Attack in logfiles

onkel-tobi · 14 Dezember 2018, 08:02:20

Hallo zusammen,

ich bin etwas irritiert über meine logfiles (serial und HM Nr. durchgängig geändert) von heute Nacht:

2018.12.14 00:31:57 2: CUL_HM HM_56F6C1 attack:01200DB856F6C1020E,01200DB856F6C100040000000000:156F71C56F6C1010556F71C0104
2018.12.14 00:31:57 2: CUL_HM HM_56F6C1 attack:01200DB856F6C1020E,01200DB856F6C100040000000000:156F71C56F6C1010556F71C0104
2018.12.14 00:31:57 2: CUL_HM HM_56F6C1 attack:01200DB856F6C1020E,01200DB856F6C100040000000000:156F71C56F6C1010556F71C0104
2018.12.14 00:31:59 0: CUL_HM_assignIO HM_56F71C AssignIoPort used
2018.12.14 00:31:59 3: CUL_HM set HM_56F71C_Sw_01 statusRequest
2018.12.14 00:32:00 3: CUL_HM set HM_56F71C_Sw_02 statusRequest
2018.12.14 00:32:20 3: CUL_HM set HM_56F71C getConfig
2018.12.14 00:55:52 3: CUL_HM set HM_56F6C1_Sw_02 statusRequest
2018.12.14 01:00:56 3: CUL_HM set HM_56F71C getConfig
2018.12.14 01:01:20 3: CUL_HM set HM_56F6C1 getConfig
2018.12.14 01:02:21 3: CUL_HM set HM_56F71C_Sw_02 statusRequest
2018.12.14 01:26:13 3: CUL_HM set HM_56F6C1_Sw_02 statusRequest
2018.12.14 01:29:37 3: CUL_HM set HM_56F6C1 getConfig
2018.12.14 01:32:42 3: CUL_HM set HM_56F71C_Sw_02 statusRequest
2018.12.14 01:56:34 3: CUL_HM set HM_56F6C1_Sw_02 statusRequest
2018.12.14 02:03:03 3: CUL_HM set HM_56F71C_Sw_02 statusRequest

list 56F6C1:

Code Auswählen

Internals:
   CFGFN      
   DEF        56F6C1
   HMLAN_AZ_MSGCNT 37
   HMLAN_AZ_RAWMSG E56F6C1,0000,12AE0881,FF,FFA9,00841056F6C100000006010000
   HMLAN_AZ_RSSI -87
   HMLAN_AZ_TIME 2018-12-14 01:29:33
   IODev      hmusb
   LASTInputDev HMLAN_AZ
   MSGCNT     44
   NAME       HM_56F6C1
   NOTIFYDEV  global
   NR         108963
   STATE      MISSING ACK
   TYPE       CUL_HM
   channel_01 HM_56F6C1_Sw_01
   channel_02 HM_56F6C1_Sw_02
   hmusb_MSGCNT 7
   hmusb_RAWMSG E56F6C1,0000,D41A532B,FF,FF9A,05841056F6C10000000601C800
   hmusb_RSSI -102
   hmusb_TIME 2018-12-14 01:01:21
   lastMsg    No:00 - t:10 s:56F6C1 d:000000 06010000
   protCmdDel 45
   protErrIoAttack 3 last_at:2018-12-14 00:31:57
   protErrIoId_56F71C 3 last_at:2018-12-14 00:31:57
   protLastRcv 2018-12-14 01:29:33
   protNack   1 last_at:2018-12-14 00:31:57
   protRcv    35 last_at:2018-12-14 01:29:33
   protResnd  84 last_at:2018-12-14 07:30:41
   protResndFail 28 last_at:2018-12-14 07:30:45
   protSnd    28 last_at:2018-12-14 07:30:27
   protState  CMDs_done_Errors:1
   rssi_at_HMLAN_AZ cnt:37 min:-97 max:-81 avg:-86.4 lst:-87 
   rssi_at_hmusb cnt:7 min:-105 max:-97 avg:-100.71 lst:-102 
   READINGS:
     2018-12-14 00:31:57   CommandAccepted no
     2018-12-14 00:46:21   D-firmware      2.8
     2018-12-14 00:46:21   D-serialNr      OEQ1234567
     2018-12-14 01:29:33   powerOn         2018-12-14 01:29:33
     2018-12-14 00:31:57   sabotageAttackId_ErrIoId_56F71C  cnt:3
     2018-12-14 00:31:57   sabotageAttack_ErrIoAttack cnt 3
     2018-12-14 07:30:45   state           MISSING ACK
     RegL_00.:
       VAL        
   helper:
     HM_CMDNR   13
     PONtest    0
     cSnd       01200DB856F6C1020E,01200DB856F6C1020E
     mId        0009
     regLst     ,0,1,3p
     rxType     1
     supp_Pair_Rep 0
     expert:
       def        1
       det        0
       raw        1
       tpl        0
     io:
       newChn     +56F6C1,00,01,00
       nextSend   1544747373.14578
       prefIO     
       rxt        0
       vccu       
       p:
         56F6C1
         00
         01
         00
     mRssi:
       mNo        00
       io:
         HMLAN_AZ:
           -87
           -87
         hmusb:
     prt:
       bErr       0
       sProc      0
     q:
       qReqConf   
       qReqStat   
     role:
       dev        1
       prs        1
     rssi:
       at_HMLAN_AZ:
         avg        -86.4054054054054
         cnt        37
         lst        -87
         max        -81
         min        -97
       at_hmusb:
         avg        -100.714285714286
         cnt        7
         lst        -102
         max        -97
         min        -105
     tmpl:
Attributes:
   IODev      hmusb
   autoReadReg 4_reqStatus
   expert     2_raw
   firmware   2.8
   model      HM-LC-SW2-FM
   room       CUL_HM
   serialNr   OEQ1234567
   subType    switch
   webCmd     getConfig:clear msgEvents

list 56F71C:

Code Auswählen

   Internals:
   CFGFN      
   DEF        56F71C
   HMLAN_AZ_MSGCNT 17
   HMLAN_AZ_RAWMSG E56F71C,0000,1294EDE6,FF,FFA4,06841056F71C0000000601C800
   HMLAN_AZ_RSSI -92
   HMLAN_AZ_TIME 2018-12-14 01:02:08
   IODev      hmusb
   LASTInputDev hmusb
   MSGCNT     30
   NAME       HM_56F71C
   NOTIFYDEV  global
   NR         109240
   STATE      MISSING ACK
   TYPE       CUL_HM
   channel_01 HM_56F71C_Sw_01
   channel_02 HM_56F71C_Sw_02
   hmusb_MSGCNT 13
   hmusb_RAWMSG E56F71C,0000,D41B0865,FF,FF9B,06841056F71C0000000601C800
   hmusb_RSSI -101
   hmusb_TIME 2018-12-14 01:02:08
   lastMsg    No:06 - t:10 s:56F71C d:000000 0601C800
   protCmdDel 26
   protErrIoId_65C5C1 1 last_at:2018-12-14 00:31:56
   protLastRcv 2018-12-14 01:02:08
   protNack   1 last_at:2018-12-14 00:31:56
   protRcv    14 last_at:2018-12-14 01:02:08
   protResnd  51 last_at:2018-12-14 07:37:11
   protResndFail 17 last_at:2018-12-14 07:37:16
   protSnd    17 last_at:2018-12-14 07:36:55
   protState  CMDs_done_Errors:1
   rssi_at_HMLAN_AZ cnt:17 min:-92 max:-84 avg:-90.35 lst:-92 
   rssi_at_hmusb cnt:13 min:-103 max:-99 avg:-101.07 lst:-101 
   READINGS:
     2018-12-14 00:31:56   CommandAccepted no
     2018-12-14 00:31:53   D-firmware      2.8
     2018-12-14 00:31:53   D-serialNr      OEQ2345678
     2018-12-14 01:00:52   powerOn         2018-12-14 01:00:52
     2018-12-14 00:31:56   sabotageAttackId_ErrIoId_65C5C1  cnt:1
     2018-12-14 07:37:16   state           MISSING ACK
     RegL_00.:
       VAL        
   helper:
     HM_CMDNR   20
     PONtest    0
     cSnd       01200DB856F71C020E,01200DB856F71C020E
     mId        0009
     regLst     ,0,1,3p
     rxType     1
     supp_Pair_Rep 0
     ack:
     expert:
       def        1
       det        0
       raw        1
       tpl        0
     io:
       newChn     +56F71C,00,01,00
       nextSend   1544745728.24498
       prefIO     
       rxt        0
       vccu       
       p:
         56F71C
         00
         01
         00
     mRssi:
       mNo        06
       io:
         HMLAN_AZ:
           -92
           -92
         hmusb:
           -99
           -99
     prt:
       bErr       0
       sProc      0
     q:
       qReqConf   
       qReqStat   
     role:
       dev        1
       prs        1
     rssi:
       at_HMLAN_AZ:
         avg        -90.3529411764706
         cnt        17
         lst        -92
         max        -84
         min        -92
       at_hmusb:
         avg        -101.076923076923
         cnt        13
         lst        -101
         max        -99
         min        -103
     tmpl:
Attributes:
   IODev      hmusb
   autoReadReg 4_reqStatus
   expert     2_raw
   firmware   2.8
   model      HM-LC-SW2-FM
   room       CUL_HM
   serialNr   OEQ2345678
   subType    switch
   webCmd     getConfig:clear msgEvents

Was ich nun überhaupt nicht verstehe ist, dass ich keinen HM-LC-SW2-FM im Einsatz habe?! Kann sich das jemand erklären?
Ich habe HM-LC-Sw1PBU-FM, HM-LC-Bl1PBU-FM und HM-Sen-MDIR-WM55 im Einsatz, die HM-LC-Sw1PBU-FM machen mir teilw. Ärger mit selbstständigem schalten, da habe ich schon 2 ausgebaut und aktuell noch einen installiert, den ich Nachts stromlos mache. Aber erstens ist das nicht das gleiche Modell und auch die Seriennummer und HM Nummer stimmen nicht überein...

Hat irgendwer von euch noch eine Idee? Es ist heute Nacht das erste Mal, dass das aufgetaucht ist. Vorgestern habe ich ein Update von FHEM auf rev. 17956 gemacht.

Danke & Gruß,
Tobi

Otto123 · 14 Dezember 2018, 09:07:21

Moin,

Du meinst beide Geräte gehören Dir nicht? Das erklärt zumindest den schlechten Funk:

Zitatrssi_at_HMLAN_AZ cnt:37 min:-97 max:-81 avg:-86.4 lst:-87
rssi_at_hmusb cnt:7 min:-105 max:-97 avg:-100.71 lst:-102

Die Geräte wurden dann offenbar vom Nachbarn angelernt und dein System hat sie mit angelegt?

Gruß Otto

frank · 14 Dezember 2018, 09:32:28

Zitatserial und HM Nr. durchgängig geändert

das ist schlecht und unnötig.

Zitateinen installiert, den ich Nachts stromlos mache

warum? das macht die geräte aber nicht wirklich robuster.

mit vccu wäre dir das vielleicht nicht so passiert.

greenBelt · 14 Dezember 2018, 09:35:35

Das heißt doch im Umkehrschluss dass zufällig beide die gleiche HM ID verwendet haben - oder?

MadMax-FHEM · 14 Dezember 2018, 09:38:57

Zitat von: greenBelt am 14 Dezember 2018, 09:35:35
Das heißt doch im Umkehrschluss dass zufällig beide die gleiche HM ID verwendet haben - oder?

Nein.
Angelegt wird es in fhem (soweit mur bekannt) sobald (anlern)messages empfangen werden und autocreate aktiv ist...

Steuern lassen sie sich nur, wenn (zufällig) die HMID gleich ist und kein AES (mit eigenem Schlüssel) aktiv ist...

EDIT: daher rührt (mMn) auch die häufige Fehlinterpretation, dass Sensoren "funktionieren" sich aber beispielsweise nicht peeren lassen. Fhem legt ein Sensorgerät an und weist die empfangenen Funktelegramme zu (z.B. Fenster auf/zu). Der Sensor "ignoriert" aber Peeringbefehle, da er die Zentrale nicht (an)erkennt: fehlendes Pairing (oder unvollständig)...

Gruß, Joachim

greenBelt · 14 Dezember 2018, 09:57:04

Hi Joachim, das bringt mich auf den Gedanken mich mit AES und VCCU bei meinen Modulen einmal mehr auseinander zu setzen.

Gruß, Klaus

MadMax-FHEM · 14 Dezember 2018, 10:00:21

Oder autocreate nur aktiv zu schalten, wenn du Geräte anlegen/angelegt haben willst (kommt ja nicht alle Tage vor, zumindest bei mir

), so mache ich das...

AES etc. mach ich, wenn ich merke, dass die Nachbarschaft smart wird...

Aktuell "beeinflusse" ich mich nur selbst: Testsystem - Hauptsystem

Gruß, Joachim

greenBelt · 14 Dezember 2018, 10:39:32

Unser Nachbar hat reichlich EnOcean verbaut. Die landen trotz ausgeschaltetem autocreate bei mir. Ich filter die weg und sammle die in einen nicht sichtbaren Bereich

onkel-tobi · 15 Dezember 2018, 09:37:38

Zitat von: Otto123 am 14 Dezember 2018, 09:07:21
Moin,

Du meinst beide Geräte gehören Dir nicht? Das erklärt zumindest den schlechten Funk:
Die Geräte wurden dann offenbar vom Nachbarn angelernt und dein System hat sie mit angelegt?

Gruß Otto

Ich denke, dass wäre eine Möglichkeit, wenn auch echt komisch aber nicht auszuschließen.

Ich nutze vccu mit einem hmlan und einem hm usb. Die hm ids und serial habe ich nur im log geändert und das durchgängig. Wieso das schlecht sein sollte verstehe ich nicht wirklich.

Autocreate ist halt standardmäßig aktiv gewesen, aber das werde ich dann evtl nun ändern.

Danke & Gruß,
Tobi

Gesendet von iPad mit Tapatalk

MadMax-FHEM · 15 Dezember 2018, 09:58:27

Zitat von: onkel-tobi am 15 Dezember 2018, 09:37:38
Die hm ids und serial habe ich nur im log geändert und das durchgängig. Wieso das schlecht sein sollte verstehe ich nicht wirklich.

Weil es sonst nicht möglich ist die evtl. geloggten Nachrichten richtig zu interpretieren bzw. können diese dann auch falsch interpretiert werden und in die falsche Richtung weisen...

Gruß, Joachim

onkel-tobi · 15 Dezember 2018, 10:05:05

Zitat von: MadMax-FHEM am 15 Dezember 2018, 09:58:27
Weil es sonst nicht möglich ist die evtl. geloggten Nachrichten richtig zu interpretieren bzw. können diese dann auch falsch interpretiert werden und in die falsche Richtung weisen...

Gruß, Joachim

Aber doch nicht, wenn ich per suchen und ersetzen den string entsprechend ersetze? Wie dem auch sei, es scheint ja nun eine plausible Erklärung zu geben.

Danke an alle und noch ein schönes WE!

Gesendet von iPad mit Tapatalk

MadMax-FHEM · 15 Dezember 2018, 10:19:32

Zitat von: onkel-tobi am 15 Dezember 2018, 10:05:05
Aber doch nicht, wenn ich per suchen und ersetzen den string entsprechend ersetze? Wie dem auch sei, es scheint ja nun eine plausible Erklärung zu geben.

Danke an alle und noch ein schönes WE!

Gesendet von iPad mit Tapatalk

Vielleicht nicht in deinem aktuellen Log.

Aber z.B. werden manchmal auch "Raw-Messages" protokolliert und da greift suchen/ersetzen dann wohl eher nicht und somit passt geloggte Nachricht und Logeintrag und list von Geräten nicht zusammen...

Gruß, Joachim

Otto123 · 15 Dezember 2018, 11:21:46

Zitat von: onkel-tobi am 15 Dezember 2018, 10:05:05
Aber doch nicht, wenn ich per suchen und ersetzen den string entsprechend ersetze? Wie dem auch sei, es scheint ja nun eine plausible Erklärung zu geben.

Danke an alle und noch ein schönes WE!

Passworter und Sicherheitsrelevante Informationen aus den Logs und Post zu entfernen und das zu kennzeichnen ist gut und richtig.

Seriennummern, hmIds und sowas sind nicht sicherheitsrelevant. Sie zu entfernen führt nur dazu, die Helfer zu verwirren und lenken schlimmstenfalls einfach nur vom eigentlichen Problem ab.

Gruß Otto

amenomade · 15 Dezember 2018, 20:10:22

ZitatSie zu entfernen führt nur dazu, die Helfer zu verwirren und lenken schlimmstenfalls einfach nur vom eigentlichen Problem ab.

Es sei denn, man passt wirklich ALLES (inkl. RAW Nachricthen, cSnd, usw) entsprechend an