Router Login

[Takeshi]

Wollte mich gerade auf meinem Router einloggen, das Passwortfenster war aber grau. Darunter steht, dass sich mit jeder falschen Passworteingabe die Wartezeit verdoppelt. Hab im Quelltext nachgeguckt, ich soll 212 Tage warten. Da kann ich doch davon ausgehen, dass irgendjemand versucht hat in meinen Router zu kommen, aber dann doch am Passwort gescheitert ist, oder?

Wobei andererseits macht das auch wenig Sinn. Denn das hieße ja, dass vorher jemand 106 Tage gewartet haben muss, um ein falsches Passwort einzugeben, damit es danach 212 Tage dauert. Aber so lange ist der Router gar nicht an. Oder vielleicht hat jemand die Wartezeit umgangen, vielleicht wird die ja nur per HTML und JS auf der Seite realisiert. Ist ein Speedport W503V. Finde ich schon arg komisch. Also irgendwer scheint es auf mich abgesehen zu haben, erst im Router und nun noch hier im Forum mit der Datenbank

[grave_digga]

Ist seltsam, sowas hatte ich noch nie.

[Herbalistics]

Speedports halt

Einige Dinge:

1. Hast du das Standart Kennwort drinne? Diese sind bis zu bestimmten Punkten fast indentisch...
2. Bei Fehleingabe kommt ne Wartezeit hinzu. Diese summiert sich mit jedem Versuch. Scheint als ob jemand eine Bruteforce Attacke o.ä. angewendet hat.

Die Wartezeit kannst du mit ein bisschen Tun verringern bzw. Reseten.

Eine Frage habe ich aber noch: Was hast du nach außen auf, das jemand auf deine WAN-IP bzw. Deinen Router zugriff hat? Oder kommt das doch eher intern?

[klesk]

Hm hab auch nen Speedport aber den großen Bruder und gefritzt.
Scheint aber nur nen Hardware-Reset zu helfen, Router aus dem Strom blabliblub allerdings gehen dann wohl auch die Daten verloren. Allerdings würde ich mir gedanken machen da anscheinend es jemand geschafft hat erfolgreich eines deiner Passwörter zu cracken, jedenfalls sieht so aus wenn man das Datenbankproblem bedenkt. Sofern du dein WLAN per WPA2 gesichert hattest, kann es eigentlich nur über ein Trojaner auf deinem Rechner passiert sein oder eine interne Sicherheitslücke, viele andere Möglichkeiten fallen mir grad net ein.

[Herbalistics]

Check mal mit diversen Tools dein Netzwerk ab ( Open Ports, Verbindungen sniffen u. Ggf reversen )

[Elko]

Guck mal nach, ob dein Router die richtige Uhrzeit kennt. Das ist bei den Teilen auch ein beliebter fehler. Wenn Irgendwann mal das PW falsch eingegeben wurde und DANACH die uhrzeit zurückgesetzt wird dann setzt er die sperre.

[Takeshi]

Das Passwort weiß ich grad nichtmal, meine aber ich hab es mal geändert, eben weil das Standardpasswort nichts taugt. Das mit dem Brutoe-Force Angriff war jetzt halt mein Gedanke.

Intern kommt da sicherlich nichts, höchstens über WLAN. Das ist eigentlich über WPA2 gesichert, Passwort ist 10-stellig mit groß/Kleinbuchstaben und Zahlen, ohne Sonderzeichen. Macht 839.299.365.868.340.224 verschiedene mögliche Passwörter, denke das sollte über WLAN reichen. Zu erraten ist das Passwort auch definitiv nicht.

Die Passwortsperre wegzubekommen wäre jetzt nicht das Problem, halt mit einem Reset. Daten sollten da nicht verloren gehen, muss ja nur den Stecker ziehen und wieder hineinstecken. Das ist es auch gar nicht, was mich da beschäftigt, weil schnell gelöst. Nur wie es halt dazu kommt, dass die Frist so lang ist, ob das wirklich ein Brute-Force Angriff war, das war die Frage.

Allerdings würde ich mir gedanken machen da anscheinend es jemand geschafft hat erfolgreich eines deiner Passwörter zu cracken, jedenfalls sieht so aus wenn man das Datenbankproblem bedenkt.

Wieso hat es jemand geschafft? Wenn es jemand geschafft hätte (das Router-Passwort), würde ja der Router kaum eine so lange Wartefrist setzen, das kommt ja nur bei Falscheingabe. Auch glaube ich nicht, dass jemand darüber die Datenbank gehackt hat. Der Server hängt ja nicht in dem Netzwerk, mein Netzwerk hat mit dem Server als so viel zu tun wie jeder andere Anschluss auch. Und mein Rechner war zu dem Zeitpunkt aus, als das passierte, also kann das auch nicht über Passwörter von dem Rechner passiert sein.
Allerdings scheint natürlich wirklich jemand das WPA2-Passwort ermittelt zu haben, wenn er damit auf (aber nicht in) den Router kam.

Das mit dem Trojaner ist eine gute Idee, daran hatte ich gar nicht gedacht.

Wie prüfe ich die Uhrzeit, ohne in den Router zu kommen? Weil Stecker ziehen wäre ja blöd, dann ist die Uhrzeit ja auch zurückgesetzt.

[Herbalistics]

Die Frist wird deswegen solange sein, weil jeder Fehlschlag zeitlich dazu addiert wird.

Wen du denkst das es über das WLAN kommt, kann es gut sein das jemand deinen "Handshake" abgehört hat und mittels diesem dein Key knackte. Jedoch eher unwahrscheinlich

Haste den mal dein Traffic kontrolliert?

[Takeshi]

Die Frist wird deswegen solange sein, weil jeder Fehlschlag zeitlich dazu addiert wird.

Schon klar, hab ja eingangs erwähnt, dass sich die Zeit mir jedem falschen Login verdoppelt. Nur wieso ist die Zeit so lang? Hat jemand versucht sich da in den Router zu "hacken", oder liegt ein anderer Fehler vor? Das ist das, was mich da gerade beschäftigt.

Den Traffic hab ich nicht kontrolliert, ne. Das mache ich morgen mal. Womit am besten?

[Herbalistics]

Die Frist wird deswegen solange sein, weil jeder Fehlschlag zeitlich dazu addiert wird.

Schon klar, hab ja eingangs erwähnt, dass sich die Zeit mir jedem falschen Login verdoppelt. Nur wieso ist die Zeit so lang? Hat jemand versucht sich da in den Router zu "hacken", oder liegt ein anderer Fehler vor? Das ist das, was mich da gerade beschäftigt.

Den Traffic hab ich nicht kontrolliert, ne. Das mache ich morgen mal. Womit am besten?

Nen Fehler würd ich mal nicht ausschließen, möglich wäre das. Jedoch tippe ich eher auf nem Bruteforce, da kommste recht fix auf so ne lange Zeit

Auf Windoof nimmste zum Traffic checken sowas wie Wireshark, arbeite auf Windoof nicht mit sowas... Ansonsten gibts diesbezüglich auch gute LIVE-OS auf Unixbase wen dir das mehr liegt

[grave_digga]

Aber wenn sein Router den Passwortdialog ausblendet wenn es falsch angegeben wurde und dann die Zeit startet dann muß diese BruteForce über sehr lange Zeit laufen weil ja bis zur nächsten Eingabemöglichkeit wieder sehr viel Zeit vergeht. Das müssten ja Monate oder gar Jahre sein...

[Herbalistics]

Das das Feld deaktiviert ist ist für den Bruter egal das geht auch so die Versuche addieren sich damit eben drauf, er kann auch jetz noch diese Summe addieren...


EDIT: Sorry irrtum meinerseits, die Wartezeit wird bei jedem Versuch VERDOPPELT.

[Elko]

Ich glaube nicht, dass jemand da nen Brute auf deinen Router geknallt hat. Ich vermute mal, du hast das 0815 W-LAN Passwort geändert und es ist länger als 8 Zeichen? WPS aus? Wenn ja dann viel spaß beim Hacken. Da sitzen selbst Leistungsstarke Rechner mehr als ewig dran.

Ich denke eher, dass das ein Firmware Problem ist. Ich hatte irgendwann auch mal so nen Speedport und ich meine mich zu erinnern, dass ich da den gleichen Fehler auch mal hatte. Irgend eine irrsinnig lange Zeit die das Login geblockt ist. Es wird übrigens komplett geblockt, also auch der Bruter bekommt ne absage, dass aktuell kein login erlaubt is - und ich mein nicht das Webinterface. Es werden ALLE zugänge geblockt, wie das bei Unix halt so üblich ist.

Ich tippe eher darauf, dass da aufgrund irgend eines Telekomtypischen Firmwarefehlers ein Bit im Flashrom umgekippt ist und der Zugang deswegen geblockt wird.
Spannungsversorgung mal getrennt? Ich bin mir nicht mehr ganz sicher, aber ich glaube, dass normalerweise danach ein Login wieder möglich ist - ausser es ist wirklich nen Bit umgekippt.
Ich hatte das damals glaube ich ausprobiert, als ich auch nimmer rein kam.

[Takeshi]

Aber wenn sein Router den Passwortdialog ausblendet wenn es falsch angegeben wurde und dann die Zeit startet dann muß diese BruteForce über sehr lange Zeit laufen weil ja bis zur nächsten Eingabemöglichkeit wieder sehr viel Zeit vergeht. Das müssten ja Monate oder gar Jahre sein...

Wenn die Wartezeit nur über die angezeigte Seite realisiert wird nicht. Ich kann ja auch über eine andere Seite die gleichen Informationen an eine Adresse schicken. Wäre natürlich sau dumm vom Router gelöst.

Ich glaube nicht, dass jemand da nen Brute auf deinen Router geknallt hat. Ich vermute mal, du hast das 0815 W-LAN Passwort geändert und es ist länger als 8 Zeichen? WPS aus? Wenn ja dann viel spaß beim Hacken. Da sitzen selbst Leistungsstarke Rechner mehr als ewig dran.

Siehe:

Das ist eigentlich über WPA2 gesichert, Passwort ist 10-stellig mit groß/Kleinbuchstaben und Zahlen, ohne Sonderzeichen. Macht 839.299.365.868.340.224 verschiedene mögliche Passwörter, denke das sollte über WLAN reichen. Zu erraten ist das Passwort auch definitiv nicht.

Mein verdacht ist ja aber auch nicht, dass es jemand geschafft hat, nur dass er es versucht hat.

Spannung habe ich noch nicht getrennt, um noch etwas analysieren zu können, falls es da etwas gibt. Werde ich aber wohl mal machen.

[Herbalistics]

Haste irgendwelche Programme wo auf denen Rouer zugreifen könnten?