[GELÖST] Botnet mit RaspberryMatic 2.31.25.20180225 ?

[moosbueffel]

Hallo,

Ich kann die Meldungen zuverlässig reproduzieren, wenn ich mir über Pushover eine Nachricht senden lasse ! Bei einen anderen Dienst z.B. Telegram passiert nichts.
z.B. folgendes Skript ausführen, das mir eine Temperatur ausgibt und schon bekomme ich ne Warnung von der FritzBox.

var USER = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
var TOKEN = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
var stemp = dom.GetObject("BidCos-RF.JEQ0089410:1.TEMPERATURE").Value().ToString(1);
string nachricht = ("es sind JETZT "#stemp #" Grad Celsius am Haus");
dom.GetObject("CUxD.CUX2801001:1.CMD_EXEC").State("LD_LIBRARY_PATH=/usr/local/addons/cuxd /usr/local/addons/cuxd/curl -s -d token='"#TOKEN#"' -d user='"#USER#"' -d message='"#nachricht#"' -d priority=1 http://api.pushover.net/1/messages.json");

Kann das jemand nachvollziehen ?
Hermann

[LibertyX]

Also ich habe die folgenden AddOns

Und ich habe noch einen ioBroker

[torstenk]

Hallo,

ich kann das bestätigen. Die FritzBox scheint Verbindungsversuche zu PushOver als verdächtig einzustufen.

Ich habe heute die gleichen Meldungen bekommen, jedoch zeitgleich auf der RaspberryMatic und auf meinem MacBook. Ich hatte den Raspberry neu gestartet, was eine Push-Meldung auslöst. Auf dem MacBook habe ich den PushOver Client, was eine Verbindung (Abruf der empfangenen Meldung) ausgelöst hat. Daher hatte ich scheinbar die zwei Meldungen.

Muss jetzt mal AVM anschreiben, da diese Meldung bei jeder Verbindung kommt. Immerhin wird der Verbindungsversuch nicht blockiert...

Gruß,
Torsten

[LibertyX]

Ja ich kann das auch bestätigen, bei Aufruf der Pushover Weite erfolgt sofort diese Meldung

[henne2000]

Hallo liebe Leute,

ich habe heute morgen auch diese Meldung bekommen und ich kann Euch schon mal versichern, dass es nichts direkt mit Homematic zu tun hat.

Ich habe einen Raspberry und nutze diesen mit FHEM und bekomme die gleiche Meldung.

Wir müssen uns anders rantasten um das Problem einzugrenzen, denn ich gehe eher von einer False-Positive Meldung aus:

1. Nutzt Ihr alle die FB 7590 ?
2. Habt Ihr alle eine Laborfirmware von AVM drauf? Oder die freigebene offizielle Version?
3. Nutzt Ihr Pushover oder einen ähnlichen Dienst für Benachrichtigungen vom Raspberry?
4. Was ist sonst noch installiert an Diensten?

Fest steht, dass ich die Meldung vorher nie hatte und vor zwei Tagen die Laborfirmware drauf gemacht habe. Auf dem Raspberry habe ich seit längerer Zeit (einige Wochen) nichts geupdatet.

Hat einer von Euch seine Logs mal durchgeschaut?

Liebe Grüße

Hendrik

[LibertyX]

Es liegt an Pushover, der Aufruf der Seite erzeugt sofort diese Meldung.
Ich habe eine FB 7490 mit Labor FW 06.98-51928 und habe auch bereits AVM informiert.

[mar-fish]

Pushover klingt plausibel...

Bekomme beim Aufruf der Website vom PC auch die Meldung.
Und nachdem ich Raspberrymatic jetzt geupdatet habe kommt die Meldung fast Zeitgleich mit der Pushover-Nachricht, das die "CCU" neu gestartet wurde.

Puh, da scheint AVM nur etwas übers Ziel hinausgeschossen zu sein )

[mpcc]

hmmmmm

Ich habe das nicht, aber mich beschäftigt schon die Frage wer der Informationsgeber ist ?
Habt ihr alle der Fritzbox ein Update verpasst und diese hat jetzt eine interne Liste der Botnetze ? Sehr unwahrscheinlich .....

Wenn nicht, wen fragt dann die Fritzbox da im Hintergrund ob es sich bei der Adresse, die irgendein Gerät im Haushalt aufruft,
um ein Botnetz oder Gerät handelt ? Fragt sie die eigenen AVM Server ?

Und wer hat ihr das dann erlaubt , jede Adresse erst zu überprüfen ohne das ich es weiss ?

Vielleicht kann Jens dazu mehr sagen als echter IT'ler ...

[chibbez]

Hallo zusammen,

1) FritzBox 7490
2) ja, ich hab auch die Fritz LABOR-version: 6.98-51928
3) ja, ich nutze Pushover
4) raspberry-matic 2.29.23.20171216 mit "Programme drucken, CUxD, XML-API, CCU-Historian, Sonos-Player, E-Mail"

Und die Pushover-Meldungen kommen aber trotzdem auf meinem Handy an, da wird also glücklicherweise nichts blockiert.

Gruss chibbez

[ThomasBln]

Kann ich nur bestätigen! Habe die gleiche Meldung aus meiner FB 7590 seit heute morgen 04:42 Die Meldung kommt etwa alle 2,5 bis 3 Stunden. Auffällig ist, dass auch ich gerade gestern erstmalig die aktuelle Labor-Firmware auf der FB 7590 eingespielt hatte.