Kompromittierung meiner FHEM- / Homematic-Installation

Begonnen von mcbird, 09 Dezember 2017, 13:17:49

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

mcbird

09 Dezember 2017, 13:17:49 Letzte Bearbeitung: 09 Dezember 2017, 13:33:06 von mcbird
Hallo FHEM'ler,

ich sitze hier gerade vor einem Rätsel, denn heute Nacht um 4:25 Uhr wurde ohne mein Zutun die fhem.cfg auf meine Raspberry PI um folgenden Inhalt / folgende Devices erweitert.

Code Auswählen
define HM_00004C CUL_HM 00004C
attr HM_00004C IODev COC
attr HM_00004C autoReadReg 4_reqStatus
attr HM_00004C expert 2_raw
attr HM_00004C firmware 3.1
attr HM_00004C model unknown
attr HM_00004C room CUL_HM
attr HM_00004C serialNr 985
attr HM_00004C subType 1
define FileLog_HM_00004C FileLog /var/log/FHEM_HM_00004C-%m-%Y.log HM_00004C
attr FileLog_HM_00004C logtype text
attr FileLog_HM_00004C room CUL_HM
define HM_1027DC CUL_HM 1027DC
attr HM_1027DC IODev COC
attr HM_1027DC autoReadReg 4_reqStatus
attr HM_1027DC expert 2_raw
attr HM_1027DC firmware 0.0
attr HM_1027DC model HM-RC-12-SW
attr HM_1027DC room CUL_HM
attr HM_1027DC serialNr EQ0160985
attr HM_1027DC subType remote
attr HM_1027DC webCmd getConfig:clear msgEvents
define FileLog_HM_1027DC FileLog /var/log/FHEM_HM_1027DC-%m-%Y.log HM_1027DC
attr FileLog_HM_1027DC logtype text
attr FileLog_HM_1027DC room CUL_HM
define HM_1027DC_Btn_01 CUL_HM 1027DC01
attr HM_1027DC_Btn_01 model HM-RC-12-SW
attr HM_1027DC_Btn_01 peerIDs
define HM_1027DC_Btn_02 CUL_HM 1027DC02
attr HM_1027DC_Btn_02 model HM-RC-12-SW
define HM_1027DC_Btn_03 CUL_HM 1027DC03
attr HM_1027DC_Btn_03 model HM-RC-12-SW
define HM_1027DC_Btn_04 CUL_HM 1027DC04
attr HM_1027DC_Btn_04 model HM-RC-12-SW
define HM_1027DC_Btn_05 CUL_HM 1027DC05
attr HM_1027DC_Btn_05 model HM-RC-12-SW
define HM_1027DC_Btn_06 CUL_HM 1027DC06
attr HM_1027DC_Btn_06 model HM-RC-12-SW
define HM_1027DC_Btn_07 CUL_HM 1027DC07
attr HM_1027DC_Btn_07 model HM-RC-12-SW
define HM_1027DC_Btn_08 CUL_HM 1027DC08
attr HM_1027DC_Btn_08 model HM-RC-12-SW
define HM_1027DC_Btn_09 CUL_HM 1027DC09
attr HM_1027DC_Btn_09 model HM-RC-12-SW
define HM_1027DC_Btn_10 CUL_HM 1027DC0A
attr HM_1027DC_Btn_10 model HM-RC-12-SW
define HM_1027DC_Btn_11 CUL_HM 1027DC0B
attr HM_1027DC_Btn_11 model HM-RC-12-SW
define HM_1027DC_Btn_12 CUL_HM 1027DC0C
attr HM_1027DC_Btn_12 model HM-RC-12-SW
define HM_001027 CUL_HM 001027
attr HM_001027 IODev COC
attr HM_001027 autoReadReg 4_reqStatus
attr HM_001027 expert 2_raw
attr HM_001027 room CUL_HM
define FileLog_HM_001027 FileLog /var/log/FHEM_HM_001027-%m-%Y.log HM_001027
attr FileLog_HM_001027 logtype text
attr FileLog_HM_001027 room CUL_HM

Um 4:26 Uhr bekam ich eine Pushover-Message, dass mein Raspberry / FHEM neu gestartet wurde. Ich weiß leider nicht, ob der Neustart vor oder nach der Änderung der fhem-config.cfg stattfand. Der Neustart kann auch durch den aufgesetzten Watchdog erfolgt sein.

Nach dem Neustart um 4:26 Uhr lastete FHEM / Perl die CPU dauerhaft zu 100% aus. Ich habe diverse Tipps aus diesem Forum versucht um die CPU-Last wieder auf ein normales Niveau zu bekommen, aber letztendlich musste ich ein Backup-Image einspielen damit das System wieder unter normalen "load average" seine Arbeit verrichten konnte.

Mein FHEM ist nicht ohne VPN-Verbindung von Außerhalb zu erreichen und mein Fritzbox-Log zeigt keine VPN-Aktivitäten innerhalb der letzten Tage. Über WLAN-Anmeldungen durch neue Geräte werde ich sofort via Email / Pushover-Message von meiner Fritzbox informiert. Es gab keine neuen / unbekannten Geräte in meinem WLAN / LAN. Ich bin ein wenig verunsichert wie es zu der Änderung der fhem.cfg kommen konnte und ob ich meine Installation jetzt als kompromittiert betrachten sollte?

Wie kommt die mir unbekannten Devices in mein Setup / in die FHEM Konfiguration?

Was Verursachte nach dem Neustart dann auch noch die 100% CPU-Last durch FHEM / Perl?

Hat jemand eine Idee wie das alles passieren konnte und wie ich mein Setup zukünftig davor schützen kann?

Danke und Gruß,

Daniel

franky08

#2
09 Dezember 2017, 13:22:36
Hast du autocreate on? Abschalten
Debian Bookworm auf HUNSN / Debian Bullseye auf 2.ter HUNSN F2F an 2x RaspiB
mit FHEM aktuell
22Zoll ViewSonic als Infodislay (WVC)
3xHMLAN mit vccu, raspmatic_rpi3, HMIP-HCU1

franky08

#3
09 Dezember 2017, 13:23:16
Da war jemand schneller  ;)
Debian Bookworm auf HUNSN / Debian Bullseye auf 2.ter HUNSN F2F an 2x RaspiB
mit FHEM aktuell
22Zoll ViewSonic als Infodislay (WVC)
3xHMLAN mit vccu, raspmatic_rpi3, HMIP-HCU1

mcbird

#4
09 Dezember 2017, 13:25:00
Ja, Autocreate ist aktiv! Aber ohne aktiven Pairing-Modus sollten doch keine neuen Homematic Devices angelernt / angelegt werden?

Otto123

#5
09 Dezember 2017, 13:44:37
Hi,

durch die Anlermessage der HM Geräte wird schon mal das Gerät angelegt. Dazu braucht sich die Zentrale nicht im Anlernmodus zu befinden. Damit ist dass Gerät nicht angelernt!

Also hat jemand in deiner Umgebung bei einem HM gerät den Anlernmodus aktiviert.

Gruß Otto
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

mcbird

#6
09 Dezember 2017, 13:52:53
Also Autocreate abschalten und gut ist ... richtig?

Danke und Gruß,

Daniel

Otto123

#7
09 Dezember 2017, 15:40:46
Oder einfach zuschauen was Dien Nachbar mit seinen Geräten tut.

Wichtiger wäre mir an Deiner Stelle zu prüfen warum dein FHEM dabei neu startet und mit 100% läuft!
Das liegt sicher nicht an autocreate und der Anlernmessage von Deinem Nachbarn.


Gruß Otto
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz
Drucken
Nach oben Seiten1
Benutzer-Aktionen