Ankündigung

**imojoe** · 15.11.2013, 09:00

Jetzt wo du es sagst, habe vor kurzen selbes Problem feststellen können, um 4 Uhr Nachts steht dokumentiert in der Fritz!Box Anrufliste ein Anruf von "sipvicious"... Dieser Ruf ging wohl 5 Minuten lang und konnte nicht abgelehnt werden.
Wie könnte sich das verhindern lassen?

**2Fast4You78** · 15.11.2013, 09:07

Hatte schon Kontakt mit der Gira Hotline..
laut eigener Internetrecherche ist das wohl ein Tool um illergalerweise über fremde Ip-Konten zu telefonieren

**imojoe** · 15.11.2013, 09:12

hmm verstehe, hat die Hotline dir auch eine Lösung geben können?
Bringt es vielleicht dauerhaft auch schon was wenn einfach das Passwort geändert wird?

**2Fast4You78** · 15.11.2013, 09:17

Gira konnte noch nix dazu sagen, die wollen zurückrufen.
Passwort ändern brachte keinen Erfolg

**MatthiasS** · 15.11.2013, 09:49

Sehr interessant

Endlich mal Action.

Wenn ich das richtig interpretiere, heißt das, dass der Trojaner das TKSIP-Gateway findet und missbraucht. Es heißt nicht, dass er auf dem TKS-IP-GW sitzt (was auch schwer vorstellbar ist), sondern anderweitig in deinem Netzwerk.

SIPvicious besteht aus vier Hauptprogrammen:

svmap, der SIP-Scanner. Er findet und identifiziert SIP-Geräte und SIP-Server und kann SIP-Methoden wie REGISTER oder INVITE verwenden, um die Geräte zu aktivieren.
svwar, ein SIP-Wardialer. Damit lassen sich interessante und aktive Rufnummern auffinden.
svcrack, ein SIP-Cracker. Damit läßt sich die SIP Digest Authentication brechen. svcrack verwendet dazu eine Reihe von Wörterbüchern mit gängigen Passwörtern.
svreport, das Reporting-Tool. Mit diesem Programm lassen sich die Aufrufe der anderen Tools verwalten und fast automatisch Berichte als PDF, XML, CVS und TXT erzeugen.

**2Fast4You78** · 15.11.2013, 10:00

So ungefähr.. habe hunderte Loginversuche (Brute Force) auf meiner Fritzbox sichtbar. Allesamt vom IP-Gateway..
Ich habe Skype eingerichtet und aktiv.
fail2ban auf der Fritzbox würde glaub nichts bringen, da dann ja das gesamte IP-Gateway ausgesperrt werden würde. Das müsste aufs Gateway direkt..
sehe ich das richtig? Was läuft denn auf dem Gateway? Asteriks?

Wenn ich doch nur einen Plan hätte davon..

**ChristianB** · 15.11.2013, 10:56

Wir hatten vor zwei Tagen auch nächtliche Anrufe.

Da der Anruf über die int100 kam habe ich das IP-Telefon mal komplett aus der Fritz gelöscht und seit dem ist Ruhe.

Ich hatte das zu Test mal hiernach http://download.gira.de/data2/26205310_ip-telefon.pdf eingebunden und auch die vorgegebene int100 übernommen.

Mit SIPvicious kann anscheinend na ganze menge angestellt werden. Zur Sicherheit werde ich mal die nächste Telefonrechnung genau im Auge behalten.

**tbi** · 15.11.2013, 10:58

Hi,

ist dein TKIP-Gateway von aussen über die Fritzbox erreichtbar ?

Wenn ja mach das mal zu.

Ich vermute: Du hast mal vom weiten Internet aus nach Hause telefoniert auf das TKIP-Gateway. Dabei ist die Das SIP INVITE von jemanden gelesen worden öffentlicher Hotspot reicht da schon)

Dieses TKIP-Gateway hat die Fritzbox als SIP-Registrar. Oder ?

Nun ruft SIPVicious das TKIP-Gateway von aussen an. Findet / oder versucht ein nicht aussreichend geschütztes PASSWD für einen SIP Call (über die Fritzbox). Kapert diesen und versucht über das TKIP-Gateway einen Call nach draussen (über die Fritzbox) abzusetzen.

Wenn Du das TKIP-Gateway von aussen nicht mehr erreichbar hast und es ist weg., dann kam es von draußen.

Ist es weiterhin aktiv, ist es irgenwo in deinem Netzwerk. Dann müstest Du dort weiter suchen.

Mal so meine Ideen.

Gruß Tbi

**MatthiasS** · 15.11.2013, 11:16

Sehe ich auch so

**2Fast4You78** · 15.11.2013, 12:25

Dann bekomme ich aber auch keine Rufweiterleitung auf mein Handy wenn ich es in der Fritze lösche?

**tbi** · 15.11.2013, 13:04

Warum, die Fritzbox kann IMMER von innen nach außen aktiv werden also Verbindungen aufbauen.

Es geht nur darum, dass du VON außen nicht einen Port nach innen auf das TKIP-Gateway (oder anderen SIP Client) weiterleitest.

Also wenn jemand klingelt und dann das TKIP-Gateway (über die Fritzbox als SIP Server) den Ruf auf dein Handy aufbaut, das geht immer.

Du kannst dann nur nicht mehr vom Internet aus dein TKIP-Gateway direkt als SIP Call anrufen.

Mach ich nie, ich weiß ja eh nicht, ob einer vor der Tür steht.

Gruß Tbi

PS: Du kannst aber in der Fritzbox dem TKIP-Gateway ein exklusive Telefonnummer zuweisen. Dann kannst Du das auch von extern über Telefon anrufen. Solltest Du dann aber in der Fritzbox mit Passwort schützen.

**ctr** · 15.11.2013, 13:12

Also ich weiß nicht, wie das beim Gira TKS IP Gateway gelöst ist, aber bei meiner Alphatech GSA (SIP basiert) kann ich entweder einen SIP Registrar als Ziel eintragen (dann kann er *jeden* anrufen) oder einfach eine SIP Adresse wie 11@192.168.178.1 dann klingelt genau die 11 und nix anderes. (Wenn man dann auf der FB eine Weiterleitung von der 11 aufs Handy bei nicht-erreichbar einrichtet sollte das auch weiterhin gehen)

Nichtsdestrotrotz wäre es sehr interessant zu erfahren wie denn jemand
entweder: aus dem Internet auf das TKS IP Gateway kommt (Portweiterleitung auf der FB eingerichtet? UPnP?)
oder: (wenn es nicht aus dem Internet kommt) so ein Angreifer von einer anderen Kiste in Deinem LAN kommen kann.

**imojoe** · 15.11.2013, 14:04

In meinen beschriebenen Fall ist weder ein Windows Rechner (Nur Macs) im Netzwerk, noch eine Portweiterleitung auf das TKS IP Gateway vorhanden. Gerade noch mal geprüft.
Das Problem trat kurz nachdem ein Austauschgerät (Aufgrund Defekt/Garantie) von Gira verbaut wurde auf.
Wenn das Problem inzwischen bei min. 3 Leuten auftritt, wäre es dann nicht denkbar, dass die Ursache im Gateway bzw. Fritz!Box selber liegt?

**MatthiasS** · 15.11.2013, 14:18

Denkbar, natürlich. Ich habe das Thema mal weitergeleitet. Fritzbox originalimage oder gemoddet?

Ankündigung

sipvicious Attacken Gira TKS IP Gateway

sipvicious Attacken Gira TKS IP Gateway

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar