Fritz!Box Zugangsdaten vergessen?

Hier werkelt seit knapp 5 Jahren eine Fritz!Box 7390. Mit Loch im Deckel und sehr langsam drehendem Lüfter erlitt sie bis jetzt noch nicht den Hitzetod und braucht daher sehr wenig Aufmerksamkeit.

Leider ist das DSL hier nicht ganz so schnell, wie es mir lieb wäre. Ich klage zwar noch immer auf hohem Niveau, von den knapp 17,7 Mbit/s nutzt die Box 15,1 Mbit/s und es bleiben 12,56 Mbit/s für den tatsächlichen Download übrig. Im Upload sind es 2,8/2,3/1,95 Mbit/s:

Weil sie dann doch etwas in die Jahre gekommen ist, und die 7390 nicht unbedingt durch ihre DSL-Performance bekannt wurde, wollte ich mir mal eine zweite Meinung einholen. Ok, eine ähnlich alte 7360 – aber mal einen Versuch wert.

Nach etwas Suchen wurde allerdings klar – und nun zum eigentlichen Thema: ich habe die für die Einrichtung benötigten Logindaten verlegt. Mist.

Also mal suchen, wie man die Daten da herausbekommt. Das auf vielen Seiten beworbene Tool RouterPassView von Nir Sofer (der schnörkellose und sehr gute Tools anbietet) funktioniert nicht (mehr?) mit Fritz!Boxen.

Eine andere Lösung: Die fb_tools von Michael Engelke. Der in der Beschreibung gezeigte Befehl führte bei mir nur zu folgender Ausgabe:

Keine Konfig erhalten - Möglichlichweise ist noch die Sicherheits-Bestätigungsfunktion aktiviert? [sic!]

Also in der Anleitung der Box nachgeschaut – unter System -> FRITZ“Box-Benutzer -> Anmeldung im Heimnetz lässt sich die Option Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen zwar deaktivieren, nach dem Übernehmen ist die Option allerdings wieder gesetzt. Hmpf.

Wenn das Script die Daten aber entschlüsseln kann und die man in der Box die Einstellungen speichern kann – AVM wird wohl kaum mehrere Verfahren für die Crypto der Konfiguration verwendet haben. Schaut man etwas genauer in die Hilfe der fb_tools – ja, es kann verschlüsselt gesicherte Exportdateien entschlüsseln. Mit

fb_tools.bat nix@nix konfig File-DeCrypt sicherung.export dateipasswort

bekommt man die Daten direkt in der Konsole (Anm: das Tool braucht für den Aufruf immer Passwort@IP, nix@nix funktioniert auch, da kein Zugriff auf die Box erfolgt):

Ja, der Screenshot ist halbwegs witzlos, aber Beweis ist Beweis.

Jetzt muss man nur noch wissen, wie der „internet-String“ aufgebaut ist. Aus DFÜ-Zeiten weiß man noch:

Anschlusskennung#Zugangsnummer#Mitbenutzernummer@t-online.de

Das Password steht direkt hinter passwd= und war zumindest bis vor ein paar Jahren eine 8-stellige Nummer.

Auf die Test-7360-Box eingetippelt und eingestöpselt, purzeln auch hier die Bytes durchs verdrillte Kupfer. Die Ergebnisse sind etwas besser aber trotzdem ernüchternd:

Die Frage, wie sich die Performance bei einem moderneren oder etwas besseren Hardware verhält, bleibt natürlich offen. Unterm Strich: für die meisten Anwendungen reicht das. Auch wenn der Outdoor-DSLAM von m-net nur 70 m weiter steht, mit einer IPv4 wäre es dort um die 5 Euro im Monat mehr. Mehr Upload wäre gerade für VPN toll, aber die Schmerzen sind dafür nicht groß genug 😉

Alle Passwörter geändert?

tl;dr: Bekommt man eine Mail vom T-Online-Sicherheitsteam, dass der Account für Spam missbraucht wird, darf nicht nur das Passwort für den Webmailer sondern muss auch das zweite für die Nutzung von POP3/IMAP/SMTP geändert werden.

Einer meiner Kunden war eine Spamschleuder.

Freundlicherweise hat die T-Online bzw. die Telekom das gemerkt und eine Mail geschrieben. Darin wird empfohlen, den Rechner nach Malware zu durchsuchen und alle Passwörter zu ändern. So weit so gut. Allerdings war es nicht das erste Mal, dass diese Warnmail gekommen ist.

Also den Rechner gecheckt. Avira, Malwarebytes und Avast fand nix. Auch Spybot Search & Destroy fand nichts. In Currports und Process Explorer war auch nichts zu sehen. Gut, muss nichts bedeuten – wenn ein Rootkit im Spiel ist, fliegt der Krempel unterm Radar.

Laut Kunde kamen vor ein paar Tagen auch einige nicht zuordenbare Zustellungsfehler-Mails. Wie üblich ist auch die Originalmail dabei – einmal eine Fedex-Paketzustellungsmail und das andere mal für einen amerikanischen Internetfax-Provider.

Die Links führen auf eine gehackte WordPress-Installation, dann auf eine kryptische Domain – weiter habe ich den Weg nicht verfolgt.

Interessanter waren da die Mailheader, die Details über den Versand zeigen. Absendezeitpunkt, Hostname und IP des Absenders und das verwendete Mailprogramm.

Nichts passte:

  • Zu dem Zeitpunkt war nach Windows Event Log der PC aus
  • Hostname stimmte nicht zum PC und die IP (Logs vom Router) wurde zum Versendezeitpunkt nicht dem Anschluss zugeordnet – und war auch in einem völlig anderem Range. Geotrace spuckte – wenn man dem nach einer guten Woche nach Versand noch trauen darf – die Westküste der USA aus
  • Als Mailclient war „iPhone Mail“ gesetzt

Gut, der letzte Punkt ist schwach, die anderen deuten sehr stark darauf hin, dass der PC nicht am Spamversand beteiligt war.

Was dann sonst? Schließlich hat mein Kunde lt. eigenen Angaben das Passwort seines Mailaccounts geändert. Das Passwort? Hier liegt der Hund begragen: Bei T-Online-Mailaccounts gibt es zwei Passwörter. Eines für den Webmailer, das man in den dortigen Einstellungen ändern kann (was auch gemacht wurde) und ein zweites für die Nutzung eines lokalen Mailclients. Um dieses Passwort zu ändern, muss in das Kundencenter gewechselt werden.

Dort kann man das Passwort nicht nur ändern, sondern auch einsehen. Einsehen? Einsehen. Es wird also an mindestens einer Stelle im Klartext gespeichert. Nach diversen Datenlecks sollte man eigentlich wissen, dass man das nicht macht…

Das Problem sollte mit dem zweiten geänderten Passwort wohl behoben sein. Wie die Mailadressen-Passwort-Kombination in die Hände von Spammern gelang, konnte ich leider nicht verfolgen, allerdings hat mein Kunde für viele Dienste das gleiche Passwort verwendet. Vermutlich war das das Einfallstor – Identitätsdiebstahl.

Da das sicher nicht der einzige Fall für einen T-Online-Mail-Benutzer war, habe ich das Sicherheitsteam (abuse@) angeschrieben. Zunächst wurde mein Hinweis anscheinend nicht richtig verstanden, da nach den Mailheadern einer der zurückgekommenen Mails gefragt wurde. Auf meine Antwort, dass „alle“ Passwörter geändert werden sollen (in Bezug auf alle Passwörter eines Dienstes), was von den meisten als „alle Passwörter“ der verschiedenen genutzten Dienste missverstanden wird.

Leider habe ich bis jetzt keine Antwort mehr bekommen.

Im Spamfilter ist zumindest nichts hängen geblieben.