Trojaner-Board - Laufend gehacktes Netzwerk, zwei Router, eines als reines Access Point

Trojaner-Board (https://www.trojaner-board.de/)

- Netzwerk und Hardware (https://www.trojaner-board.de/netzwerk-hardware/)

- - Laufend gehacktes Netzwerk, zwei Router, eines als reines Access Point (https://www.trojaner-board.de/165799-laufend-gehacktes-netzwerk-zwei-router-reines-access-point.html)

Laufend gehacktes Netzwerk, zwei Router, eines als reines Access Point

Guten Abend zusammen,
wie mein Titel schon vermuten lässt wird mein Netzwerk laufend gehackt.
Erst einmal eine Grobe Ansammlung von Infos die ich zu bieten habe:
Windows 8.1 Provider Unitymedia und ich nutze zwei Router eines als reines Access Point.
Mein Anti Virus Programm ist das AVG Internet Security 2015.
Zudem habe ich mehrmals versucht anhand von Zenmap meine Ports zu scanen wobei es mir nichts anzeigt bzw alle Ports geschlossen zeigt.
Mein Kabelmodem das Cisco EPC320G löscvht beispielsweise auf komischer weise nach jedem Neustart das Sicherheitspasswort womit man zu den Router Einstellungen zugang bekommt.
Duch Wireshark konnte ich dann eben sehen das noch jemand im Router angemeldet ist und sich auf die weise zugang zu meinem Pc verschafft. Das letztere ist im Augenblick noch eine Vermutung.Ein Vollscan mit dem Anti Virus hat nichts gebracht, aber ich denke das der Zugang durch irgendwelche Port vonstatten geht.Vor ca. einer Woche hatte ich meine Festplatte komplett formatiert und das System komplett neu aufgesetzt.
Könnte jemand meinen Wireshark Log auswerten, denn ich hab vieles probiert und bin irgendwie am verzweifeln.

Gruß Gammel

Zitat:

Zitat von Gammelfisch (Beitrag 1451229)

Könnte jemand meinen Wireshark Log auswerten, denn ich hab vieles probiert und bin irgendwie am verzweifeln.Gruß Gammel

Welches Log denn:glaskugel:

Abend,
kann ich ihn denn ohne Bedenken einfach posten?
Entschuldige was meine Kentnisse betrifft, Basis wenn überhaupt.

Gruß Gammel

Moin Gammel,
dein Kabelmodem ist vermutlich Eigentum des Providers, bzw. du zahlst dafür eine Miete. Beim Provider gibt es Konfigurationsserver, die für jeden Teilnehmer im Kabelnetz die Konfigurationsdaten vorhält. Dem Provider ist es damit möglich alle Einstellungen auf dem Router zu checken, Firmware upzudaten und ggf. auch vom User vorgenommene Änderungen wegzuhauen. Das ist aber nicht illegal sondern im Vertrag so verankert. Gewissermaßen bist du als Kunde nur ein Admin mit stark eingeschränkten Rechten. Dass dein Passwort keinen Bestand hat könnte auch daran liegen, dass du den Router abschaltest. Wenn die Firmware es so interpretiert, könnte es bei jedem Einschalten so laufen, dass der Router sich vom Server erst mal seine Konfiguration lädt und damit ist alles geänderte von dir futsch.
Dein Antivirenprogramm werkelt nicht auf den Routern herum, hat so auch keinen Einfluss auf dessen Sicherheit. Router haben aber ein Firewall womit man bis zu einem gewissen Maße Eindringlinge aussperren kann.
Du kannst bei deinen Überlegungen die Bedenken zu Kabelmodem/Router erst mal vernachlässigen. Beim TechSupport deines Providers kannst du im Übrigen nachfragen, was es mit den von dir genannten Fakten auf sich hat.

Hallo,

jo mit denen bin ich in Kontakt, jedoch wird das wohl über die Feiertage nichts.
Könntest du unter Umständen mal meinen Wireshark Log durchforsten und mir etwaige Schwachstellen aufweisen. In meinem Netzwerk geht es gerade runter und drüber, so wie es ausschaut.

Gruß Gammel

dumme frage, aber was sind denn deine Symptome, an denen du zu erkennen glaubst, "gehackt" zu sein?

Zitat:

Zitat von burningice (Beitrag 1451514)

dumme frage, aber was sind denn deine Symptome, an denen du zu erkennen glaubst, "gehackt" zu sein?

Jepp, gute Frage und auf das Log warten wir hier immer noch:rolleyes:

Zitat:

Zitat von felix1 (Beitrag 1451546)

Jepp, gute Frage und auf das Log warten wir hier immer noch:rolleyes:

Abend,

dann lies doch bitte nochmal etwas genauer oder eben ich wiederhole es " kann ich die logs ohne bedenken hier einfach Posten, da ich ja nicht der Experte bin und nicht genau sagen kann wie viel Sicherheitsrelevante Daten dadurch heraussickern würden odewr ob es irrelevant ist un ich es öffentlich zugänglich machen kann bzw nichts anderews übrig bleibt"

dumme frage, aber was sind denn deine Symptome, an denen du zu erkennen glaubst, "gehackt" zu sein?

Nun ein wenig Verständis habe ich da noch um zu erkennen : Mein Kabelmodem Router ohne Wlan hat nur einen Lan anschluss an dem ich hänge und mir Wireshark dauernd irgendwelche anderen Teilnehmer anzeigt.
Meine Ip beispielsweise 192.168.0.17, mir aber im selben Augenblick Ips, mit beispielsweise 192.168.0.11 192.168.0.123 etc anzeigt.
Des weiteren flooded man meinen Router so lange bis er eben nicht mehr nachkommt und ich ohne ein reset gar nichts erreiche.

Ich glaube das sind alles Adressen von deinen Routern (FritzBox!).

Zitat:

Zitat von Darklord666 (Beitrag 1451613)

Ich glaube das sind alles Adressen von deinen Routern (FritzBox!).

Den zweiten Router habe ich seit gestern ganz rausgenommen, bin somit vom Kabelmodem direkt an meinem Pc.
Der zweite Router hat in der Regel die IP 192.168.0.2

Komme zudem auch diese Meldungen im Modem Protokoll

Code:

Count                Time         ID         Level         Description

 1         Sun Apr 05 14:02:07 2015          82000400         Critical (3)         Received Response to Broadcast Maintenance Request, But no Unicast Maintenance opportunities received - T4 time out;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:14:f1:e9:fa:63;CM-QOS=1.1;CM-VER=3.0;

 46         Sun Apr 05 14:01:22 2015          73040100         Notice (6)         TLV-11 - unrecognized OID;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:14:f1:e9:fa:63;CM-QOS=1.1;CM-VER=3.0;

 1         Sun Apr 05 14:01:22 2015          2436694064         Notice (6)         WiFi Interface [] on DFS Channel DFS State:

 1         Sun Apr 05 13:41:52 2015          82000400         Critical (3)         Received Response to Broadcast Maintenance Request, But no Unicast Maintenance opportunities received - T4 time out;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:14:f1:e9:fa:63;CM-QOS=1.1;CM-VER=3.0;

 2         Time Not Established         82000200         Critical (3)         No Ranging Response received - T3 time-out;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:14:f1:e9:fa:63;CM-QOS=1.0;CM-VER=3.0;

 4         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 3         Time Not Established         84000200         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire FEC framing;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 2         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 2         Time Not Established         84000200         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire FEC framing;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 1         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 1         Time Not Established         84000200         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire FEC framing;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 3         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 1         Time Not Established         84000200         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire FEC framing;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 1         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 1         Time Not Established         84000200         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire FEC framing;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 1         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 2         Time Not Established         84000200         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire FEC framing;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 27         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 1         Time Not Established         84000200         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire FEC framing;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 3         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 1         Time Not Established         84000200         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire FEC framing;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 8         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 4         Time Not Established         82000200         Critical (3)         No Ranging Response received - T3 time-out;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:14:f1:e9:fa:63;CM-QOS=1.0;CM-VER=3.0;

 4         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 1         Time Not Established         84000200         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire FEC framing;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 1         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 8         Time Not Established         84000200         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire FEC framing;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 4         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 1         Time Not Established         84000200         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire FEC framing;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 3         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 3         Time Not Established         84000200         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire FEC framing;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 24         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 1         Time Not Established         84000200         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire FEC framing;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

 12         Time Not Established         84000100         Critical (3)         SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;;CM-MAC=24:76:7d:47:83:9e;CMTS-MAC=00:00:00:00:00:00;CM-QOS=1.0;CM-VER=3.0;

Keines mir bekannte MAC adressen, weder Modem, Router, SMartphones noch Pc

Gruß Gammel

Ich sehe nur 2 MAC-Adressen, also Rechner. MAC=24:76:7d:47:83:9e;MAC=00:14:f1:e9:fa:63. Das ganze sieht für mich nicht nach Hacking sondern nach einem Konnektivitätsproblem des Routers aus wegen der ganzen Synchronisierungsfehler.
Warte mal ab was Felix,burningice oder andere noch für Ideen haben. Ich bin erst einmal raus weil müde.

Zwei Mac-Adressen sollten bei einem Router normal sein.
Ein Netzwerkadapter für das WAN und einer für das LAN, denn jeder Netzwerkadapter besitzt eine eigene MAC-Adresse.
Der Rest sind abgewiesene Pakete. Das ist die Aufgabe eines Routers.
Und wenn Du den AP wieder einhängst, solltest Du drei MAC-Adressen sehen.
Indizien für ein Hacking kann ich hier nicht erkennen.

Zitat:

Zitat von felix1 (Beitrag 1451926)

Aber keines der Mac Adressen gehört zu meinem Netzwerkadapter. Der endet nämlich mit 2D:02
Wie kann ich den die Wireshark Logs kopieren, denn die "Wireshark capture file" lässt sich nicht hochladen.

Gruß Gammel