Alle 13 Minuten versucht sich jemand, in mein Wlan anzumelden.
Passwort schwer zu erraten, aber mich interessiert wer das ist.
Es kommen 4 Nachbarn in Frage.
Bei dem Geraet handelt es sich um ein
SHENZHEN RF-LINK TECHNOLOGY CO.,LTD
mehr habe ich nicht herausgefunden.
Was kann man machen?
C# Beginner schrieb:> Minuten
Sekunden.
Mich würde interessieren, wie du das gerät herausgefunden hast.
Macht es Sinn für den Hacker würde ich mal einen Honeypot einrichten?
Dann könnte man ggf. mehr über diesen erfahren...
Wenn es so regelmäßig zyklische Anmeldungen verursacht würde ich auf ein
dummes Gerät tippen. Vielleicht eine IP-Kamera, die billigen Chinateile
telefonieren gerne nach Hause.
Einfach mal das Passwort abschalten, den Gast reinlassen und die IP
Adresse mit dem Browser ansprechen, wenn es eine Kamera ist würde man
schnell sehen wem die gehört.
Mich wuerde z.B. interessieren, welche Passwoerter er/sie/es verwendet.
Da koennte man sehen, ob er/sie/es Informationen ueber mich hat
(Geburtstag, Name).
(Viele haben solche Infos in ihren Passwoertern)
Ein Geraet wird das wohl nicht wissen und aus dem Lexikon die
Versuchs-Passwoerter nehmen.
C# Beginner schrieb:> Alle 13 Minuten versucht sich jemand, in mein Wlan anzumelden.> Passwort schwer zu erraten, aber mich interessiert wer das ist.
Ist Deine SSID eine der kreativen Vorbesetzungen, die 75% aller Router
standardmäßig verwenden?
Dann ist das kein Wunder und vor allem kein bösgemeinter Hackversuch,
sondern der betreffende nutzt andernorts ein WLAN mit gleicher SSID,
aber ihm legal bekanntem Passwort.
Gib Deinem WLAN eine von Dir selbst erdachte eher seltene SSID, und Du
hast höchstwahrscheinlich Deine Ruhe.
Wenn ich mir die SSIDs meiner Nachbarn ansehe, finde ich da
FRITZ!Box 7362 SL
FRITZ!Box Fon WLAN 7270
FRITZ!Box 6360 Cable
Turbolink JDR454
HP-Print-CF-Officejet Pro 8620
etc. etc.
Kein Wunder. Aber auch kein "Hacker".
Das ist doch egal wie die SSID lautet, solange die sichtbar ist kann ein
Client alle verfügbaren auflisten und versuchen sich einzuloggen. Da
würde es eher helfen die unsichtbar zu setzen.
Ich habe mich geirrt.
Nicht Minuten, sondern Sekunden! D.h. alle 13 Sekunden ein
Einlog-Versuch.
Ja, es ist eine Standard SSID, aber mit individuellen Passwort mit
Buchstaben,Ziffern und Sonderzeichen.
Johannes S. schrieb:> Das ist doch egal wie die SSID lautet
Lies den Beitrag von Rufus doch noch einmal.
Ich denke auch, dass das kein "Hacker" ist. SSID ändern könnte da schon
die Lösung sein.
C# Beginner schrieb:> Ich habe mich geirrt.> Nicht Minuten, sondern Sekunden! D.h. alle 13 Sekunden ein> Einlog-Versuch.> Ja, es ist eine Standard SSID, aber mit individuellen Passwort mit> Buchstaben,Ziffern und Sonderzeichen.
Ändere deine SSID!
Ich würde gerne die Fritzbox umkonfigurieren, dass man ihn reinlassen
kann.
Wenn der dann browst, kriegt er eine Seite, wo er informiert wird, dass
er eine unerlaubte Handlung gemacht hat (gefährlicher Eingriff in den
Daten-Verkehr) und ein Formular für die Selbstauskunft bekommt.
Lutz H. schrieb:> Fährt alle 15 min ein Bus/Straßenbahn/Zug vorbei?
Wie kann der Bus, der alle 15min kommt, denn alle 13s versuchen eine
Verbindung herzustellen?
Johannes S. schrieb:> Das ist doch egal wie die SSID lautet, solange die sichtbar ist kann ein> Client alle verfügbaren auflisten und versuchen sich einzuloggen.
Wenn jemand hacken will ist es egal. Wenn es aber darum geht,
Logeinträge eines Gerätes loszuwerden, dass sich durch unglücklichen
Zufall auf die gleiche SSID einloggen will, dann ist das nicht egal.
Dann ist eine selbstgewählte nicht zu doofe SSID die Lösung.
C# Beginner schrieb:> Alle 13 Minuten versucht sich jemand, in mein Wlan anzumelden.Karl schrieb:> Wie kann der Bus, der alle 15min kommt, denn alle 13s versuchen eine> Verbindung herzustellen?
Manchmal kommen Informationen in einer zeitlichen Reihenfolge und werden
verändert.
C# Beginner schrieb:> Wenn der dann browst, kriegt er eine Seite, wo er informiert wird, dass> er eine unerlaubte Handlung gemacht hat (gefährlicher Eingriff in den> Daten-Verkehr) und ein Formular für die Selbstauskunft bekommt.
Das wird dem Automaten zweifellos eine furchtbare Angst einjagen.
Eben. Wenn es ein doofes Gerät ist dann hören die Anmeldeversuche
vermutlich irgendwann auf wenn die SSID aus ist. Wenn die Anmeldungen
weiterlaufen könnte das Gerät sich die gemerkt haben (glaube ich eher
nicht) oder es ist tatsächlich ein Bösewicht. Aber wenn da nicht gerade
ein amerikanischer Van mit dunklen Scheiben vor der Tür steht halte ich
das für Paranoia.
C# Beginner schrieb:> Ich würde gerne die Fritzbox umkonfigurieren, dass man ihn reinlassen> kann.> Wenn der dann browst, kriegt er eine Seite, wo er informiert wird, dass> er eine unerlaubte Handlung gemacht hat (gefährlicher Eingriff in den> Daten-Verkehr) und ein Formular für die Selbstauskunft bekommt.
Das ist kompletter Blödsinn. Wenn Du Dein WLAN so nennst wie zig andere
WLANs auch heißen, dann ist das keine "unerlaubte Handlung", sondern die
ganz normale und logische Konsequenz.
Sieht ein WLAN-Gerät ein ihm bekanntes WLAN, versucht es sich mit
seinem gespeicherten Passwort anzumelden.
Ob das WLAN bekannt ist, hängt an der SSID.
Also: Verwende eine SSID, bei der es unwahrscheinlich ist, daß sie
andernorts schon verwendet wird, und die Anmeldeversuche werden
schlagartig aufhören.
A. K. schrieb:> Johannes S. schrieb:> Das ist doch egal wie die SSID lautet, solange die sichtbar ist kann ein> Client alle verfügbaren auflisten und versuchen sich einzuloggen.>> Wenn jemand hacken will ist es egal. Wenn es aber darum geht,> Logeinträge eines Gerätes loszuwerden, dass sich durch unglücklichen> Zufall auf die gleiche SSID einloggen will, dann ist das nicht egal.> Dann ist eine selbstgewählte nicht zu doofe SSID die Lösung.C# Beginner schrieb:> Ich würde gerne die Fritzbox umkonfigurieren, dass man ihn> reinlassen kann.> Wenn der dann browst, kriegt er eine Seite, wo er informiert wird, dass> er eine unerlaubte Handlung gemacht hat (gefährlicher Eingriff in den> Daten-Verkehr) und ein Formular für die Selbstauskunft bekommt.
Gnihihi... Die IP Cam oder was auch immer wird sich da sicherlich zu
tote Ärgern und furchtbar Angst bekommen ^^
Lober schrieb:> Ein Hacker der alle 13 Minuten einen Versuch startet? Glaube ich nicht.
Ich würde auch eher den Time Stamps im Log glauben.
Die sagen etwas von 13 Sekunden zwischen den Anmeldeversuchen.
Rufus Τ. F. schrieb:> Wenn ich mir die SSIDs meiner Nachbarn ansehe, finde ich da
Wobei man sich bei der Standard-SSID auch geschickter anstellen kann als
AVM. Bei mir tummeln sich hauptsächlich SSIDs der Bauart UPC1234567 mit
eindeutiger Nummer im Äther, und das ist nicht einmal die MAC-Adresse.
Da könnte nichts anbrennen - würden die nicht das Standardpassword aus
der MAC-Adresse errechnen (Meldung von 2016).
Rufus Τ. F. schrieb:>> Wenn der dann browst, kriegt er eine Seite, wo er informiert wird, dass>> er eine unerlaubte Handlung gemacht hat (gefährlicher Eingriff in den>> Daten-Verkehr) und ein Formular für die Selbstauskunft bekommt.>> Das ist kompletter Blödsinn. Wenn Du Dein WLAN so nennst wie zig andere> WLANs auch heißen, dann ist das keine "unerlaubte Handlung", sondern die> ganz normale und logische Konsequenz.
Aber ein bisschen Spass kann man doch machen. Ich kenn doch die
Nachbarn.
> Aber ein bisschen Spass kann man doch machen. Ich kenn doch die> Nachbarn.
Dann ändere die SSID "TELEKOM" und schreib auf der Vorschaltseite was
von 1,99€/Min. die automatisch über die Telefonrechnung abgerechnet
werden.
c.m. schrieb:> SSID ändern
Ja.
> unsichtbar machen
Nein.
> MAC filter einschalten.
Nein!
Nicht lange hier rumsabbeln, einfach mal die SSDID um einen Unterstrich
o.ä. erweitern. Hört es dann auf und kommt auch nicht wieder, ists was
dummes.
Spaß haben kann man dann später immer noch ;)
Schalt deinen Router aus, mach auf deinem PC ein einen WLAN Access Point
mit dem gleichen Namen wie dein Netzwerk, aber ohne Passwort. Wenn er
dann drin ist, weisst wer connected hat und du kannst ihn auch noch
scannen. Vll findest du ja einen offenen Port :)
Ich würde einfach mal das WLAN ausmachen, dann gibt es garantiert keine
Einlog-Versuche mehr.
Ein Gigabit-LAN (Ethernet-Kabel) ist auch viel sicherer, denn
Funkverbindungen lassen sich leicht stören.
C# Beginner schrieb:> Ja, es ist eine Standard SSID
Es ist kein Hacker. 100%ig sicher.
Es ist ein Gerät, was sich selbstständig in dein Netz einwählen will,
weil es dein Netz "kennt" wegen der allerwelts-SSID.
Außerdem ist eine individuelle SSID aus Sicherheitsgründen wichtig.
(Abwehr von Angriffen über Rainbowtabellen).
Das Halbwissen hier ist ja furchtbar. Daher möchte ich hier mal ein paar
Sachen ausräumen.
1. SSID verbergen
Nützt genau nichts. Wer ein "Hacker" ist braucht die nicht zu sehen, der
kennt Wege sich trotzdem mit dem Wlan zu verbinden.
2. MAC Filter
Schwachsinn. Wer ein "Hacker" ist, kann sehen, welche Geräte mit dem
Wlan verbunden sind und seine eigene MAC Adresse entsprechend fälschen.
Dann muss er nur noch warten, bis das Gerät (z.B. ein Smartphone) das
Wlan verlässt, damit die MAC Adresse nicht doppelt vorkommt.
Die Theorie mit dem Hacker ist ebenfalls Unsinn. Ich gehe mal davon aus,
dass WPA2 PSK verwendet wird. Dann wird ein Angreifer nicht versuchen
sich am Wlan anzumelden, sondern einen Handshake abgreifen und versuchen
das Passwort auf seinem Rechner oder in der Cloud mithilfe eines
Wörterbuch Angriffs zu entschlüsseln. Das kann mit viel Geduld absolut
passiv sein, oder mit einem Deauth Angriff erfolgen. Wenn der Access
Point das entsprechend Protokolliert sollte bei einem Deauth allerdings
erkennbar sein, dass plötzlich alle Geräte aus dem Wlan verschwinden.
Kann natürlich einige Zeit zurückliegen.
Den "Angreifer" einfach so reinzulassen ist im Übrigen auch nicht so
einfach. Dazu müsstest du nämlich erstmal herausfinden, mit welchem
Passwort er versucht sich zu verbinden und das in deinem Access Point
eintragen. Ein normaler Client wird sich nur mit Netzwerken mit der
korrekten Verschlüsselung verbinden. Um an das Passwort zu gelangen
musst du allerdings selbst zum Angreifer werden und den Handshake
abfangen und entschlüsseln. Bei einem starken Passwort allerdings
unmöglich.
Die Theorie mit dem Bus / Bahn ist übrigens ganz nett, allerdings dürfte
die daran scheitern, dass die normalerweise Wlans wie ITCS suchen. Wenn
der TO sowas betreibt würde ich mal sagen, selbst schuld.
Die einzig sinnvolle Lösung ist die SSID zu ändern, um den automatischen
Anmeldeversuch eines Clients zu verhindern. Bei einem echten Angreifer
hilft keine der bisher vorgeschlagenen Lösungen nachhaltig.
Es könnte übrigens auch sein, dass du deinen Wlan Schlüssel mal geändert
hast und ein Gerät immer noch versucht den alten Schlüssel zu verwenden.
Treten die Log Einträge zu allen Tages-/ und Nachtzeiten auf?
> Treten die Log Einträge zu allen Tages-/ und Nachtzeiten auf?
Nein.
Heute war um 14:30 Schluss, obwohl WLan noch eingeschaltet war.
Ich habe so eine automatische Abschaltung um 22:00
(Wenn noch jemand eingeloggt ist, verzögert sich Abschaltung)
Eingeschaltet wird es täglich, sobald ich, oder jemand anders in der
Familie es braucht.
Auch sind die Versuche nicht regelmäßig, meistens 13 Sekunden, aber auch
manchmal 13 Minuten (tatsächlich, ich kann mir keinen Reim darauf
machen)
Das ganze geht schon seit 12 Tagen.
Stell einen Freifunk Router hin, vielleicht braucht da grad wer dringend
Internet.
Ich würde einen Kasten Bier im Treppenhaus platzieren wenns hier sowas
gäbe, sitze nämlich die nächste Woche nur mit aufgebrauchtem UMTS
Volumen in der Bude.
Meine Fritzbox zeigt mir auch täglich Dutzende solcher Meldungen, von
verschiedensten Mac-Adressen. Die Box hat keine 0815-Standard-SSID.
Ich vermute daher, das da einfach automatische Verbindungsversuche von
Geräten, die z.B. auf automatischen Einloggen in offene Netze
eingestellt sind, oder irgend was in der Art protokolliert werden.
Oliver
Walta S. schrieb:> Ich würde ja ein analoges Vorgehen ausprobieren - einfach mal bei den> Nachbarn anklopfen und fragen.
Und die wissen alle ganz genau, was ihre Enkel und freunde der Enkel in
ihren Keller so installiert haben.
Und wenn sie es wuessten, sagten sie es mir dann sofort und reuig, klar.
C# Beginner schrieb:> Und die wissen alle ganz genau, was ihre Enkel und freunde der Enkel in> ihren Keller so installiert haben.
Ja ne ist klar. Ein bisschen paranoid bist du schon. Das es sich hierbei
um keinen Hacker handelt sollte doch mittlerweile klar sein.
Lass doch einfach mal kismet eine Weile laufen und sieh dir die alerts
an.
ANSONSTEN ÄNDERE ENDLICH DEINE SSID
Ich habe die SSID geändert und zunächst keine Einlog-Versuche mehr
gesehen.
Das Rätsel löst sich auf:
Ich mich mit einem anderen Rechner ins Wlan eingeloggt, der anscheinend
eine empfindlichere WIFI-Antenne hat, und dann sehe ich einen hotspot
(ganz schwacher Empfang) dessen SSID mit meiner ursprünglichen identisch
war.
vielleicht ließt aber auch Dein brandgefährlicher Hacker hier im Forum
mit und hat sich nun zurück gezogen, nachdem Du ihm auf die Schliche
gekommen bist!?
scnr =)
Uhu U. schrieb:> wird sich freuen, dass der Idiot endlich weg ist, der ihm immer das WLAN> gestört hat ;-)
Es gibt auch Leute, die technisch nicht so firm sind wie Du und Alles
in böser Absicht tun, bzw. anderen per se böse Absicht unterstellen,
Kollege.
So einfach ist das doch nicht.
Ich kann nur mit einem von 4 Geräten den fremden Hotspot gleichen Namens
sehen. Also musste umgekehrt die Sichtbarkeit meines Hotspots bei ihm
genauso mager gewesen sein.
Wieso versuchte sein Gerät sich bei mir anzumelden, und nicht bei ihm,
wo der Empfang wesentlich besser war?
Und vor allem, warum merkte er es nicht, dass es schon einen Hotspot
gleichen Namens gab.
Wenn wochenlang ein Gerät vergeblich versucht, sich im Netz anzumelden,
müsste man doch der Sache nachgehen und draufkommen?!
C# Beginner schrieb:> Also musste umgekehrt die Sichtbarkeit meines Hotspots bei ihm genauso> mager gewesen sein.
Nicht zwingend.
> Wieso versuchte sein Gerät sich bei mir anzumelden, und nicht bei ihm,> wo der Empfang wesentlich besser war?
Kann vorkommen, siehe z.B.
Beitrag "Notebook verbindet nicht zum repeater sondern zum router"> Und vor allem, warum merkte er es nicht, dass es schon einen Hotspot> gleichen Namens gab.
Hast Du ja auch nicht gemerkt. Du weißt nicht, wer zuerst da war.
> müsste man doch der Sache nachgehen und draufkommen?!
Nö, das ist dann halt z.B. ein Smartphone, das in einer Ecke der Wohnung
funktioniert, in der anderen aber nicht. Die Zicken von WLAN werden oft
als gottgegeben hingenommen, ohne sich in irgendeiner Weise daraum
Gedanken zu machen. Kein Wunder, wo viele Ratschläge zum WLAN-Verbessern
auch kaum besser sind als "schwenke eine getrocknete Hasenpfote und
sprich mir nach ...".
C# Beginner schrieb:> Ich kann nur mit einem von 4 Geräten den fremden Hotspot gleichen Namens> sehen. Also musste umgekehrt die Sichtbarkeit meines Hotspots bei ihm> genauso mager gewesen sein.
Noe. Mein WLAN wirst du nur mit wenigen Geraeten sehen.
Warum? Ganz einfach: 5GHz
Trotzdem sehe ich alle anderen Netze (2.4GHz + 5GHz).
Nur weil du etwas nicht siehst, heisst das nicht, dass es nicht da ist.
Ebenso breiten sich Funkwellen nicht zwangslaeufig in beide Richtungen
gleich gut aus (Reflexionen).
C# Beginner schrieb:> Und vor allem, warum merkte er es nicht, dass es schon einen Hotspot> gleichen Namens gab.Wer soll das merken?
Abgesehen davon: Schon mal was von
"Evil Twin" a.k.a. "Rogue access point" gehoert?
https://en.wikipedia.org/wiki/Rogue_access_pointhttp://www.security-insider.de/rogue-access-points-von-boesen-zwillingen-im-wifi-netzwerk-a-298360/
Das mit der Herstellernummer war mir auch neu:
Anzeigen von Informationen für: CC-79-CF
OUI: CC-79-CF
Verkäufer: SHENZHEN RF-LINK TECHNOLOGY CO.,LTD.
Anschrift1: Bldg56A,6/F,Baotian Rd3,Xixiang Town,Baoan
District,Shenzhen,P.R.C
Anschrift2: ShenZhen Guangdong 518000
Anschrift3: CN
Filme sind gefunden: 1
Letzte Aktualisierung: 2017/04/11 04:44:36
C# Beginner schrieb:> Walta S. schrieb:>> Ich würde ja ein analoges Vorgehen ausprobieren - einfach mal bei den>> Nachbarn anklopfen und fragen.>> Und die wissen alle ganz genau, was ihre Enkel und freunde der Enkel in> ihren Keller so installiert haben.> Und wenn sie es wuessten, sagten sie es mir dann sofort und reuig, klar.
Bei mir hats funktioniert.
walta
C# Beginner schrieb:> Wieso versuchte sein Gerät sich bei mir anzumelden, und nicht bei ihm,> wo der Empfang wesentlich besser war?
Wenn das Gerät(Kann ja ein Tablet oder so sein) mal alle paar Sekunden
und mal nur nach Minuten oder bis zu einer bestimmten Zeit zu verbinden
versucht erscheint es mir am logischsten, dass da wer bei Dir
vorbeiläuft, Freunde besucht, draussen spielt oder was ähnliches.
Kann normalerweise mit dem AP verbunden sein, welchen Du schwach siehst,
jedoch auch mit einem gleichnamigen hunderte Kilometer entfernt.
Google Benutzende Person schrieb:> C# Beginner schrieb:>> Wieso versuchte sein Gerät sich bei mir anzumelden, und nicht bei ihm,>> wo der Empfang wesentlich besser war?>> Wenn das Gerät...
Na, auch wieder wach? Die letzten 4 (in Worten: VIER!) Jahre gut
durchgepennt?
Ich würde alles absichern und einmal das WLAN öffnen und ein System Live
Protokoll fahren, da skann die Fritzbox.. dadrin sind alle TCP Requests
von A-Z :D ohne ssl haste sogar die GET und POST Parameter ;)
Andreas B. schrieb:> Diese Fritzbox gibt es schon lange nicht mehr.
Welche? bei den alten ist das nicht dokumentiert..
das geht ab Fritz!OS 4, die API hat sich bis Fritz!OS5 geändert, wie es
bei den neueren aussieht weiß ich nicht. Je nachdem gibt es viele
verschiedene URLs um an den Stream zu komen, Versionsbedingt.
ich habe das mal vor 4 Jahren mit einer uralten Kiste mit Java
ausprobiert.
https://github.com/schuppeste/Fritzbox-URL-Spy :D
C# Beginner schrieb:> Alle 13 Minuten versucht sich jemand, in mein Wlan anzumelden.
Den Namen des W-Lans umändern.
Bei Fritzboxen ist das ein bekanntes Problem. Das ist kein hacking. Das
liegt eher daran das jemand mal mit einer Fritzbox mit gleichen Namen
verbunden war, und das Gerät jetzt den Namen sieht und sich da einloggen
will.
Darauf lassen auch die 13 Minuten schließen.
Davon abgesehen habe ich wenn ich jemand bei einrichten seiner Geräte
helfe oft Probleme die "richtige" Fritzbox zu finden. Weil AVM immer das
Namen die Baureihe nimmt. Und das ist besonders lustig wenn z.b. im
Haus mehre Leute bei Vodafone sind und alle eine Fritzbox von denen
haben /bzw. selbst gekauft.
Also einfach Namen der Fritzbox ändern, ALLE Geräte neu verbinden, die
finden die nämlich nicht mehr und Ruhe ist. Mach einfach 2 xx an den
Namen das reicht schon völlig aus, und keiner weiß das das deine ist.
Da das geschilderte Problem bereits 4 Jahre alt ist und sich längst
erledigt hat, mache ich mir hier mal zu.
Vorschläge an den TO, die bereits vier bis fünfmal in diesem
Thread geschrieben wurden, nun nochmals breitzutreten, helfen auch nicht
weiter.
Thread beobachten
Seitenaufteilung abschalten