Ansicht:   

#405632

Manfred H

01.12.2016, 11:51:38

Der Telekom-Ausfall. (user.telecom)

https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Was-wirklich-geschah-3520212.html

#405633

RoyMurphy

Tübingen,
01.12.2016, 12:47:22

@ Manfred H

Der Telekom-Ausfall.

> https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Was-wirklich-geschah-3520212.html

Seit ich dort nicht mehr (aufmerksam kritischer) Kunde bin, geht doch Verschiedenes immer wieder schief:

Telekom-Chef: Aufruf zu den Cyber-Waffen

Da war aber irgend etwa auch im Kabelnetz im Gange: Mindestens 2 mal während der letzten 4 Wochen minutenlange Totalausfälle ohne erkennbare Ursache, leider auch ohne Benachrichtigung durch den Provider => bei regionalen oder auf Straßenzüge beschränkte Ausfälle evtl. auch nicht üblich oder nicht realisierbar, wenn es keine massenhaften Beschwerden gibt.

--
--------------------------------------------------------------------------
 :-) Grüße aus Tübingen

Reinhard


"Eine Frau muss immer so viel Geld ausgeben, dass ihr Mann sich keine weitere(n) mehr leisten kann."
(Doris Reichenauer - von "Dui dô ond de Sell")

#405634

Howie

01.12.2016, 12:53:26

@ Manfred H

Der Telekom-Ausfall.

> https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Was-wirklich-geschah-3520212.html


Ich versteh den Heise-Netzwerkcheck nicht so ganz, der unten auf der Seite verlinkt ist.

"Mein" Ergebnis wird irgendwie dort nicht als mögliches Ergebnis gelistet:
------------------------------------
Fehler: Verbindung fehlgeschlagen

Firefox kann keine Verbindung zu dem Server unter xxx.xxx.x.x aufbauen.

Die Website könnte vorübergehend nicht erreichbar sein, versuchen Sie es bitte später nochmals.
Wenn Sie auch keine andere Website aufrufen können, überprüfen Sie bitte die Netzwerk-/Internetverbindung.
Wenn Ihr Computer oder Netzwerk von einer Firewall oder einem Proxy geschützt wird, stellen Sie bitte sicher, dass Firefox auf das Internet zugreifen darf.

--
Viele Grüße
Howie

#WirSindMehr
Für Demokratie, Frieden und Freiheit. Und gegen Gewalt, Hass und Hetze.
_____________________________________________________
"Die Zeichnung eines Kindes wird in 1000 Jahren eine
größere Antiquität sein als der teuerste Computer."

#405643

Howie

01.12.2016, 17:20:44
(editiert von Howie, 01.12.2016, 17:21:37)

@ Howie

Hm, vielleicht sollte ich es mal mit einer Frage versuchen ;-) (ed)

Frage zur Meldung:

> Wenn Ihr Computer oder Netzwerk von einer Firewall oder einem Proxy
> geschützt wird, stellen Sie bitte sicher, dass Firefox auf das Internet
> zugreifen darf.

Warum sollte ich das zulassen - außer für diesen Check?
Ich bin eigentlich froh darüber zu glauben, dass mein PC nix ins Netz schickt. Ja, ich weiß, dass Windows...

Deshalb versteh ich diesen Test nicht so ganz.

--
Viele Grüße
Howie

#WirSindMehr
Für Demokratie, Frieden und Freiheit. Und gegen Gewalt, Hass und Hetze.
_____________________________________________________
"Die Zeichnung eines Kindes wird in 1000 Jahren eine
größere Antiquität sein als der teuerste Computer."

#405645

michl [Gast]

01.12.2016, 18:22:30

@ Howie

Der Telekom-Ausfall.

Dieser Test bei Heise ist für den Allerwertsten. Im Forum von Onlinekosten hat ein User das Problem ganz gut beschrieben. Ich hatte das schon mal verlinkt. Die Speedports haben letztendlich dichtgemacht, weil die Portscans zuviel geworden sind. Die Telekom hat die Zugriffe dann in ihrem Netz gesperrt. Dannach konnten die Router nach einem Neustart wieder normal funktionieren.
Link zum Beitrag.
Ich hab das Firmwareupdate eingespielt und lasse den Router (W921V) wieder in Ruhe seinen Dienst verrichten.

michl

#405649

baeuchlein

02.12.2016, 00:58:13

@ michl

Wie immer rate ich: Abwarten!

> Im Forum von Onlinekosten
> hat ein User das Problem ganz gut beschrieben. Ich hatte das schon mal
> verlinkt.
> [...]
> Link zum
> Beitrag.

Das war wohl das scheinbare (?) Problem mit den "offenen Ports". Das hat aber nach neueren Informationen nichts mit dem Problem der Speedport-Router zu tun.

> Die Speedports haben letztendlich dichtgemacht, weil die
> Portscans zuviel geworden sind. Die Telekom hat die Zugriffe dann in ihrem
> Netz gesperrt. Dannach konnten die Router nach einem Neustart wieder normal
> funktionieren.
> Link zum
> Beitrag.

Diese Ansicht/Annahme gibt wohl den derzeitigen Wissensstand wieder, der aber nicht in jenem Forums-Thread beschrieben wird, sondern z.B. hier bei heise.de.

Was ich aber in den letzten Tagen so alles zu diesem Kram gelesen habe, passt immer noch nicht zusammen. Beispielsweise wurde irgendwann mal beschrieben, das Problem wäre eigentlich, dass Telekom-Router (damals noch ohne nähere Angabe des Typs, glaube ich) keine DNS-Auflösung mehr hinkriegen würden. Man hätte demzufolge durch Eintragen eines DNS-Servers in sein Betriebssystem (z.B. Windows oder Linux) das Problem auch völlig ohne Router-Neustart oder Firmware-Update für sich persönlich in den Griff kriegen können. Ob das irgendwer auch tatsächlich mal getan hat, stand da allerdings nicht.

Bei der jetztigen Erklärung für das Problem müsste das Problem eigentlich (für den Benutzer) weg sein, wenn die Telekom die Weiterleitung von Anforderungen auf TCP-Port 7547 ausschaltet. Dann wäre aber auch wieder kein Firmware-Update nötig, und nach einem Router-Reset nach Stopp der Weiterleitungen wäre das jeweilige Routerchen problemlos weitergelaufen, nur hätte Fernwartung dann eben nicht mehr funktioniert. So aber scheint es auch nicht bei allen Leuten gewesen zu sein.

In dem im heise-Artikel verlinkten Original-Beitrag jenes Menschen, der wohl die Probleme näher untersucht hat und nun meint, die Router wären gar nicht "gehackt" worden, sondern wären nur irgendwie unter der Last der Anfragen zusammengeklappt, heißt (oder heist? heiset? :-P) es, die Telekom hätte aber "aggressiv neue Firmware verteilt". Das aber wäre nun wiederum nicht mehr möglich, wenn Weiterleitungen/Datenverkehr auf TCP-Port 7547 im Telekom-Netz komplett unterbunden gewesen wär'. Könnte natürlich sein, dass die Telekom es irgendwie schafft, nur ihre eigene TCP-7547-Nutzung noch durchzulassen... Was die Telekom dazu sagt, kann man hier nachlesen; zum Zeitpunkt dieses Postings stimmt das ganz gut mit diesem Abschnitt meines Postings überein.

Derweil erzählen uns die einen, ein vermutlich von privater Seite (=Hacker ohne "Staatsauftrag") betriebenes Botnetz wär's (vermutlich?) gewesen. Andere, z.B. unsere Staatsvertreter, brachten dagegen wohl ausländische Mächte ins Spiel. Und bewiesen ist da wohl noch gar nichts.

Merkt ihr was? Das ist alles noch Rätselraten. Derzeit kann man schlicht nicht sagen, was hier fundiert ist und was nur Geschwätz. Bis wir hier genauer wissen, was los war, gehen bestimmt noch einige Tage ins Land.

#405654

Hackertomm

02.12.2016, 09:21:48

@ baeuchlein

Wie immer rate ich: Abwarten!

Dem Artikel nach geht's es um Router deren BS Linux basierend ist.
Hier kann öder könnte ein Angreifer durchkommen.
Da dürfte es nicht nur bestimmte Telekom Router getroffen haben.
Bei meinem Speedport W724V C liegt der Fall aber etwas anders, denn dessen Hersteller verwendet ein eigenes BS, welches gegen die Angriffe immun ist.
Ich sehe sie zwar im Protokoll, aber sie haben keine Wirkung.
Diese Angriffe halten übrigens weiter an!

--
[image]

#405662

baeuchlein

02.12.2016, 14:26:31

@ Hackertomm

Wie immer rate ich: Abwarten!

> Dem Artikel nach geht's es um Router deren BS Linux basierend ist.

Welchem Artikel nach? Dieser Thread in einem Forum beschäftigt sich, glaube ich, tatsächlich auch mit diesem Angriffsszenario, während der neuere heise-Artikel sich mehr mit den aufgetretenen Problemen bei den Telekom-Kunden beschäftigt.

Die Speedport-Router der Telekom, um die es im heise-Artikel v.a. geht, sind mit einem anderen Betriebssystem als Linux ausgestattet; dein W724V ist wohl so einer.

> Da dürfte es nicht nur bestimmte Telekom Router getroffen haben.

Siehste, da wird auch alle Naselang wieder anderes behauptet!

Ich persönlich vermute, dass es ungefähr so ist, wie in dem neueren heise-Artikel: Ein Botnetz versucht, über die Fernwartungsschnittstelle vieler Router gerade solche zu infizieren, die verwundbar sind. Dabei machen jene nicht verwundbaren Telekom-Router nach einer Weile "dicht", wenn sie mit Anfragen auf TCP-Port 7547 "bombardiert" werden. Ohne diesen "Kollateralschaden" wäre womöglich diese Aktion gar nicht entdeckt worden.

> Bei meinem Speedport W724V C liegt der Fall aber etwas anders, denn dessen
> Hersteller verwendet ein eigenes BS, welches gegen die Angriffe immun ist.
> Ich sehe sie zwar im Protokoll, aber sie haben keine Wirkung.
> Diese Angriffe halten übrigens weiter an!

Bei uns habe ich ein paar Mal die Logging-Funktion der Router-Firewall eingeschaltet. Da wurden zwar viele Versuche gemeldet, von außen auf den Router zuzugreifen, aber bisher kein einziges Mal auf Port 7547.

Ich warte jedenfalls weiter ab und schaue, was demnächst noch so alles an Meldungen kommt. Meine bisherigen Überlegungen zu diesem Thema betrachte ich mal als vorläufig.

#405664

Hackertomm

02.12.2016, 17:11:14

@ baeuchlein

Wie immer rate ich: Abwarten!

> > Dem Artikel nach geht's es um Router deren BS Linux basierend ist.

Das war nicht der Heise Artikel, da habe ich mich vertan, sondern der hier!

--
[image]

#405683

baeuchlein

03.12.2016, 01:52:03

@ Hackertomm

Wie immer rate ich: Abwarten!

> > > Dem Artikel nach geht's es um Router deren BS Linux basierend ist.
>
> Das war nicht der Heise Artikel, da habe ich mich vertan, sondern der hier!

... äh, welcher jetzt? :kratz:  :-P

Na, egal. Ich habe diese Ansichten auch alle irgendwo mal gelesen, glaub' ich. Weitere Dinge, die ich mir heute zu Gemüte führte, weisen auch wieder darauf hin, dass die erste Annahme (Telekom-Router wurden "gekapert" und fielen deswegen aus) falsch war und dass stattdessen die zweite Annahme (ein Botnetz aus gekaperten irischen Routern versuchte u.a., die Telekom-Router zu kapern, doch Letztere stürzten dabei ab und taten dann gar nix mehr, wurden aber auch nicht infiziert) wohl richtig war/ist.

Wenn das jetzt noch ein paar Tage lang so gültig bleibt, dann nehme ich es als Gewißheit an.

#405693

Hackertomm

03.12.2016, 13:01:14

@ baeuchlein

Wie immer rate ich: Abwarten!

Sorry, der hier.
http://www.wiwo.de/unternehmen/it/router-hack-protokoll-des-mega-angriffs-auf-die-deutsche-telekom/14922984.html

--
[image]

#405694

Hackertomm

03.12.2016, 13:35:15

@ baeuchlein

Wie immer rate ich: Abwarten!

> .....dass stattdessen die zweite Annahme (ein Botnetz aus gekaperten irischen Routern versuchte u.a.,
> die Telekom-Router zu kapern, doch Letztere stürzten dabei ab und taten dann gar nix mehr, wurden aber auch nicht infiziert) wohl richtig war/ist.

Ich schrieb ja schon das ich vermute dass nicht nur die Telekom Router betroffen sind, sondern alle Linux basierenden Router
Bei der Telekom gab es eben nur diese gehäuften Ausfälle, weil sie auf die TR8 Attacke etwas allergisch reagierten und einfach den Betrieb einstellten.

> Wenn das jetzt noch ein paar Tage lang so gültig bleibt, dann nehme ich es
> als Gewißheit an.

Die DOS Angriffe dauern immer noch an.
Hier mal ein Auzug meines Router Protokolls von Gestern 17:07Uhr bis Heute 13:20Uhr.
(MAC und IP zugelassene Verbindungen wurden entfernt!)

03.12.2016 13:20:44 *********** Anmeldung erfolgreich. (G101)
03.12.2016 12:58:05 DHCP ist aktiv: 03.12.2016 12:58:05 ************************************
03.12.2016 12:49:16 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 12:45:57 Konfigurations-Service wird kontaktiert. (A103)
03.12.2016 12:34:56 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 12:32:26 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 11:54:25 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 11:03:28 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 10:49:58 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 10:34:19 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 10:32:24 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 10:05:42 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 09:39:21 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 08:51:19 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 08:50:02 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 08:45:57 Konfigurations-Service wird kontaktiert. (A103)
03.12.2016 08:34:56 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 08:32:27 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 08:02:53 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 07:18:45 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 07:00:14 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 06:52:22 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 06:34:53 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 06:32:26 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 06:02:38 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 05:00:28 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 04:45:57 Konfigurations-Service wird kontaktiert. (A103)
03.12.2016 04:34:52 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 04:32:24 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 02:52:24 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 02:49:18 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 02:34:55 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 02:32:27 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 02:02:46 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 01:55:51 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 00:52:22 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 00:51:03 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 00:45:58 Konfigurations-Service wird kontaktiert. (A103)

03.12.2016 00:34:51 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 00:32:25 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
03.12.2016 00:02:36 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
02.12.2016 23:40:24 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
02.12.2016 22:52:20 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
02.12.2016 22:46:37 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

02.12.2016 22:34:48 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
02.12.2016 22:32:24 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
02.12.2016 21:59:51 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
02.12.2016 20:52:24 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
02.12.2016 20:34:46 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

02.12.2016 20:32:27 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
02.12.2016 20:28:33 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

02.12.2016 19:03:26 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
02.12.2016 18:52:22 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
02.12.2016 18:51:14 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
02.12.2016 18:49:20 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)
02.12.2016 18:44:17 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

02.12.2016 18:34:37 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

02.12.2016 17:07:56 ******************* Abmeldung erfolgreich. (G102)

--
[image]

#405699

Johann

03.12.2016, 17:56:20
(editiert von Johann, 03.12.2016, 17:58:38)

@ Hackertomm

Wie immer rate ich: Abwarten! (ed)

> Die DOS Angriffe dauern immer noch an.

Die SYN Floods haben mit der Sache nichts zu tun, eher die "Konfigurations-Service wird kontaktiert. (A103)" Meldungen.

#405700

baeuchlein

03.12.2016, 18:17:37

@ Johann

Wie immer rate ich: Abwarten!

> Die SYN Floods haben mit der Sache nichts zu tun, eher die
> "Konfigurations-Service wird kontaktiert. (A103)" Meldungen.

Interessant. Exakt alle vier Stunden, von 0.45 Uhr an.

Bei dieser geringen Frequenz wär' ich persönlich mir gar nicht sicher, ob das nicht sogar ein "Anklopfen" vom Provider her ist. Zumindest wenn dieser (je nach Vertrag) das Recht hat, Fernwartung o.ä. zu machen. Bei der Telekom ist das jedenfalls vom Vertrag abhängig.

#405703

Hackertomm

03.12.2016, 18:46:10

@ baeuchlein

Wie immer rate ich: Abwarten!

> Bei dieser geringen Frequenz wär' ich persönlich mir gar nicht sicher, ob
> das nicht sogar ein "Anklopfen" vom Provider her ist. Zumindest wenn dieser
> (je nach Vertrag) das Recht hat, Fernwartung o.ä. zu machen. Bei der
> Telekom ist das jedenfalls vom Vertrag abhängig.

Router ist gekauft, daher kein Wartungsvertrag.

Und ich war in der Zeit meist Offline.
Aber könnte schon sein das da der Provider angeklopft hat.
Leider sieht man den Port nicht im Protokoll, das währe hilfreich.

--
[image]

#405710

baeuchlein

03.12.2016, 23:44:21

@ Hackertomm

Bei uns: Keine Hinweise mehr auf ursprüngl. Angriffswelle!

> könnte schon sein das da der Provider angeklopft hat.
> Leider sieht man den Port nicht im Protokoll, das währe hilfreich.

Stimmt. Bei unserem Router kann man den sehen. Ich habe vorhin mal zwei Stunden lang den Router alle Dinge auflisten lassen, die seine Firewall nicht durchgelassen hat. Auch der TCP-Port 7547 war durch die Firewall gesperrt bzw. "gefiltert". Der Wartungszugang war zusätzlich dazu ebenfalls abgestellt.

Es kamen recht viele Anfragen von im Wesentlichen einer einzigen IP-Adresse, doch keine davon auf TCP-Port 7547. Bei uns also ist die Attacke, die die Telekom-Router ausrasten ließ, inzwischen beendet oder von der Telekom blockiert worden. Letzteres wurde auch ein- oder zweimal irgendwo im Internet geschrieben. Die ursprüngliche Angriffswelle kommt jedenfalls hier bei uns nicht mehr an.

#405704

Johann

03.12.2016, 18:58:12

@ baeuchlein

Wie immer rate ich: Abwarten!

> Bei dieser geringen Frequenz wär' ich persönlich mir gar nicht sicher, ob
> das nicht sogar ein "Anklopfen" vom Provider her ist.

Whois auf die src-IP machen, da könnte man dann sehen wer da anklopft, die DTAG oder ein Spitzbube aus Lummerland...

#405653

Hackertomm

02.12.2016, 09:16:37

@ michl

Der Telekom-Ausfall.

Ich habe bei meinem W724V C ins Protokoll geschaut, da sind immer noch etliche DDOS-Attacken registriert.
Aber er nicht auf Linux basiert, sondern ein eigenes BS hat, ist da(noch) dagegen, wie es ja auch im Artikel stand.

--
[image]

Ansicht:   
Auf unserer Web-Seite werden Cookies eingesetzt, um diverse Funktionalitäten zu gewährleisten. Hier erfährst du alles zum Datenschutz