MQTT und Avast

Begonnen von JamBay, 20 Mai 2022, 12:35:44

Vorheriges Thema - Nächstes Thema

JamBay

Grüß Gott,
kurze Frage, ob das jemand hier bestätigen kann:
Mein MQTT-Server hat gestern folgendes Gerät gefunden AvastHNS und ein Log dazu autocreated:
2022-05-19_23:14:54 MQTT2_AvastHNS mqtt-publish-test: AVAST-HNS-SCAN-PROBE
2022-05-19_23:14:54 MQTT2_AvastHNS status: 0
2022-05-20_12:22:44 MQTT2_AvastHNS mqtt-publish-test: AVAST-HNS-SCAN-PROBE
2022-05-20_12:22:44 MQTT2_AvastHNS status: 0

Sehe ich das richtig, dasss das ein neues Feature vom Avast ist und ich mir keine Sorgen machen muss?
Bei google finde ich dazu (noch) nix.

Auf dem PC vom Sohnemann läuft tatsächlich ein Avast und es scheint zeitlich mit einem "Netzwerkscan" zusammenzuhängen.
Bitte keine Diskussion Sinn/Unsinn Virenscanner und/oder Marke, Danke

rudolfkoenig

ZitatMein MQTT-Server hat gestern folgendes Gerät gefunden ...
Das ist Ansichtssache, Avast haette wahrscheinlich gesagt, dass Avast den Server gefunden hat.
Vmtl. bist Du jetzt Nr 32001 (https://press.avast.com/de-de/avast-deckt-auf-mqtt).
Kannst Du bitte uns zeigen, was dieser Server abonniert (aka subscribed) ?

Wenn es stoert, dann kann man  den MQTT2_SERVER mit einem Passwort schuetzen.

JamBay

Nun ja, Avast sagt gar nix zu dem Server, auf dem FHEM und der MQTT-Server laufen, aber mein Drucker hat ein unsicheres FTP-Passwort.
Den Artikel hatte ich gefunden, aber da geht es ja darum, dass Avast herausgefunden hat, dass MQTT-Server offen im WWW stehen.
Bei mir ist es ja ein "Angriff" von innen, bzw. ich fand nichts darüber, dass der Avast jetzt auch nach MQTT Geräten/Servern sucht und diese scannt.
So wurde der Scan als Gerät in FHEM per autocreate anfgelegt:
Internals:
   CFGFN     
   CID        AvastHNS
   DEF        AvastHNS
   FUUID      6286b34e-f33f-19fe-7736-99a21ea25386e551
   IODev      myMQTT2_SRV
   LASTInputDev myMQTT2_SRV
   MSGCNT     2
   NAME       MQTT2_AvastHNS
   NR         3171
   STATE      ???
   TYPE       MQTT2_DEVICE
   myMQTT2_SRV_CONN myMQTT2_SRV_192.168.168.60_61262
   myMQTT2_SRV_MSGCNT 2
   myMQTT2_SRV_TIME 2022-05-20 12:22:44
   READINGS:
     2022-05-19 23:14:54   IODev           myMQTT2_SRV
     2022-05-20 12:22:44   mqtt-publish-test AVAST-HNS-SCAN-PROBE
     2022-05-20 12:22:44   status          0
     2022-05-19 23:14:54   subscriptions   # $SYS/# avast/hns/mqtt-publish-test stat/#
   hmccu:
Attributes:
   readingList AvastHNS:avast/hns/mqtt-publish-test:.* mqtt-publish-test
AvastHNS:cmnd/tasmotas/status:.* status
   room       MQTT2_DEVICE

Wenn ich den Server in FHEM mit Passwort versehe, müsste ich auch alle Clients (hauptsächlich Steckdosen) auch anfassen,
da müsste ich den Aufwand bewerten.

rudolfkoenig

Danke fuer die Ausgabe.
- wegen # im subscriptions bekommt Avast alles an MQTT Daten.
- mit $SYS/# kann man bei mosquitto diverse Servereinstellungen rauskriegen (muss man extra bestellen, # reicht nicht), beim MQTT2_SERVER hat das keine Auswirkung.
- mit mqtt-publish-test wurde offensichtlich geprueft, ob man Schreibberechtigung hat. Je nach MQTT-Server ist das zusaetzlich zum # notwendig.
- welcher MQTT-Server auf stat/# reagiert (analog zu $SYS/#), weiss ich nicht.

Ob man intern ein Passwort vergeben sollte oder nicht, haengt mAn vom eingesetzten Software, den Mitbewohnern  und dem eigenen Paranoia-Beduerfnis ab.

DetlefR

ZitatBei mir ist es ja ein "Angriff" von innen

Hast Du evt. owntracks im Einsatz? Mit einer Freigabe für den MQTT-Server?

JamBay

Zitat von: DetlefR am 20 Mai 2022, 14:04:16
Hast Du evt. owntracks im Einsatz? Mit einer Freigabe für den MQTT-Server?
Nein, das sagt mir nichts, habs kurz gegoogelt, sagt mir immer noch nix.

DetlefR

Damit kann man seinen Standort per MQTT versenden.
Das erfordert aber, dass der MQTT Server aus dem Internet erreichbar ist.

War nur so eine Idee.

Gruß
Detlef