Grüß Gott,
kurze Frage, ob das jemand hier bestätigen kann:
Mein MQTT-Server hat gestern folgendes Gerät gefunden AvastHNS und ein Log dazu autocreated:
2022-05-19_23:14:54 MQTT2_AvastHNS mqtt-publish-test: AVAST-HNS-SCAN-PROBE
2022-05-19_23:14:54 MQTT2_AvastHNS status: 0
2022-05-20_12:22:44 MQTT2_AvastHNS mqtt-publish-test: AVAST-HNS-SCAN-PROBE
2022-05-20_12:22:44 MQTT2_AvastHNS status: 0
Sehe ich das richtig, dasss das ein neues Feature vom Avast ist und ich mir keine Sorgen machen muss?
Bei google finde ich dazu (noch) nix.
Auf dem PC vom Sohnemann läuft tatsächlich ein Avast und es scheint zeitlich mit einem "Netzwerkscan" zusammenzuhängen.
Bitte keine Diskussion Sinn/Unsinn Virenscanner und/oder Marke, Danke
ZitatMein MQTT-Server hat gestern folgendes Gerät gefunden ...
Das ist Ansichtssache, Avast haette wahrscheinlich gesagt, dass Avast den Server gefunden hat.
Vmtl. bist Du jetzt Nr 32001 (https://press.avast.com/de-de/avast-deckt-auf-mqtt).
Kannst Du bitte uns zeigen, was dieser Server abonniert (aka subscribed) ?
Wenn es stoert, dann kann man den MQTT2_SERVER mit einem Passwort schuetzen.
Nun ja, Avast sagt gar nix zu dem Server, auf dem FHEM und der MQTT-Server laufen, aber mein Drucker hat ein unsicheres FTP-Passwort.
Den Artikel hatte ich gefunden, aber da geht es ja darum, dass Avast herausgefunden hat, dass MQTT-Server offen im WWW stehen.
Bei mir ist es ja ein "Angriff" von innen, bzw. ich fand nichts darüber, dass der Avast jetzt auch nach MQTT Geräten/Servern sucht und diese scannt.
So wurde der Scan als Gerät in FHEM per autocreate anfgelegt:
Internals:
CFGFN
CID AvastHNS
DEF AvastHNS
FUUID 6286b34e-f33f-19fe-7736-99a21ea25386e551
IODev myMQTT2_SRV
LASTInputDev myMQTT2_SRV
MSGCNT 2
NAME MQTT2_AvastHNS
NR 3171
STATE ???
TYPE MQTT2_DEVICE
myMQTT2_SRV_CONN myMQTT2_SRV_192.168.168.60_61262
myMQTT2_SRV_MSGCNT 2
myMQTT2_SRV_TIME 2022-05-20 12:22:44
READINGS:
2022-05-19 23:14:54 IODev myMQTT2_SRV
2022-05-20 12:22:44 mqtt-publish-test AVAST-HNS-SCAN-PROBE
2022-05-20 12:22:44 status 0
2022-05-19 23:14:54 subscriptions # $SYS/# avast/hns/mqtt-publish-test stat/#
hmccu:
Attributes:
readingList AvastHNS:avast/hns/mqtt-publish-test:.* mqtt-publish-test
AvastHNS:cmnd/tasmotas/status:.* status
room MQTT2_DEVICE
Wenn ich den Server in FHEM mit Passwort versehe, müsste ich auch alle Clients (hauptsächlich Steckdosen) auch anfassen,
da müsste ich den Aufwand bewerten.
Danke fuer die Ausgabe.
- wegen # im subscriptions bekommt Avast alles an MQTT Daten.
- mit $SYS/# kann man bei mosquitto diverse Servereinstellungen rauskriegen (muss man extra bestellen, # reicht nicht), beim MQTT2_SERVER hat das keine Auswirkung.
- mit mqtt-publish-test wurde offensichtlich geprueft, ob man Schreibberechtigung hat. Je nach MQTT-Server ist das zusaetzlich zum # notwendig.
- welcher MQTT-Server auf stat/# reagiert (analog zu $SYS/#), weiss ich nicht.
Ob man intern ein Passwort vergeben sollte oder nicht, haengt mAn vom eingesetzten Software, den Mitbewohnern und dem eigenen Paranoia-Beduerfnis ab.
ZitatBei mir ist es ja ein "Angriff" von innen
Hast Du evt. owntracks im Einsatz? Mit einer Freigabe für den MQTT-Server?
Zitat von: DetlefR am 20 Mai 2022, 14:04:16
Hast Du evt. owntracks im Einsatz? Mit einer Freigabe für den MQTT-Server?
Nein, das sagt mir nichts, habs kurz gegoogelt, sagt mir immer noch nix.
Damit kann man seinen Standort per MQTT versenden.
Das erfordert aber, dass der MQTT Server aus dem Internet erreichbar ist.
War nur so eine Idee.
Gruß
Detlef