Fremder Zugriff auf USB Speicher am Asus RT-AC56U Router
 

Hallo ihr lieben, ich benötige Dringend eure Hilfe, versuche das lästige Problem mal zu schildern.

Seit Wochen verschafft sich immer jemand zugriff auf meinen Netzwerkspeicher (ext. Festplatte) am Asus RT-AC56U Wlan Router.

Das ganze zieht sich bestimmt jetzt schon seit 2 Monaten hin, erst ging es los das verschiedene .exe Datein auf der Platte zu finden waren. Diese waren immer unterschiedliche Viren. Hatte ich in einer VM getestet, nie direkt auf meinem PC.

Diese habe ich dann immer direkt mit Bitdefender gelöscht.
Dann wurden auch ständig Datein (Videos & Bilder) gelöscht und solche Späße halt.
Oder es wurden Ordner erstellt "Lumpi was here" mit Schmuddelbildern drin.

Habe dann das WLAN Passwort geändert, den Benutzername und Passwort vom Router geändert, worauf kein Mensch kommen kann und sehr sicher.

Dann waren jetzt ca. 2-3 Wochen ruhe, keine neuen Aktivitäten.

Vorgestern wurden dann wieder meine ganzen Datein gelöscht und Heute ist wieder ein Ordner mit "Lumpi was here" aufgetaucht, dieser ist aber heute leer.

So langsam weiß ich nicht mehr was ich machen soll.
Dachte erst das ich mir auf dem PC was eingefangen habe, aber die Aktivitäten auf dem Netzwerkspeicher sind meistens Nachts, wenn keine anderen Geräte an sind.

Vor dem WLAN Router hängt noch ein Arris TM822 Kabelmodem, an dem kann ich aber nix verändern, wurde von unserem Provider zur Verfügung gestellt.

Wir nutzen hier auf dem Land keinen großen Provider, sondern einen Ortsansässigen, der das über das Kabel realisiert. Worüber wir auch froh sind, sonst gäbe es bei uns nur 3 Mbit :lach:

Jetzt wäre meine Frage, was kann ich überhaupt noch tun?
Habe mir jetzt eine FritzBox 6590 Cable bestellt und hoffe den Eindringling damit aus zu sperren.

Vielen Dank im Voraus für eure Hilfe!

Heißt du hast dir das alles selbst eingebrockt. Klingt als seist du naiv an die Sache gegangen, weil du denkst dass in einer VM nichts passieren kann. Hab ich Recht?

Von außen d.g. aus dem Internet zu hacken ist extrem schwierig. Dazu müsste man die Firewall überwinden. Es sei denn du warst naiv genug, im Router ein Portforwarding einzurichten, sodass Router und evtl diverse andere Services in deinem internen Netzwerk aus dem Internet heraus erreichbar sind.

Danke für deine Antwort, aber ganz so naiv wie du mich darstellst, bin ich glaub ich nicht :crazy: (nicht böse gemeint)

Über die VM habe ich die Datein natürlich nicht ausgeführt, sondern lediglich auf Virustotal geprüft.

Die Port Weiterleitung ist natürlich deaktiviert! Auch die Firewall am Router ist komplett an!

Wie auch bereits gesagt, die Aktivitäten finden zu 90% immer statt, wenn kein PC an ist.
Ich glaube 1-2 mal war er zu dem Zeitpunkt auch an, liegt aber auch daran, das ich ihn manchmal den ganzen Tag an habe.

Heute Nacht (wo der Ordner aufgetaucht ist) sowie vorgestern (als die Datein gelöscht worden sind) war er zu 100% aber nicht an!

Dann ist der Witzbold direkt im internen Netzwerk bzw über WLAN drin. Alles andere hast du ja ausgeschlossen.

Im WLAN theoretisch auch nicht.
Weiß nicht ob du die GUI vom Router kennst, da ist ein Datenmonitor drin.

Es sind auch nur die Geräte aufgelistet, die wir wirklich haben, sonst nix fremdes.
Ist auch recht übersichtlich, da wir nur mit 4 Geräten Online gehen - 2 Handys, PC und FireTV Stick.

Deshalb bin ich auch mit meinem Latein am Ende.

Kann ja eine Sicherheitslücke sein. Schalt doch mal WLAN für ein paar tage aus und beobachte.

Ich habe gerade noch etwas interessantes in der Log vom AiProtection des Routers gefunden...
Kannte ich bis gerade eben noch nicht.

Der erste bzw. letzte Eintrag von heute morgen ist auch der, wo der Ordner erstellt worden ist.
Also würde das ja bedeuten, das der Router tatsächlich eine Schwachstelle hat, oder?
Nur gibt es keine neuere Firmware dafür, kann ich wirklich nur auf die FritzBox hoffen, die morgen eigentlich kommen sollte.

Router in die Werkseinstellungen resetten, neue Passwörter vergeben, dann beobachten was passiert. Oder einfach warten bis die Fritz kommt.

Suspekt:confused:
Von Interesse wäre noch das BetriebssStem des PC sowie das der VM und die VM-Software:daumenhoc

Hm warum? Der Zugriff erfolgte doch meistens nur dann wenn der Rechner und die VM nicht aktiv waren... :kaffee:

Nutze Windows 10 auch damals in der VM, hier kam die VirtualBox zum Einsatz.

Anhand der Log, kam der Angriff auch immer von Außerhalb, heute morgen von 206.72.197.226

In der Materie kenne ich mich nicht so aus, aber was es dem Witzbold vielleicht auch einfacher macht, ich habe eine statische IP, die immer gleich ist.

Schau dich hier mal um: https://www.google.com/search?client=firefox-b-d&q=L%C3%BCcken+in+Asus+RT-AC56U+Wlan+Router. anscheinend weisen mehre Asus Router Sicherheitslücken auf. Musst dir halt mal die Suchergebnisse durchlesen wenn du Interesse daran hast.

Möglich wäre auch mal der Befehl tracert in der Eingabekosole. Also tracert + IP-Adresse aus dem Prokoll.

Also wenn das tatsächlich an der verwundbaren Firmware liegt kann man hier nichts machen außer Firmware updaten oder Router tauschen. Firmwareupdate von ASUS scheidet ja aus also alternative Option: Router mit OpenWRT o.ä. neu flashen.

Mal abgesehen von der Router-Problematik macht W10 in der VW wenig Sinn. Wenn derr Host W10 ist, benötige ich dann ja auch zwei lizenzen.