(Form-)Spam über CCU möglich?

Guten Abend,
in unserem Ferienhaus in Spanien habe ich:

  • DSL über FritzBox 7270
  • 1 x Homematic CCU
  • 2 x Webcam Wansview, über WLAN mit der FritzBox verbunden.
  • KEINEN PC o.ä. im betreffenden Zeitraum

Nun bekam ich von der spanischen Telefonica-Abteilung „Nemesys“ per Email den Hinweis, dass über den zu unserer Telefonnummer gehörigen DSL-Anschluss große Mengen an Spam versendet worden sein sollen.

Als Beleg wurden Header wie:

Received: From [79.148.207.215] by via sendmail with smtp;
for 2 recipients; Thu, 01 Mar 2012 21:55:04 -0700
Received: From unknown (HELO relay37.vosimerkam.net) (Thu, 01 Mar 2012
15:41:50 -0600)
by m1.gns.snv.thisdomainl.com with QMQP; Thu, 01 Mar 2012 15:41:50 -0600
Received: From smtp.mixedthings.net ([Thu, 01 Mar 2012 15:22:52 -0600])
by mxs.perenter.com with NNFMP; Thu, 01 Mar 2012 15:22:52 -0600
Message-ID:
Date: Thu, 01 Mar 2012 15:13:28 -0600
From: "Alexa"
X-Accept-Language: en-us
MIME-Version: 1.0
To:
Subject: hblbo
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit

mitgeschickt. Die IP der letzten Station der Spam Mails, 79.148.207.215, war ausweislich der täglichen Logs der FritzBox tatsächlich in diesem Zeitraum unserem Anschluss zugeordnet (Zwangstrennung nach jeweils 24 h, wie in Deutschland).

Wir haben in der FritzBox die Ports:
2001 (CCU)
8008 (Webcam 1)
8009 (Webcam 2)
entsprechend geforwardet. Ich greife über dyndns darauf zu. Die Webcams besitzen Zugangsschutz via htaccess, ebenso wie die Fritzbox. Die HM CCU startet bekanntlich direkt mit dem Login-Formular, allerdings über https://…
Zudem gibt es noch einen VPN Tunnel, über den ich das dortige System in die hiesige IPS Umgebung einbinden möchte. Der Tunnel ist aber noch nicht aktiv.
Ein Stealth Scan hat keinerlei weitere offene Ports ergeben:

Interesting ports on xxxxxxxxxxx (79.144.226.227):
Not shown: 1710 filtered ports
PORT     STATE  SERVICE
113/tcp  closed auth
443/tcp  open   https
1080/tcp closed socks
2001/tcp open   dc
8009/tcp open   ajp13

Da kein PC im dortigen Netz vorhanden ist und das Haus zum betreffenden Zeitpunkt leer war, erscheint mir das alles sehr merkwürdig. Soweit ich weiß, gibt es die Hardware einer Billig-Webcam nicht her, als Spam Relay missbraucht zu werden; die FritzBox halte ich zunächst auch einmal für unverdächtig.

Meine Frage an die Experten: Ist es denkbar, dass irgendjemand irgendwie auf der CCU einen Mailserver oder Proxy installiert hat? Oder kann sich sonst jemand einen Reim auf all dies machen?
Viele Grüße
Martin

Ist dein WLAN sicher genug?
Der „SMTP-Server“ muss ja nicht unbedingt in einem Gerät von dir „inkludiert“ sein. Es kann ja sein, das nur dein Anschluss (via WLAN) missbraucht wurde.
Das wäre mein erster Gedanke…

Ja, das WLAN sollte sicher sein - WPA2, niemand hat die Zugangsdaten außer mir, und das Haus liegt gewissermaßen im Nirwana in den Bergen. Ich konnte in den FritzBox Logs auch keinerlei Zugriffe feststellen außer denen der Webcams.

Hallo DocMarten,

also die Zeiten kommen mir komisch vor:

for 2 recipients; Thu, 01 Mar 2012 21:55:04 -0700
Received: From unknown (HELO relay37.vosimerkam.net) (Thu, 01 Mar 2012
15:41:50 -0600)
by m1.gns.snv.thisdomainl.com with QMQP; Thu, 01 Mar 2012 15:41:50 -0600
Received: From smtp.mixedthings.net ([Thu, 01 Mar 2012 15:22:52 -0600])
by mxs.perenter.com with NNFMP; Thu, 01 Mar 2012 15:22:52 -0600

Ist sichergestellt, daß es wirklich Dein Anschluß war? Weißt Du, wann die Zwangstrennung stattfindet?

Wenn es Dein Anschluß ist, müsst man mal schauen, was die Fritzbox für Logging möglichkeiten hat. Damit kenn ich mich leider nicht aus.

Gruß

Oliver

Folgende Ereignisse wurden von Ihrer FRITZ!Box am 02.03.2012 erfasst:
Datum 	Ereignis
02.03.12 03:31:19 	Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 79.148.207.215, DNS-Server: 80.58.61.250 und 80.58.61.254, Gateway: 80.58.67.108, Breitband-PoP: rbrpmcm1-02-D9
02.03.12 03:31:17 	Internetverbindung wurde getrennt.
02.03.12 03:31:14 	Die Internetverbindung wird kurz unterbrochen, um der Zwangstrennung durch den Anbieter zuvorzukommen.

Was etwas seltsam ist, ist dass am Tag darauf um 03:30:24 nach ziemlichem PPPoE-Chaos dieselbe IP erneut zugewiesen wurde andererseits gibt es auf Mallorca vlt. nicht so viele Telefonica-Server - der betreffende steht in Felantix):

Folgende Ereignisse wurden von Ihrer FRITZ!Box am 03.03.2012 erfasst:
Datum 	Ereignis
03.03.12 11:16:29 	Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 83.39.227.51, DNS-Server: 80.58.61.250 und 80.58.61.254, Gateway: 80.58.67.108, Breitband-PoP: rbrpmcm1-02-D9
03.03.12 11:16:17 	Internetverbindung wurde getrennt.
03.03.12 11:16:17 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:16:03 	Internetverbindung wurde getrennt.
03.03.12 11:16:03 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:15:49 	Internetverbindung wurde getrennt.
03.03.12 11:15:49 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:15:35 	Internetverbindung wurde getrennt.
03.03.12 11:15:35 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:15:21 	Internetverbindung wurde getrennt.
03.03.12 11:15:21 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:15:07 	Internetverbindung wurde getrennt.
03.03.12 11:15:07 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:14:53 	Internetverbindung wurde getrennt.
03.03.12 11:14:53 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:14:39 	Internetverbindung wurde getrennt.
03.03.12 11:14:39 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:14:25 	Internetverbindung wurde getrennt.
03.03.12 11:14:25 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:14:11 	Internetverbindung wurde getrennt.
03.03.12 11:14:11 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:13:57 	Internetverbindung wurde getrennt.
03.03.12 11:13:57 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:13:43 	Internetverbindung wurde getrennt.
03.03.12 11:13:43 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:13:29 	Internetverbindung wurde getrennt.
03.03.12 11:13:29 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:13:15 	Internetverbindung wurde getrennt.
03.03.12 11:13:15 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:13:02 	Internetverbindung wurde getrennt.
03.03.12 11:13:02 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:12:48 	Internetverbindung wurde getrennt.
03.03.12 11:12:48 	PPPoE-Fehler: Zeitüberschreitung.
03.03.12 11:12:34 	Zeitüberschreitung bei der PPP-Aushandlung.
03.03.12 11:12:34 	Internetverbindung wurde getrennt.
03.03.12 09:57:10 	Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 79.146.197.167, DNS-Server: 80.58.61.250 und 80.58.61.254, Gateway: 80.58.67.108, Breitband-PoP: rbrpmcm1-02-D9
03.03.12 09:57:08 	Internetverbindung wurde getrennt.
03.03.12 09:33:48 	Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 79.144.226.101, DNS-Server: 80.58.61.250 und 80.58.61.254, Gateway: 80.58.67.108, Breitband-PoP: rbrpmcm1-02-D9
03.03.12 09:33:46 	Internetverbindung wurde getrennt.
03.03.12 09:19:57 	Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 79.144.227.125, DNS-Server: 80.58.61.250 und 80.58.61.254, Gateway: 80.58.67.108, Breitband-PoP: rbrpmcm1-02-D9
03.03.12 09:19:53 	Internetverbindung wurde getrennt.
03.03.12 03:30:24 	Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 79.148.207.215, DNS-Server: 80.58.61.250 und 80.58.61.254, Gateway: 80.58.67.108, Breitband-PoP: rbrpmcm1-02-D9
03.03.12 03:30:22 	Internetverbindung wurde getrennt.
03.03.12 03:30:18 	Die Internetverbindung wird kurz unterbrochen, um der Zwangstrennung durch den Anbieter zuvorzukommen.

Ich hatte vergessen mitzuteilen, welche Homematic Extensions aktiv sind: Eigentlich nur „Email“ 1.1, das aber kenen eigenen Mailserver installiert.
Allerdings gibt es da noch das „Web GUI PDA“ (Smartphone-Icon in der rechten oberen Ecke der Standard-Login-Screen). es verlinkt auf https://…:2001/pda/index.cgi. Ich meine mich dunkel zu erinnern, dass das eine Extension war. Allerdings taucht sie nicht in der „Installierten Zusatzsoftware“ der CCU auf, und das Googlen danach bringt erstaunlich wenig Treffer - weiß jemand mehr dazu?

Aus den Logs geht leider nicht hervor welche IP-Adresse Du in dem fraglichen Zeitraum hattest. Mal abgesehen davon, daß die Angaben im Mail Envelope nicht stimmen müssen.

Ich glaube nicht, das jmd was auf Deiner CCU installiert hat. Wäre viel zu aufwändig, um ein paar Spam eMails zu verschicken.
Die Webcams auf Port 800x halte ich auch für eher unverdächtig.
Wenn ein Fremdzugriff durch Rechner ausgeschlossen ist, halte ich es für wahrscheinlicher, daß es ein anderer DSL Anschluss war.

Allerdings wäre es natürlich schon möglich.

Um eine definitive Aussage zu treffen, müsste man wirklich den Datenverkehr protokollieren.

Gruß

Oliver

Hmm… eigentlich steht das schon im geposteten Log:

02.03.12 03:31:19 	Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 79.148.207.215

Zum erweiterten Protokollieren gibt es das auf IP-Pakete mitschneiden - Fritz!Box Beschriebene - aber da muss man schon das Glück haben, den Augenblick abzupassen, wenn Unbefugte zugreifen, sonst sprengt das Protokoll wohl die Speichermöglichkeit der FB, und ich weiß nicht, wie sie reagiert, wenn ihr Speicher voll ist.

Hiho,

und nun komme wieder ich aus der Versenkung raus und teilen allen mit: „Port Forwarding ist Müll“ — macht lieber ein VPN :wink: Dann hätten wir diese Diskussion hier sehr wahrscheinlich nicht, wenn das richtig gemacht wird …

Grüße

Andreas

Hallo,

bist du dir sicher was die geschrieben haben?

…zu unserer Telefonnummer gehörigen DSL-Anschluss…

War hier nicht ein Mailaccount gemeint? Das wäre logischer.

Dem DSL-Provider muss es doch egal sein welche Daten und Mengen du überträgst. Beim Mail-Provider sieht das anders aus wenn über seine Systeme Spam versandt wird.

Gruß KH

Hallo KH,

das stimmt so nicht. Der Spam kommt ja von der IP Adresse, die angeblich zu dem Zeitpunkt mit dem DSL Anschluss verbunden war.
Der Provider hat natürlich ein Interesse, dass über seine IP kein Spam versendet wird, z.B. damit seine IP Adressen nicht auf einer Blacklist landen.

Spam über einen eMail Provider zu versenden geht eigentlich nicht mehr, da die Systeme das erkennen und blockieren.

Gruß

Oliver

Hallo KH,
ja, ich bin sicher, dass es sich um den DSL Anschluss handelt, das schreibt Telefonica auch ausdrücklich. Standardinfo der Telefonica über möglich Ursachen:

  • Que haya instalado un proxy (http o socket) y no lo tenga configurado adecuadamente, de forma que personas no autorizadas puedan estar navegando a través de él.

  • Que haya instalado un servidor de correo y no lo tenga bien protegido,
    por lo que pueden estar conectándose anónimamente a su servidor para
    enviar correos.

Also entweder schlecht/flasch konfigurierter Proxy (http oder socket, der es Dritten erlaubt, über selbigen illegal zu surfen, oder ein falsch konfigurierter (offener) Mailserver.

Wenn ich den Mailheader-Aufbau richtig interpretiere, ist die betreffende IP anscheinend die letzte Station auf dem Weg der Spam Mail. Daher fällt mir auch keine Möglichkeit ein, wie das jemand - sollte er sich da oben in den Bergen tatsächlich trotz WPA2 ins WLAN gehackt haben (was ich ausschließe)- auf diesem Weg bewerkstelligt haben könnte.
Wenn ich das richtig verstehe, fungierte besagte IP als Mail Relay, oder?
Weiß denn jemand, ob das auf der Basis der CCU Hardware und …X-OS denkbar wäre? Hat die CCU einen SMTP Server an Bord?
Viele Grüße
Martin

Sorry, wenn ich diesen alten Eintrag wieder raushole.
Ich spiele mit dem Gedanken mir eine Wansview Cam zu kaufen und habe von einem Kollegen gehört die Cam würde „nach hause (China) telefonieren“. Von daher wäre es durchaus denkbar, dass hier die Cam als Mailrelay missbraucht wurde.

Konnte denn herausgefunden werden woran es lag?

Viele Grüße
Chris

Hallo Chris,
nein, da kam nichts mehr von der Telefónica, trotz mehrfacher Nachfrage. Möglicherweise war die IP zu jenem Zeitpunkt halt doch jemand anderem zugewiesen.
Die Wansviews melden meines Wissens die aktuelle zugewiesene IP an einen DNS-Service des Herstellers, damit man auch ohne weitere Konfiguration des Routers usw. von außen auf sie zugreifen kann. Ob ein Angreifer da irgendetwas als Mail Relay aufbohren kann, weiß ich nicht, klingt mir aber eher unwahrscheinlich.
Grüße
Martin

Es liegt doch an Dir Deinen Router so zu konfigurieren, dass nur Geräte ins Internet dürfen die das auch müssen. Wenn ein Gerät von Dir dafür nicht die entsprechende Freigabe in der Firewall hat dann passiert da auch nichts.

Abgesehen davon würde ich ein Gerät mit so zweifelhaftem Hintergund schlicht nicht kaufen. Es gibt genügend Anbieter die technisch sicher gleiches leisten und nicht im Verdacht stehen zweifelhafte Netzwerkaktivitäten zu entwickeln.