Mysteriöser Datenverbrauch

Sammelantwort:

IP-Lookup: Ja, Frankfurt, aber expressvpn.com. Kann also per VPN von sonst woher kommen.

Im April war die Welt noch in Ordnung, die ca. 30GB habe ich selbst verbraucht, 20GB blieben vor Umstieg auf Stand-by. Wie ich schrieb: Auch das 1GB von Stand-by blieb einige Tage/Wochen erhalten, dann was es auf einmal weg.

21GB ungewollt ist sehr ärgerlich, vielleicht schmeist mich congstar auch raus, denn so war das sicher nicht gedacht, 1GB bezahlen und 21GB benutzen, wenn auch langsam. Ich hatte schon an einen Fritz!Box-Update gedacht, aber da war keiner. Den Zugriff von außen habe ich abgestellt, brauche ich nicht solange ich selbst hier bin.

Also, das Fritz!Box-Volumen auf diesem alten Modell ist ziemlich nutzlos. Für Vormonat (April) werden 23GB angezeigt, für den aktuellen Monat (Mai) 31GB, gestern und heute 4GB. Ich weiß noch nicht einmal, ob da der Kalender-Monat gemeint ist, oder Monate nach letztem zurücksetzen. Naja, morgen kommen eine neue Fritz!Box von congstar.

Zugriff-Login-Seite: Tja, wie groß ist diese denn? Wenn es 100KB sind, sind wir bei 10.000 Zugriffen bei 1GB. Keine Ahnung.

"Nur über VPN einloggen um auf die Administration zuzugreifen" - wie geht das? VPN braucht auf dem PC einen VPN-Client, habe ich mal gemacht, um per VPN aus Deutschland zu surfen, während ich im Ausland war. Dass man damit an die Fritz!Box-Oberfläche kommt, ist mir nicht bekannt.

Wie gesagt, neue Fritz!Box kommt, damit kann man eingehende Verbindungen nach IP sperren. Das alte Modell hat die Option nicht.

OK, neue Fritz!Box 6850 LTE zum Knüllerpreis von 145€ bei congstar in Betrieb. Congstar muss wohl tausenden von den Dingern bei AVM kaufen und dann günstig an die Kunden abgeben.

Sperrliste für 91.217.249.* eingerichtet, die richtige Syntax ist 91.217.249.0/24. OK.

FRITZ!OS auf 7.58 ge-update-t, beim Update wurde WireGuard als neues Feature angepriesen. Muss ich mich mal einlesen.

Danke für die Hilfe!

Also, habe ein bisschen Zeit mit der Konfiguration verbracht. Ich habe sowohl den klassischen Fernzugriff als auch den VPN-Zugriff via Wireguard eingerichtet und getestet, beides geht. Testen geht so: PC mit anderem WiFi-Hotspot eines anderen (ausl.) Anbieters verbinden, Fritz!Box im Netz von congstar/Telekom. Altmodischerweise finde ich den klassischen Fernzugriff leichter, da man keine Zusatzsoftware und keine Tunnel-Datei braucht. Außerdem hat sich die Fritz!Box einen eher exotischen Port für den https-Zugriff ausgedacht.

Gut, Ihr sagt mir sicher gleich, dass Wireguard besser ist, da die Sicherheit nicht nur auf username/password beruht? Weitere Kommentare?

Verstehe, danke. VPN/Wireguard geht aber auch über einen geöffneten Port, den der Angreifer "abklopfen" kann, was auch Datenverkehr verursacht, oder?

Ich habe übrigens bei der Installation der neuen Fritz!Box festgestellt, dass die alte drei ports weitergeleitet hat, einen für SSH, einen für video streaming von dem dahinterliegenden Raspberry Pi und einen für FTP, um im Zweifel an den Raspberry Pi ranzukommen. FTP war auf standard port 21 eingerichtet, was natürlich auch die Hacker anlockt. Das habe ich jetzt geändert.

Nachdem ich den Vertrag in eine paar Wochen wieder auf Stand-by geschaltet haben werde, werde ich sehen, ob es mit dem neuen besseren Setup noch zu mysteriösem Datenverbrauch kommt. Ich sehe gerade, dass man "mysteriös" mit "y" schreibt, zu spät, dass Thema jetzt zu bearbeiten.

So hier bin ich wieder in Ausland. Seit heute Mitternacht bin ich wieder auf Homespot Standby mit 1 GB Datenvolumen.

Laut Congstar App sind noch 926 MB vorhanden, es wurden also 74 MB verbraucht, laut Fritz!Box sind es:

gesamt: 115, gesendet: 108, emfangen: 7. OK, Da sind zwei Logons mit Wireguard drin, aber heute im Laufe des Tages ging es laut Congstar App von 998 MB vorhanden heute um 9:20 auf besagte 926 MB um 19:53. 74 MB in einem Zeitraum, in dem eigentlich keiner die Fritz!Box benutzt hat, außer das Raspberry Pi, das ab und zu ein IMAP-Konto abruft und einmal am Tag einen Statusbericht schickt, der auch nicht 7 MB groß ist.

Keine Hack-Attacken im Log zu sehen.

Hat jemand eine Idee, wie man das weiter diagnostizieren kann?

Fernzugriff und Wireguard VPN sind angeschaltet.

OK, ich habe den Fernzugang jetzt abgeschaltet (Zugang also nur noch über Wireguard), dazu habe ich die Portfreigabe für FTP abgeschaltet. Mal sehen, was jetzt passiert. Laut Fritz!Box und congstar App wurden an einem Tag ca. 100 MB von der Fritz!Box versendet. Ich frage mich nur an wen. Kann natürlich sein, dass die Hacker immer noch den Bildschirm zum Einloggen abrufen.

Also, wie ich schon schrieb, hinter dem Router hängt ein Raspberry Pi mit einer Kamera. Der Video-Stream ist von außen ohne Passwort für jeden abrufbar, der die IP-Adresse und den Port kennt. Leider ist die Installation des Raspberry Pi mit Software "motion" so alt, dass motion in der alten Version die Direktiven stream_auth_method und stream_authentication noch nicht kennt.

Über Nacht wurden laut Fritz!Box ca. 60 MB verschickt, laut congstar App waren es 50 MB. Ich kann die Freigabe für den Video-Port natürlich schließen, dann sehe ich aber nichts mehr. Ich werde als ersten Schritt mal einen anderen Port verwenden.

Danke für den Kommentar, in diese Richtung hatte ich auch schon gedacht. Jetzt habe ich erst einmal den Standard-Video-Port auf einen Nicht-Standard-Port geändert, mal sehen, was passiert. Offensichtlich muss der Raspberry Pi mal ge-update-t werden, das Ding läuft seit 2013 non-stop.

Ich rufe das Video auch vom Handy ab, wo ich soweit kein Wireguard installiert habe, denn Zugang von der Sicherheitskamera benötige ich, auch wenn ich nicht vor dem PC sitze.

Meine Strategie ist diese:

1) Wenn der Spuk mit dem Nicht-Standard-Port verschwindet, lasse ich es so.

2) Wenn nicht, schließe ich mal den Video-Port übernacht und gucke, ob das was bringt. Das würde bestätigen, dass es wirklich am Video liegt. Nachts gucke ich nicht auf die Kamera.

3) Wenn 1) nichts gebracht hat und 2) die Bestätigung gebracht hat, dann gucke ich mir das mir Wireguard an.

Sounds like a plan ?

Update:

1) Mit der Kamera auf einem Nicht-Standard-Port wurde der Datenverbrauch in den letzten 12 Stunden auf 8 MB reduziert. Das sind wahrscheinlich andere Aktivitäten des Raspberry Pis. Sagen wir 20 MB am Tag, dann sind es im Monat 600 MB. Das geht.

2) Video-Port abschalten: Das mache ich noch testweise über Nacht.

3) Leider komme ich per Wireguard nicht an die interne Adresse der Raspberry Pi: 192.168.1.3:<video port>. Tipps nehme ich gerne entgegen.

Außerdem habe ich mal geguckt, ob der in motion integrierte web server die Anfragen an dem video stream irgendwie loggt. Fehlanzeige, man kann also nicht sehen, wer auf den video stream zugegriffen hat. Ich muss mal den Raspi updaten, sicher ist das in neueren Versionen besser.

Noch zu 1): In den letzten zwei Tagen waren es 6 MB am Tag. Das bleibt also ganz klar unter 1 GB im Monat.