Mysteriöser Datenverbrauch

    Hallo an alle, dies ist eine etwas komplizierte Geschichte. Also bitte genau lesen, um Rückfragen zu vermeiden.


    Ich habe mit congstar Homespot 30 flex am 7. April 2024 angefangen, 50GB Daten sind da inbegriffen. Am 24. April verließ ich Deutschland und schaltete den Tarif auf Stand-by. Super Sache! Vor dem Umschalten hatte ich laut congstar App ca. 30GB der 50 GB verbraucht. In den 17 Tagen waren das ca. 2 GB am Tag, sehr plausibel, mit ca. einer Stunde "Fernsehen", genauer gesagt Live-TV der dw.com. Nach dem 25. April 2024 stand dann nur noch 1 GB Daten zur Verfügung, kein Problem, denn ich war ja nicht zu Hause. Laut congstar App waren immer ca. 1 GB Volumen verbleibend. Ist klar, denn die Fritz!Box verbraucht selbst keine Daten und das dahinterhängende Raspberry Pi auch nicht. Soweit so gut.


    Dann eines Tages war das 1GB Volumen schlagartig weg. Hat mich nicht groß gekümmert, denn ich war ja nicht zu Hause, und der Fernzugriff auf die Fritz!Box mag langsamer gewesen sein. Beachte, dass ich eine APN benutze, die eine von außen erreichbare IP-Adresse zugeordnet. Wer hatte diese Daten gefressen? Gleichzeitig sag ich in den Ereignissen der Fritz!Box viele Einträge wie diesen:

    Anmeldung des Benutzers [Benutzername] an der FRITZ!Box-Benutzeroberfläche von IP-Adresse [IP-Adresse] gescheitert (falsches Kennwort).


    Die Geschichte geht weiter. Gestern habe ich den Tarif wieder von Stand-By auf 30 flex mit 50GB Daten geändert. Das wurde um Mitternacht heute effektiv. Als ich per App um 11:00 Uhr geguckt habe, waren 2GB bereits verbraucht, um 16:00 Uhr 3GB, obwohl ich noch nicht einmal zu Hause angekommen war, ich selbst also absolut null Daten verbraucht habe. Und jetzt kommt der Knaller. Eben gucke ich in der App nach, und dort sehe ich, dann offenbar in der Stand-By-Zeit nach dem verschwinden des ersten 1GB und damit der Geschwindigkeitsreduktion noch 20GB mit reduzierter Geschwindigkeit verbraucht wurden. In meiner vierwöchigen Abwesenheit also insgesamt 21GB.


    Tja, wer hat hier eine Meinung? Meine Meinung ist, dass die Leute, die versucht haben, Zugriff auf die Fritz!Box zu erhalten, wohl die Login-Seite hunderttausende von Malen abgerufen haben müssen. WLAN war übrigens abgeschaltet, so dass es auch keine lokalen Mitbenutzer gewesen sein können. Laut Fritz!Box war auch keiner angemeldet.


    Ich habe jetzt eine neue Fritz!Box bestellt, mit der man eingehende Verbindungen nach IP-Adresse blockieren kann, vielleicht hört der Spuk jetzt auf, den der Angriff kam immer von derselben Adresse: 91.217.249.*

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Oliver () aus folgendem Grund:
    IP zensiert

    Hey jorgk3,

    wir können in keinem Fall nachvollziehen, wofür dein Datenvolumen verbraucht wurde. Das müsstest du selber tracken. 21 GB ungewollt in 4 Wochen ist aber schon sehr viel.

    Mach doch mal einen IP-Lookup - ich sehe da Frankfurt.

    Laut System wurden um April 28,1 GB verbrauch.

    Ich kann dir da tatsächlich leider nicht weiter helfen. Je nach dem welches System du nutzt, solltest du auch mal Tracking-Tools ausprobieren um den Datenverbrauch zu kontrollieren. Denkbar wären auch Hintergrundaktivitäten oder Updates - aber bei der Menge an Daten eher unwahrscheinlich - vorallem wenn du alles abgestellt hast.

    Vielleicht hat ja noch jemand eine Idee?
    Ich empfehle dir zunächst, alle Passwörter zu ändern, und den Zugriff von außen ersteinmal zu deaktivieren um zu sehen, was sich ändert.

    Gruß

    Oliver

    11871-congstarhilfe4-pngIch bin hier - um dir zu helfen!
    Damit ich auf dein Kundenkonto zugreifen darf, trage bitte deine Daten in dein Forenprofil ein.
    Gut zu wissen: Allgemeine Themen | Tarif- & Produktberatung | Homespot-Tarife | DSL & Festnetz | Handys
    Schau mal rein: Thema der Woche | Created | Facebook | Twitter | Instagram | YouTube

    Hallo jorgk3 ,


    In der FRITZ!Box im Online-Zähler nachschauen wie viel Datenvolumen im letzten Monat und aktuellen Monat verbraucht wurde. Sollte ja dann mit dem Volumen von Congstar übereinstimmen wenn es wirklich nur die Admin Login Seite war.


    Das wären dann sehr viele Zugriffe auf die FRITZ!Box Login Seite gewesen bei dem verbrauchten Volumen da die Login Seite ja nicht groß ist.


    Den öffentlichen Administrator Zugang in der FRITZ!Box auf jeden Fall deaktivieren wenn du die Box mit öffentlicher IP weiter betreiben möchtest. Nur über VPN einloggen um auf die Administration zuzugreifen.


    Grüße

    Sammelantwort:


    IP-Lookup: Ja, Frankfurt, aber expressvpn.com. Kann also per VPN von sonst woher kommen.


    Im April war die Welt noch in Ordnung, die ca. 30GB habe ich selbst verbraucht, 20GB blieben vor Umstieg auf Stand-by. Wie ich schrieb: Auch das 1GB von Stand-by blieb einige Tage/Wochen erhalten, dann was es auf einmal weg.


    21GB ungewollt ist sehr ärgerlich, vielleicht schmeist mich congstar auch raus, denn so war das sicher nicht gedacht, 1GB bezahlen und 21GB benutzen, wenn auch langsam. Ich hatte schon an einen Fritz!Box-Update gedacht, aber da war keiner. Den Zugriff von außen habe ich abgestellt, brauche ich nicht solange ich selbst hier bin.


    Also, das Fritz!Box-Volumen auf diesem alten Modell ist ziemlich nutzlos. Für Vormonat (April) werden 23GB angezeigt, für den aktuellen Monat (Mai) 31GB, gestern und heute 4GB. Ich weiß noch nicht einmal, ob da der Kalender-Monat gemeint ist, oder Monate nach letztem zurücksetzen. Naja, morgen kommen eine neue Fritz!Box von congstar.


    Zugriff-Login-Seite: Tja, wie groß ist diese denn? Wenn es 100KB sind, sind wir bei 10.000 Zugriffen bei 1GB. Keine Ahnung.


    "Nur über VPN einloggen um auf die Administration zuzugreifen" - wie geht das? VPN braucht auf dem PC einen VPN-Client, habe ich mal gemacht, um per VPN aus Deutschland zu surfen, während ich im Ausland war. Dass man damit an die Fritz!Box-Oberfläche kommt, ist mir nicht bekannt.


    Wie gesagt, neue Fritz!Box kommt, damit kann man eingehende Verbindungen nach IP sperren. Das alte Modell hat die Option nicht.

    Dass man damit an die Fritz!Box-Oberfläche kommt, ist mir nicht bekannt.

    aktuelle FritzBoxen bringen einen WireGuard Server mit. Lässt sich schnell und einfach mit wenigen Klicks einrichten und auch per QR Code fix am Handy einrichten. So Verwalte ich bspw auch Netzwerke bei weiter entfernten Eltern und Großeltern.

    AVM bringt ja auch eine eigene DynDNS Lösung via MyFRITZ! Mit.


    vielleicht schmeist mich congstar auch raus

    keine Sorge. Flatrate ist Flatrate. Da musst du keine Sorgen haben.

    OK, neue Fritz!Box 6850 LTE zum Knüllerpreis von 145€ bei congstar in Betrieb. Congstar muss wohl tausenden von den Dingern bei AVM kaufen und dann günstig an die Kunden abgeben.


    Sperrliste für 91.217.249.* eingerichtet, die richtige Syntax ist 91.217.249.0/24. OK.


    FRITZ!OS auf 7.58 ge-update-t, beim Update wurde WireGuard als neues Feature angepriesen. Muss ich mich mal einlesen.


    Danke für die Hilfe!

    Also, habe ein bisschen Zeit mit der Konfiguration verbracht. Ich habe sowohl den klassischen Fernzugriff als auch den VPN-Zugriff via Wireguard eingerichtet und getestet, beides geht. Testen geht so: PC mit anderem WiFi-Hotspot eines anderen (ausl.) Anbieters verbinden, Fritz!Box im Netz von congstar/Telekom. Altmodischerweise finde ich den klassischen Fernzugriff leichter, da man keine Zusatzsoftware und keine Tunnel-Datei braucht. Außerdem hat sich die Fritz!Box einen eher exotischen Port für den https-Zugriff ausgedacht.


    Gut, Ihr sagt mir sicher gleich, dass Wireguard besser ist, da die Sicherheit nicht nur auf username/password beruht? Weitere Kommentare?

    Verstehe, danke. VPN/Wireguard geht aber auch über einen geöffneten Port, den der Angreifer "abklopfen" kann, was auch Datenverkehr verursacht, oder?


    Ich habe übrigens bei der Installation der neuen Fritz!Box festgestellt, dass die alte drei ports weitergeleitet hat, einen für SSH, einen für video streaming von dem dahinterliegenden Raspberry Pi und einen für FTP, um im Zweifel an den Raspberry Pi ranzukommen. FTP war auf standard port 21 eingerichtet, was natürlich auch die Hacker anlockt. Das habe ich jetzt geändert.


    Nachdem ich den Vertrag in eine paar Wochen wieder auf Stand-by geschaltet haben werde, werde ich sehen, ob es mit dem neuen besseren Setup noch zu mysteriösem Datenverbrauch kommt. Ich sehe gerade, dass man "mysteriös" mit "y" schreibt, zu spät, dass Thema jetzt zu bearbeiten.

  • Flosse08

    Hat den Titel des Themas von „Misteriöser Datenverbrauch“ zu „Mysteriöser Datenverbrauch“ geändert.

    So hier bin ich wieder in Ausland. Seit heute Mitternacht bin ich wieder auf Homespot Standby mit 1 GB Datenvolumen.


    Laut Congstar App sind noch 926 MB vorhanden, es wurden also 74 MB verbraucht, laut Fritz!Box sind es:

    gesamt: 115, gesendet: 108, emfangen: 7. OK, Da sind zwei Logons mit Wireguard drin, aber heute im Laufe des Tages ging es laut Congstar App von 998 MB vorhanden heute um 9:20 auf besagte 926 MB um 19:53. 74 MB in einem Zeitraum, in dem eigentlich keiner die Fritz!Box benutzt hat, außer das Raspberry Pi, das ab und zu ein IMAP-Konto abruft und einmal am Tag einen Statusbericht schickt, der auch nicht 7 MB groß ist.


    Keine Hack-Attacken im Log zu sehen.


    Hat jemand eine Idee, wie man das weiter diagnostizieren kann?


    Fernzugriff und Wireguard VPN sind angeschaltet.

    OK, ich habe den Fernzugang jetzt abgeschaltet (Zugang also nur noch über Wireguard), dazu habe ich die Portfreigabe für FTP abgeschaltet. Mal sehen, was jetzt passiert. Laut Fritz!Box und congstar App wurden an einem Tag ca. 100 MB von der Fritz!Box versendet. Ich frage mich nur an wen. Kann natürlich sein, dass die Hacker immer noch den Bildschirm zum Einloggen abrufen.

  • Guten Morgen jorgk3,


    für uns bisschen tricky. Wir können leider generell nicht einsehen wofür Datenvolumen verbraucht wird und vom Netzbetreiber nur der tatsächliche Verbrauch getracked wird.


    Vielleicht haben unsere VIPs noch eine Idee oder jemand hat damit schon mal Erfahrung gemacht.


    Liebe Grüße Stephanie

    11871-congstarhilfe4-pngIch bin hier - um dir zu helfen!
    Damit ich auf dein Kundenkonto zugreifen darf, trage bitte deine Daten in dein Forenprofil ein.
    Gut zu wissen: Allgemeine Themen | Tarif- & Produktberatung | Homespot-Tarife | DSL & Festnetz | Handys
    Schau mal rein: Thema der Woche | Created | Facebook | Twitter | Instagram | YouTube

    Also, wie ich schon schrieb, hinter dem Router hängt ein Raspberry Pi mit einer Kamera. Der Video-Stream ist von außen ohne Passwort für jeden abrufbar, der die IP-Adresse und den Port kennt. Leider ist die Installation des Raspberry Pi mit Software "motion" so alt, dass motion in der alten Version die Direktiven stream_auth_method und stream_authentication noch nicht kennt.


    Über Nacht wurden laut Fritz!Box ca. 60 MB verschickt, laut congstar App waren es 50 MB. Ich kann die Freigabe für den Video-Port natürlich schließen, dann sehe ich aber nichts mehr. Ich werde als ersten Schritt mal einen anderen Port verwenden.

    Danke für den Kommentar, in diese Richtung hatte ich auch schon gedacht. Jetzt habe ich erst einmal den Standard-Video-Port auf einen Nicht-Standard-Port geändert, mal sehen, was passiert. Offensichtlich muss der Raspberry Pi mal ge-update-t werden, das Ding läuft seit 2013 non-stop.


    Ich rufe das Video auch vom Handy ab, wo ich soweit kein Wireguard installiert habe, denn Zugang von der Sicherheitskamera benötige ich, auch wenn ich nicht vor dem PC sitze.

    Meine Strategie ist diese:

    1) Wenn der Spuk mit dem Nicht-Standard-Port verschwindet, lasse ich es so.

    2) Wenn nicht, schließe ich mal den Video-Port übernacht und gucke, ob das was bringt. Das würde bestätigen, dass es wirklich am Video liegt. Nachts gucke ich nicht auf die Kamera.

    3) Wenn 1) nichts gebracht hat und 2) die Bestätigung gebracht hat, dann gucke ich mir das mir Wireguard an.


    Sounds like a plan ;) ?

    Update:

    1) Mit der Kamera auf einem Nicht-Standard-Port wurde der Datenverbrauch in den letzten 12 Stunden auf 8 MB reduziert. Das sind wahrscheinlich andere Aktivitäten des Raspberry Pis. Sagen wir 20 MB am Tag, dann sind es im Monat 600 MB. Das geht.

    2) Video-Port abschalten: Das mache ich noch testweise über Nacht.

    3) Leider komme ich per Wireguard nicht an die interne Adresse der Raspberry Pi: 192.168.1.3:<video port>. Tipps nehme ich gerne entgegen.


    Außerdem habe ich mal geguckt, ob der in motion integrierte web server die Anfragen an dem video stream irgendwie loggt. Fehlanzeige, man kann also nicht sehen, wer auf den video stream zugegriffen hat. Ich muss mal den Raspi updaten, sicher ist das in neueren Versionen besser.