decehakan
Goto Top

Router gehackt hilft da Reset ?

Hallo Zusammen,

Ich möchte mich kurz fassen und auf details nicht eingehen.

Von einem Bekannten wurde der Router Tp-Link VR300 gehackt, daraufhin hat er sein Router Reset gemacht. Das bringt doch nicht oder ????
Wenn Hacker jemanden Router unter seiner Kontrolle bringt, dann wird er sicherlich den Exploits auch in den Reset-Speicher implentieren.

Ich bin kein Sicherheitsexperte aber hab ihn gesagt, er soll sich ein neuen Router kaufen.

vg

decehakan

Content-Key: 1225608301

Url: https://administrator.de/contentid/1225608301

Printed on: June 15, 2024 at 01:06 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Sep 04, 2021 at 02:35:40 (UTC)
Goto Top
Moin,

Prinzipiell ist das schon so, daß der Angreifer die Firmware so geändert haben könnte, daß selbst ein neues Flashen der Firmware nicht hilft. Aber die meisten Angreifer wird man los, wenn man einfach die Firmware neu flasht und die Konfiguration löscht.

lks
Member: cykes
cykes Sep 04, 2021 at 05:55:20 (UTC)
Goto Top
Hi,

der Archer VR300 hat je nach Harwareversion die neuste Firmware von entweder 2018 (Rev. 1) oder 2019 (Rev. 1.20), da würde ich gar nicht mehr rumbasteln und auch einen aktuellen Router vorschlagen.

Frage wäre nur, wie der Bekannte darauf gekommen ist, dass der Router gehackt wurde. Bei den günstigen TP-Link Routern kommt es ab und an vor, dass die ein Eigenleben entwickeln (bspw. Einstellungen verlieren)

Gruß

cykes
Member: Visucius
Visucius Sep 04, 2021 updated at 07:06:33 (UTC)
Goto Top
Wie? Gehacked? Durch die Firewall durch und so? Mit wechselnder Provider IP?
Member: Vision2015
Vision2015 Sep 04, 2021 at 07:16:40 (UTC)
Goto Top
Zitat von @decehakan:

Hallo Zusammen,

Ich möchte mich kurz fassen und auf details nicht eingehen.
das hilft aber nicht weiter....

Von einem Bekannten wurde der Router Tp-Link VR300 gehackt, daraufhin hat er sein Router Reset gemacht. Das bringt doch nicht oder ????
hat die Firmware den eine bekannte Lücke?
wie will er bemerkt haben, das er "gehakt" wurde?
zu 99 % glaube ich eher, das die Router Verwaltung nach außen hin offen war, standard passwörter aktiv waren, oder und von innen der "Angriff" kam!
ich würde mal den oder die PCs überprüfen... Lockbit 2.0 dreht ja momentan seine Runden!

Wenn Hacker jemanden Router unter seiner Kontrolle bringt, dann wird er sicherlich den Exploits auch in den Reset-Speicher implentieren.
mölich wäre das, allerdings nach einem Firmware update, wäre das auch wech...

Ich bin kein Sicherheitsexperte aber hab ihn gesagt, er soll sich ein neuen Router kaufen.
das erste wissen wir face-smile
aber ja, ein aktuelles gerät wäre sich angebracht...

vg

decehakan
Frank
Member: decehakan
decehakan Sep 04, 2021 at 09:45:57 (UTC)
Goto Top
@Vision2015 @cykes @Lochkartenstanzer @viscuis:
Ihr wollt es genauer wissen.
Der nahe Bekannter ( aus der Türkei) hat Anruf von der tr. Polizei bekommen, mit ihrer IP hat man angeblich 5.500 Lire ( 550 €) von einem Kundenkonto abgezogen.

Am nächsten Tag ging er zu Polizei zu verifizieren und seine Gegenaussage zu machen.
Der Angriff fand am 5 Mai satt.

Nachdem Anruf versuchte er sich in sein Router einzuloggen, ging nicht.
Dann Reset und es ging wieder.

An diesem Tag hat er mich angerufen und mir geteilt . Hab mich dann per remote bei ihn verbunden, in sein Router rein firmware mit tp link verglichen, obwohl automatisches upgrad eingestellt war, hat er die neue veröffentliche firmware von 2021-08-30 nicht gefunden, manuelles firmware upgrade durchgeführt .
Über telnet habe ich versucht igrendwie nach logs zu suchen, leider ist im telnet cli für den archer vr300 keine logs abfrage vorgesehen. Nur configs wie dns,dhcp etc..

So daher meine erste Vermutung der Router wurde geroutet.

Ist es dem Hacker möglich die IP-Adresse zu fälschen.
Z.Bsp wenn Administrator.de die IP 1.1.1.1 stat. IP ist. Könnte der Angreifer einfach die IP 1.1.1.1 benutzen ? Denk mal mich nicht oder ?
Member: Lochkartenstanzer
Lochkartenstanzer Sep 04, 2021 at 11:39:01 (UTC)
Goto Top
Selam,

Zitat von @decehakan:

@Vision2015 @cykes @Lochkartenstanzer @viscuis:
Ihr wollt es genauer wissen.
Der nahe Bekannter ( aus der Türkei) hat Anruf von der tr. Polizei bekommen, mit ihrer IP hat man angeblich 5.500 Lire ( 550 €) von einem Kundenkonto abgezogen.

Ärgerlich. Aber wie hat die trükische Polizei den Namen herausgefunden? und wea mich verwundert, daß ausgerechnet ein "türkischer" Router für den Angriff genommen wird, außer man hat durch Phishing dem türkischen Bekannten dazu verleitet einem Zugriff auf den Router zu geben.


Am nächsten Tag ging er zu Polizei zu verifizieren und seine Gegenaussage zu machen.
Der Angriff fand am 5 Mai satt.

Warum hat sich nicht die deutsche Polizei bei ihm gemeldet?


Nachdem Anruf versuchte er sich in sein Router einzuloggen, ging nicht.
Dann Reset und es ging wieder.

Dann ist vermutlich der Router übernommen worden. Was aber auch oft der Fall ist, daß die Leute Ihr Paßwort vergessen und sich an das falsche erinnern. und mich dann fragen, ob sie "gehackt" worden sind.


An diesem Tag hat er mich angerufen und mir geteilt . Hab mich dann per remote bei ihn verbunden, in sein Router rein firmware mit tp link verglichen, obwohl automatisches upgrad eingestellt war, hat er die neue veröffentliche firmware von 2021-08-30 nicht gefunden, manuelles firmware upgrade durchgeführt .

Das automatische Update funktioniert nciht zuverlässig.

Über telnet habe ich versucht igrendwie nach logs zu suchen, leider ist im telnet cli für den archer vr300 keine logs abfrage vorgesehen. Nur configs wie dns,dhcp etc..

Naja, nach einem Werksreset ist da eh nichts mehr zu finden.


So daher meine erste Vermutung der Router wurde geroutet.

Wenn dann routet der Router selber. Du meinst eher gerootet.

Ist es dem Hacker möglich die IP-Adresse zu fälschen.

Natürlich, wenn er gut ist.

Z.Bsp wenn Administrator.de die IP 1.1.1.1 stat. IP ist. Könnte der Angreifer einfach die IP 1.1.1.1 benutzen ? Denk mal mich nicht oder ?

Nicht "einfach", aber prinzipiell schon, je nach seinen Möglichkeiten, die er im Providernetz hat.

Fazit:

Dur soltest auch die PCs udn Handies des bekannten überprüfen, da der Angriff genauso darüber gelaufen sein kann (eher wahrscheinlich). Es köntne natürlich auch sein, daß der Angreifer den Router einfach nur als Proxy verwendet hat. Dann sollte man den Router aber nicht über den übliche Weg über die Weboberfläche neu flashen, sondern über tftp. Aber sinnvoller wäre es sich einen anderen Router zu holen und diesen Router in die Tonne zu treten (und nicht auf ebay vertickern!).

Iyi günler,

lks
Member: decehakan
decehakan Sep 04, 2021 at 12:32:09 (UTC)
Goto Top
Ärgerlich. Aber wie hat die trükische Polizei den Namen herausgefunden? und wea mich verwundert, daß ausgerechnet ein "türkischer" Router für den Angriff genommen wird, außer man hat durch Phishing dem türkischen Bekannten dazu verleitet einem Zugriff auf den Router zu geben.  

Kunden meckert bei der Bank wo ist mein Geld > Die Bank guckt sich die Logs und meldet der Polizei und ISP > ISP sagt an dem Tag und Uhrzeit wurde diese IP an Herr ... vergeben / geleast > usw ..

Andere Vermutung wäre, dass man es übers WLAN den Bank Hack durchgeführt hat. Aber ich halt es für weniger wahrscheinlich. WLAN WPA-2 , Passwortlänge 12 mit Sonderzeichen. BIs man das Passwort knackt könnt so einiges Zeit dauern und die Person müsste sich auch in der Nähe des WLAN-Signal aufhalten, das würde ich sich bei den Nachbarn bemerktbar machen, außer der Hacker ist der Nachbar.

So merkwürdige an der Geschichte ist, so wie es mir berichtet hat, das überwiesene Geld wurde nicht nach Ausland transferiert, wurde damit eingekauft. Vermutung, ein türkische Hacker ...


Ist es dem Hacker möglich die IP-Adresse zu fälschen.

Natürlich, wenn er gut ist.
Ich denk IP-Spoofing macht auch nicht sinn, für Online Banking braucht man TCP-Handshake und gefälschte IP-Adresse wird verworfen. Ist so der Standard bei allen Banken.

Und meine Dritte Vermutung, also die unwahrscheinlichste:
Zu meinen Bekanten kommen auch familiäre Freunde zu ihnen und sie haben wirklich out of date Handies, also z.Bsp Samsung Galaxy 3, oder 4, deren Lifecyle für Sicherheitupdate ausgelaufen sind. ( In der Türkei ist leider das sehr üblich). Zum Zeitpunkt als Sie bei meinem Bekannten waren, haben Sie über deren geroutet Handy den Angriff durchgeführt.
Member: erikro
erikro Sep 06, 2021 at 17:31:13 (UTC)
Goto Top
Moin,

Zitat von @decehakan:

@Vision2015 @cykes @Lochkartenstanzer @viscuis:
Ihr wollt es genauer wissen.
Der nahe Bekannter ( aus der Türkei) hat Anruf von der tr. Polizei bekommen, mit ihrer IP hat man angeblich 5.500 Lire ( 550 €) von einem Kundenkonto abgezogen.

Aus der Türkei oder in der Türkei?

Am nächsten Tag ging er zu Polizei zu verifizieren und seine Gegenaussage zu machen.
Der Angriff fand am 5 Mai satt.

Nachdem Anruf versuchte er sich in sein Router einzuloggen, ging nicht.
Dann Reset und es ging wieder.

Ab hier habt Ihr so ziemlich alles falsch gemacht. Das richtige Vorgehen wäre gewesen, den Router vom Netz zu nehmen und zur forensischen Untersuchung den Beamten zu übergeben. Nachdem Ihr aber so viel daran rumgefummelt habt, habt Ihr wahrscheinlich auch alle Spuren vernichtet bzw. sie sind nicht mehr verwertbar.

Zu Deiner Frage: Wenn es denn stimmt, dass der Router gehackt wurde, dann kann ein versierter Angreifer so ziemlich alles damit machen.

Liebe Grüße

Erik