Fritzbox Warnung: Zugriff auf Botnet suppobox_dga_milk_net von Gerät raspberry

Begonnen von Manylion, 06 März 2018, 07:53:51

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

Manylion

06 März 2018, 07:53:51
Guten Morgen zusammen,

heute Morgen hat mich meine Fritzbox fröhlich mit einer Warnung begrüßt:
"Zugriff auf Botnet "suppobox_dga_milk_net" von Gerät raspberrypi erkannt!"
Diese Warnung kommt seit heute Morgen 02:17 Uhr etwa jede halbe Stunde.
Gestern Abend habe ich den Raspi und Fhem geupdated.
Hier ist diese Frage auch schon aufgetaucht:
https://homematic-forum.de/forum/viewtopic.php?f=65&t=42555
Ich habe keine Ahnung, was dieses "RaspberryMatic" ist. Jedenfalls habe ich es nicht wissentlich installiert.
Zusätzliche Info: auf meiner Fritte läuft die Laborversion 06.98-51928 BETA. Damit kann es aber eigentlich nix zu tun haben, da diese Version schon seit vorgestern drauf ist.
RasPi, CUL868, HM Rolläden und Lichtschalter, Z-Wave, FB7490, FRITZ!DECT Steckdosen und Heizung, AVR Pioneer1183 mit Onkyo-Modul, Tradfri, Sonoff, 360°IR WLAN GW, HM-WLAN-GW

meyomey

#1
06 März 2018, 08:14:56
Meine Fritzbox 7490 (FRITZ!OS: 06.98-51928 BETA) meldet heute morgen (7:00:01) ebenfalls:

Zugriff auf Botnet "suppobox_dga_milk_net" von Gerät raspberrypi erkannt!

Fhem wurde vorgestern upgedated.


herrmannj

#2
06 März 2018, 08:33:09
Wenn die FB sich so verhält ist das ein tolles feature (ich wusste nicht dass die das kann).

Technisch gesehen dürfte es sich um ein NIDS (Network intrusion detections system) handeln. Bedeutet das Verbindungen gegen eine Liste mit "known-bad" geprüft werden. Hier spielen jetzt mehrer Faktoren eine Rolle: "was" und "wie" wird geprüft und welche Qualität hat die "black-list".

Wie bei jeder Alarmanlage (nichts anderes ist ein NIDS) ergeben sich daraus richtige Alarme, verpasste Alarme und "falsche Alarme" (false positive).

Was Du jetzt tun musst: setze Dich mit AVM in Verbindung und schildere denen das. Gib ihnen die Infos (Qualität. Nicht Quantität) damit die das prüfen können zusammen mit der Aussage das Du davon ausgest das es sich um einen "false positive" handelt. Schreib ihnen das Du fhem auf einem raspi benutzt.

Im Idealfall bist Du auch in der Lage denen zu sagen welche Verbindungen Dein fhem (ein Standardfhem gibt es nicht) aufbaut. Wenn nicht ist auch gut, dann wird AVM sich schon was einfallen lassen das zu untersuchen.

Alles in allem: toll das AVM das einbaut.

vg
joerg

corneliusweiss

#3
06 März 2018, 15:40:06
Habe die gleichen Meldungen. GGF. ist das ein neues Feature mit der Fritz-Labor Firmware? Habt ihr die auch?

Ich habe sowohl chkrootkit als auch rkhunter ohne Befunde durchlaufen lassen. rkhunter hab ich sogar per wget von den Projektseiten runtergelassen und die md5 summe verglichen - Wenn das ein rootkit austricksen kann ist es wirklich gut und darf bleiben  ;D

Hat schon jemand bei Fritz bescheid gesagt? Ich habe die Funktion jetzt bei mir abgeschaltet.

henne2000

#4
06 März 2018, 15:57:16
Ich denke es ist ein false positive der neuen Fritz Laborfirmware.

Habt Ihr auch die Labor drauf?

Hatte auch die Meldung heute morgen zum ersten mal - seit dem 4x.

In einem anderen FORUM wird die Meldung mit "Pushover" als Dienst auf dem Raspberry in Zusammenhang gebracht.

Habt Ihr auch Pushover konfiguriert?

DerStefan

#6
06 März 2018, 18:00:12 Letzte Bearbeitung: 06 März 2018, 18:04:13 von DerStefan
ich denke auch, dass es ein false positive ist.

Ich habe kein Pushover, bei mir läuft FHEM auf einer Ubuntu VM zusammen mit einer älteren Version der HA Bridge (3.5.1).

FB ist eine 7590 auch mit der aktuellen FRITZ!OS: 06.98-51929 BETA

Gibt es evtl. schon Feedback von AVM?

tugsi

#7
06 März 2018, 18:49:28
Dies kommt definitiv vom Pushover-Dienst.
Ist reproduzierbar.
Wenn ich über FHEM eine Message losschicke, bimmelt mein Postfach, weil sowohl der Raspberry, wie mein Handy und auch mein Laptop angeblich ein BOTNET haben ;-)
Die FritzBox bietet ja einen netten Paketmitschnitt an, den man dann im Wireshark anschauen kann.
Man sieht, wie die Pushover-API angesprochen wird über 108.59.13.232 und danach geht das versenden der Mails los.
Ich habe AVM ein Feedback geschickt mit der Info zur IP bzw den IPs ( https://pushover.net/faq#technical-ips ) .

Fritz-OS ist  06.98-51928 BETA

In der Box unter Internet -> Filter -> Listen
gibt es jetzt den Punkt: Verbindungsversuche zu verdächtigen Zielen
Dieser verursacht das "Problem".
In der Neues/Verbesserungen Auflistung von AVM ist dieser Dienst leider nirgendwo benannt.

An sich ein guter Einfall, aber es ist mir nicht klar, woher er seine Blacklist bezieht bzw wie er es auswertet.

Also entweder damit leben oder die Erkennung ausschalten und warten bis AVM dies ausbessert :-)

herrmannj

#8
06 März 2018, 20:00:05
Und wichtig: AVM _weiterhin_ feedback geben damit die Listen verbessert werden können. Das feature welches AVM damit einführt ist sehr lobenswert. Das die Datenbasis (black-list) nicht von Null auf perfekt sein kann ist ja logisch. Ein möglicher Grund könnte lauten das AVM die IP Adressen prüft. Wenn auf der IP verschiedenen Server liegen oder lagen (normal) kann so ein "false-positive" durchaus eintreten. Dann muss eben nachgearbeitet werden - und dafür ist das feedback wichtig.

Fritz!Maxi

#9
06 März 2018, 20:51:40
Zitat von: tugsi am 06 März 2018, 18:49:28
Dies kommt definitiv vom Pushover-Dienst.
Ist reproduzierbar.
...
Bei mir hatte sich die FritzBox (06.98-51288 BETA, schon ein paar Tage älter) heute erstmalig, aber mehrfach, über mein iPhone beschwert. Ich dem Hinweis auf Pushover hier habe ich dann am iPhone in der Pushover App die Ansicht der Meldungen aktualisiert. Darauf kam sofort die Warnmelung bezüglich des Zugriffs auf ein Botnetz. Von daher kann ich auch bestätigen das Pushover 'der Schuldige' ist.
FHEM im Debian Container uaf QNAP, diverse Homematic Komponenten
Drucken
Nach oben Seiten1
Benutzer-Aktionen