:

Auf meiner letzten Telekom Rechnung stand ein brutaler Betrag, resultierend aus über 1300 angeblichen Verbindungen zur einer Nummer, die ich normalerweise für das kostenlose XXL-Surfen am Sonntag benutze. Die Einwahlen begannen Montags um 00:05 und dauerten bis nach 21.00 an, jedesmal für genau eine Sekunde. An diesem Tag war ich jedoch gar nicht zuhause und hatte meine Rechner gar nicht angeschalten. Der Router hat als Wählregeln definiert, dass er sich Sonntags zur XXL-Einwahlstelle (Arcor) im Ortsnetz verbinden soll, an allen anderen Tagen jedoch zu Arcor via Call-by-call. Bei jedem Verbindungsaufbau gleicht der Router die interne Uhr mit der ISDN Zeit ab. Das heißt, er hätte nach der ersten Verbindung gemerkt, dass Montag ist und sich (wenn überhaupt) zu einer ganz anderen Gegenstelle verbinden müssen. Weiteres seltsames Indiz: Das Log der Router-Firewall enthält Einträge über "Intruder detections" auf verschiedenen Ports. Leider habe ich diese Meldungen zu spät gefunden. Den genauen Wortlaut der Meldungen kann ich ja noch einmal suchen, falls das jemandem hilft.

Also ... falls irgendjemand eine Idee hat oder auch nur eine Vermutung, laßt es mich bitte wissen! Bin für alles dankbar.

Ach ja, die Telekom stellt sich unwissend. Die Prüfung ergab keine Besonderheiten, wäre alles so, wie es auf der Rechnung steht :-(

Grüße,

Siemex
Seitenanfang Seitenende
01.03.2004, 20:16
Member
Avatar Emba

Beiträge: 907
#2 hi

das klingt ganz schön krass

wenn die nummer, die dein router angeblich 1300 mal connectet haben soll, nicht hard im router eingetragen ist, so muss es einem angreifer von außen (evtl. via WLAN) gelungen sein, die routerconfig via webfrontend zu ändern

ich gehe mal davon aus, dass dein router keine funktion bietet, sich automatisch einzuwählen, wenn ein signal an einem der B-Kanäle anliegt, an dem der router hängt

du sagst, dass keiner deiner rechner zu diesem zeitpunkt an war - demnach können die einwahlversuche nicht von einem client aus deinem netz sein, der sich ständig versucht einzuwählen (automatisches anschalten der rechner hast du sicher auch nicht aktiviert)

intruder detections kennzeichnen meist nur portscans, aber es wäre schon von vorteil, wenn du mal die logs auszugsweise postest

da du ein unverschlüsseltes wireless LAN netz hast, ist es für einen angreifer, auch wenn du auf MAC ebene filterst, ein leichtes, die passwörter zu sniffen und mittels gespoofter MAC deinen router zu benutzen/konfigurieren

greez
Seitenanfang Seitenende
02.03.2004, 09:33
Member
Avatar Spike20

Beiträge: 504
#3 Allerdings denke ich, dass selbst für einen Hacker 1300 Verbindungen ziemlich viel ist!
Kannst du nachfolziehen, ob dein Router wirklich online wahr? -> LogFiles
Wie lange bleibt der Router Online, bis er die Verbindung trennt?
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)
Seitenanfang Seitenende
02.03.2004, 10:00
...neu hier

Beiträge: 7
#4 Hi,

kann dein Router über telnet konfiguriert werden? Wenn ja, solltest du da mal schnell ein Password vorsetzten bzw. das Password ändern, denn es ist, wie Emba schon sagt, ein leichtes, sich in deinem Netzwerk über eine gespoofte Mac sogar Admin-rechten anzumelden!!!

Für die 1300 Connections kann z.B. ein Dialer verantwortlich sein...

Gruß Frog
Seitenanfang Seitenende
02.03.2004, 10:22
Member
Avatar Spike20

Beiträge: 504
#5

Zitat

Frog postete
Für die 1300 Connections kann z.B. ein Dialer verantwortlich sein...
Aber dafür müssten die PCs angewesen sein.

@siemex: bist du dir sicher, dass alle PCs aus waren?
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)
Seitenanfang Seitenende
02.03.2004, 11:42
...neu hier

Themenstarter

Beiträge: 2
#6 Leider sind die Firewall Logs weg. Wahrscheinlich werden die einen Monat lang aufgehoben ... und eh die Telekom Rechnung da war ... Ich hab auch nicht gleich eine Möglichkeit gefunden, die Logs vernünftig zu sichern. Jedenfalls hätte ich die Meldungen erster nehmen müssen. Ich hab sie gesehen und auch für Portscans gehalten. Und BLOCKED klingt ja erstmal nicht schlecht.

Ich hab gestern noch einmal nachgeschaut, ich hatte meinen PC an diesem Tag an, aber erst nach 21.00 - und ungefähr zu dieser Zeit enden diese mysteriösen Verbindungen.

Was den WLAN Angriff von außen angeht ... ausschließen kann man sowas nie, aber ich wohne (WLAN-technisch gesehen) in der Pampa und kann mir absolut nicht vorstellen, dass dort in WLAN Reichweite jemand auf dumme Ideen kommen könnte. Bisher erschien mir der MAC-Adressfilter durchaus angemessen für's Erzgebirge ...

@Frog: Alle Zugänge zur Konfiuration sind passwortgeschützt. Ich kann auch keine offensichtlichen Änderungen an der Konfiuration feststellen.

@Spike20: Der Router hat bei seiner Montags-Gegenstelle eine Haltezeit von 90 Sekunden. Für die gewählte XXL-Verbindung (die eigentlich nur Sonntags gewählt werden sollte) ist die Haltezeit auf 0 gesetzt, d.h. unendlich, bis manuell getrennt wird oder die Gegenstelle die Verbindung zurücksetzt.

Ich spinne mal ein bißchen: Könnte es sein, dass "irgendwas" von außen die Verbindung hergestellt hat und es nur so aussieht, als ob der Router gewählt hätte? Wenn ich die zugewiesene MSN anrufe, passiert gar nichts.
Was die Zahl 1300 angeht ... da sieht es für mich so aus, als ob da ein Automatismus am werkeln war. Entweder hat die Firewall geblockt und wieder dicht gemacht, oder "das Ding" hat gemerkt, dass am Router selbst nicht viel zu holen ist und immer wieder probiert ... ich weiss es nicht ... keine Ahnung.

Was auch sehr seltsam ist: Ich hab meinem Vater davon erzählt, und er war sofort fest davon überzeugt, dass ihm ein Kollege vor kurzem die gleiche mysteriöse Geschichte von den 1000 Verbindungen erzählt hätte. Nur: Er erinnert sich nicht, wer das war :-(

PS: Danke für Eure Ideen. Fühl mich gleich viel besser.
Seitenanfang Seitenende
02.03.2004, 12:18
Member
Avatar Spike20

Beiträge: 504
#7 Dein Problem jetzt ist, dass zur Zeit keinen Nachweis dafür hast, dass nu nicht online gegangen bist. Bei 1300 Verbindungen in dem Zeitfenster von 0:05 Uhr bis 21:00 Uhr wäre das ca 1,04 Verbindungen in der Minute über 21 Stunden.

Wenn du dir sicher bist, dass kein PC bzw. der Router über diese Zeit online war... kann nur irgend ein anderer über deinen Account online gegangen sein. Er bräuchte dazu die zu wählende Nummer und deinen Account.
Kannst du auf der Rechnung nachvollziehen, welche Nummer gewählt hat?

Gruß Spike
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: