abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Angriffe auf internet-box.ch/DynDNS Adressen

Contributor
Nachricht 1 von 11

Wir verzeichnen bei unseren Kunden-Servern aktuell erhöhte Login-Versuche auf dem WebGUI aus einem russischen IP-Range 92.37.142.x-92.37.143.x 

 

Gemeinsam haben die Kunden, dass der Swisscom-DynDNS auf der Internetbox verwendet wird. Es scheint, dass jemand die internet-box.ch Domains durchprobiert.

Gibt es eine Security-Stelle bei Swisscom um das zu melden? Kann man IP's aus Russland grundsätzlich blockieren? 

Hotline war mit meiner Anfrage leider (wiedereinmal) überfordert.

10 Kommentare
Super User
Nachricht 2 von 11

Solche Versuche gibt es immer wieder und sind wohl auch nicht verhinderbar...

 

Wenn ich das Log neiner Firewall anschaue habe ich oft fehlerhafte anmeldeversuche.

 

Erste Massname: ein sicheres Passwort setzen

Contributor
Nachricht 3 von 11

Ja die gibts immer wieder, habe das ca 1-2 mal pro Jahr pro Anschluss, aber sie häufen sich in letzter Zeit um ein vielfaches. Verhinderbar wären sie durch IP-Blockings. 

 

Ein sicheres Passwort allein reicht heute leider nicht mehr, da empfehle ich doch etwas mehr für die Sicherheit zu tun :-)

Super User
Nachricht 4 von 11

Gegen solche Scanns kann man nichts machen ohne den Dienst eines Kunden zu beeinträchtigen. Die IP-Adressen werden gegelmässig gewechselt. Oft sind Bot-Netze am Werk. Irgendwann hat man das Internet ausgesperrt.

btw. wird das mit IPv6 schlimmer.

cu Marcus
Die Swisscom Community ist ein Kunde-hilft-Kunde-Forum.
Expert
Nachricht 5 von 11

@BiduF  schrieb:

Wir verzeichnen bei unseren Kunden-Servern aktuell erhöhte Login-Versuche auf dem WebGUI aus einem russischen IP-Range 92.37.142.x-92.37.143.x 

 

Gemeinsam haben die Kunden, dass der Swisscom-DynDNS auf der Internetbox verwendet wird. Es scheint, dass jemand die internet-box.ch Domains durchprobiert.

Gibt es eine Security-Stelle bei Swisscom um das zu melden? Kann man IP's aus Russland grundsätzlich blockieren? 

Hotline war mit meiner Anfrage leider (wiedereinmal) überfordert.


weil die hotline mitarbeiter ja auch ausgebildete spezialisten in sachen IT-sicherheit sind

 

wenn du mit jemandem von der security abteilung sprechen willst, wäre es wahrscheinlich ratsamer in worblaufen bei der haupt-telefonzentrale des swisscom gebäudes anzurufen.

MfG Doc

Das Einzige, was ich weiss, ist, dass ich Nichts weiss.

Wer aber die Weisheit mit Löffeln frisst, kann danach klug scheissen.

Contributor
Nachricht 6 von 11

@marcus 

Wie du meinem Beschrieb entnehmen kannst, ist hier kein Botnetz am Werk. Aber auch gegen Botnetze gibt es Abwehr-Möglichkeiten. 

 

@ Doc Hast Du die Nummer von dort, wäre ein Versuch Wert 

Grundsätzlich erwarte ich von der Hotline, dass sie mich mit jemandem weiterverbinden oder den Case weitergeben und nicht mich einfach mit Achselzucken abwinken. Dass dort keine Fachkräfte sitzen ist mir klar... 

Super User
Nachricht 7 von 11

@BiduF habe nur Kontakt über MySupport gefunden oder mal an abuse@bluewin.ch senden.

 

Sonst nur noch einen Security Cyberrapport:

https://www.swisscom.ch/content/dam/swisscom/de/about/unternehmen/portraet/netz/sicherheit/documents...

Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Super User
Nachricht 8 von 11

@BiduF  schrieb:

Ein sicheres Passwort allein reicht heute leider nicht mehr, da empfehle ich doch etwas mehr für die Sicherheit zu tun :-)


Firewall ist das Stichwort. Die noch richtig konfigurieren ;)

Super User
Nachricht 9 von 11

@marcus  schrieb:

[...] btw. wird das mit IPv6 schlimmer.


Was führt dich zu dieser Annahme?

Super User
Nachricht 10 von 11

@PowerMac  schrieb:

@marcus  schrieb:

[...] btw. wird das mit IPv6 schlimmer.


Was führt dich zu dieser Annahme?


OT: Mehr IP-Adressen, mehr Möglichkeiten diese zu wechsen. (Fast) jeder kann sich momentan riesige Blöcke reservieren. Dadurch kann man durch Hops die wahre Adresse leichter verschleiern.  Wenn man was böses machen will, wartet man selten auf eine Antwort. :-)

 

cu Marcus
Die Swisscom Community ist ein Kunde-hilft-Kunde-Forum.
Highlighted
Super User
Nachricht 11 von 11

Eigentlich ebenso einfach kann auch (fast) jeder diese riesigen Blöcke auf der Firewall sperren. Einfach das Netz mit einer ausreichend grossen Netmask blockieren. Manche Firewallsysteme erledigen das automatisch bei Feststellen verdächtiger Aktivitäten und löschen die Sperre nach einer konfigurierbaren Zeit auch wieder.

Zum anderen werden die regelmässigen Adresswechsel ja nicht nur von den Bad Guys praktiziert, sondern von praktisch jedem "braven" Endgerät (Stichwort Privacy Extensions, RFC4941). Dadurch sinkt die Entdeckbarkeit und Verwundbarkeit durch Ping- und Portscans auf ein Minimum.

 

Wieder On-Topic: @BiduF du äusserst die Vermutung, dass jemand die *.internet-box.ch-Domains durchprobiert. Dies deshalb, weil du das Problem nur bei Kunden festgestellt hast, die den DDNS-Service der Swisscom verwenden. Das würde also auch bedeuten dass es andere Kunden gibt, deren Firewall zwar solche Portscans anzeigen würde, aber kein DDNS verwenden und wahrscheinlich darum keine Portscans abkriegen, korrekt?

Wenn das so wäre, müsste der Verdacht aufkommen ob wohl irgendwo eine Kopie der internet-box.ch-Zone rausgeleakt ist. Zumindest aktuell laufen die DNS-Server dieser Zone zwar aus anderen Gründen nicht ganz rund, mit der Sicherheit sehe ich aber keinen Zusammenhang.

Die andere, weitaus einfachere Erklärung wäre, dass die Angreifer einfach einen plumpen Portscan über den ganzen Client-Access-Range von Swisscom machen.