RE: Adapter Worx Landroid v3.x.x

@bananajoe sagte in Adapter Worx Landroid v3.x.x:

@armilar das passt zu der Annahme das nicht Worx sperrt sondern zuvor schon Cloudflare als Sicherheitsdienstleister
Bei mir wäre das schlecht - ich habe eine feste IP-Adresse ...

Der a.nel.cloudflare.com aus dem Screenshot ( dieser Post: https://forum.iobroker.net/post/1278181) ist zumindest sowohl über IPv4 als auch IPv6 erreichbar

a.nel.cloudflare.com aus dem report-to header ist nur eine URL zu der der Browser anonymisierte Trackingdaten schickt. Das hat direkt nichts mit dem 429 zu tun. Habe es nur eingerahmt um zu zeigen, dass Cloudflare das Problem sieht.

Aber, account.worxlandroid.com sowie id.worx.com liegen bei Cloudflare. (Siehe server header)

Der 429 wird also nicht von worx sondern von Cloudflare geworfen. Dort wird sofort auf IP Ebene der 429 zurückgegeben, ohne überhaupt die Requests zu worx weiterzugeben.

Wenn ich mir bei der Telekom eine neue IP abhole, kann ich problemlos auf account.worxlandroid.com sowie id.worx.com zugreifen. Ohne Einschränkungen.

Unter id.worx.com habe ich alle verbundenen Apps gelöscht.

Dann Adapter gestartet:

worx.0
2025-06-22 11:48:52.573	warn	Serial number 202130267209007208FB was not found. Please delete the object tree worx.0.202130267209007208FB.
worx.0
2025-06-22 11:48:52.549	info	Start check devices object!
worx.0
2025-06-22 11:48:52.546	warn	No mower found to start mqtt
worx.0
2025-06-22 11:48:52.546	info	Start MQTT connection
worx.0
2025-06-22 11:48:52.531	error	{"message":"Too Many Attempts."}
worx.0
2025-06-22 11:48:52.531	error	AxiosError: Request failed with status code 429
worx.0
2025-06-22 11:48:52.265	info	Connected to worx server
worx.0
2025-06-22 11:48:51.723	info	Start login
worx.0
2025-06-22 11:48:51.718	error	{"error":"invalid_grant","error_description":"The refresh token is invalid.","hint":"Token has been revoked"}
worx.0
2025-06-22 11:48:51.718	error	AxiosError: Request failed with status code 400
worx.0
2025-06-22 11:48:51.202	info	Login to worx
worx.0
2025-06-22 11:48:51.200	info	Use new aws-iot-device-sdk-v2.
worx.0
2025-06-22 11:48:51.105	info	starting. Version 3.2.4 in /opt/iobroker/node_modules/iobroker.worx, node: v20.19.1, js-controller: 7.0.7

Danach account.worxlandroid.com sowie id.worx.com wieder 429. Alles dicht.

Also, neue IP geholt.

Wieder kann ich problemlos auf account.worxlandroid.com sowie id.worx.com zugreifen.
Interessanterweise sind wieder zwei Apps verbunden:

account. wird durch Zugriffe über die Webseite hinzugefügt.
app. durch den Adapter.

D.h., als ich den Adapter angeworfen habe, ist mindestens ein Login Versuch pro Applikation zu worx durchgekommen.

Nun ist die Frage, warum cloudflare danach alle Requests von meiner IP blockt.

Entweder:

• Cloudflare registriert das Login-Verhalten als „suspekt“ oder „botartig“ und blockiert die IP automatisch per WAF (Web Application Firewall) Rule, Bot Management oder Rate-Limit Rule.
• Worx hat auf seinem Origin-Backend ein Regelwerk, das bei verdächtigem Verhalten IPs an Cloudflare zurückmeldet (z. B. über Firewall API oder custom Access Rules via API). ZB, wenn App ungültigen Token 5× sendet → API erkennt Missbrauch → löst Blockierung via Cloudflare API aus. (halte ich aber für unwahrscheinlich)

Zu erstem Szenario würde auch passen, dass worx ein Problem mit mqtt DDOS eingeräumt (https://forum.iobroker.net/topic/74380/adapter-worx-landroid-v3-x-x/281?_=1750584154729) hat.

Also, mit neuer IP und funktionierenden Webseitzugriffen worx App installiert.
Diese ist seit gut 5 Tagen deinstalliert.

Login schlägt fehl. (Err: "Verbindung fehlgeschlagen")
Beim erneuten öffnen der App dann das bekannte, Langsamer.
Webseiten account.worxlandroid.com sowie id.worx.com wieder 429.

Mit neuer IP komme ich dann wieder auf die Webseiten und sehe wieder zwei Applications

play.google. offensichtlich die Android APp
account. wird durch Zugriffe über die Webseite hinzugefügt.

Also halten wir fest, es sieht alles danach aus, dass Cloudflare der Ausführende ist (429 zurückgibt), aber es ist nicht klar ob:
Cloudflare autonom durch die aktivierten Schutzfunktionen (Bot Detection, Rate Limits etc.) handelt
ODER
durch explizite Konfigurationen von Worx (z. B. Regeln wie „blockiere IP, wenn ...“)

DAS genau muss worx untersuchen.

Hi,

hier mal ganz kurz meine Lösung den Sleep Timer über den Adapter zu steuern.
Nicht schön, aber funktioniert

Über die sleep_duration_sec, die ich mir aus dem UI angle, wird bestimmt, ob nach einer bestimmten Zeit abgeschalten wird, oder am Ende des aktuellen Track.

Danke und Kudos @oliverio

Quelle:
https://github.com/oweitman/ioBroker.squeezeboxrpc/issues/56

EvilEls created this issue in oweitman/ioBroker.squeezeboxrpc

closed Feature request #56

@homoran sagte in Adapter Worx Landroid v3.x.x:

@evilels sagte in Adapter Worx Landroid v3.x.x:

Cloudflare autonom durch die aktivierten Schutzfunktionen (Bot Detection, Rate Limits etc.) handelt

wenn ich bei einer Website ein cloudflare popup erhalte, heisst es immer
"bitte bestätigen Sie, dass Sie ein Mensch sind"

Sollte der Fehler/ Block von cloudflare kommen, wird IMHO genau diese Überprüfung wohl eine Software (interpretiert als möglicherweise schädlicher Bot) ergeben

Jein
Dein Gedankengang ist korrekt, aber es gibt mehrere Szenarien, in denen Cloudflare blockiert, ohne das typische "Bitte bestätigen Sie, dass Sie ein Mensch sind"-Popup (Challenge-Seite) anzuzeigen.

Die CAPTCHA / Managed Challenge (Mensch-Seite) - was du meinst - wird angezeigt, wenn Cloudflare dich verdächtigt, aber nicht sicher ist, dass du ein Bot sein könntest.
Diese Challenge erscheint nur bei HTML-Inhalten (nicht bei reinen API-Aufrufen, XHR oder App-Calls).
Sie ist aber nur im Browser sichtbar. Eine App oder ein Skript bekommt keine Möglichkeit, sie zu lösen und wird stattdessen geblockt.
Man sieht das Popup typischerweise bei „grenzwertigem“ Verhalten wird aber bei offensichtlichen Angriffen oder Skripttraffic nicht gezeigt

Cloudflare kann aber auch sofort blocken, ohne Popup, ohne Challenge, z. B. durch:
Rate Limiting Rules, wenn zu viele Anfragen von deiner IP in kurzer Zeit kommen. Ergibt dann Response: 429 Too Many Requests – wie in diesem Fall
Diese Request werden direkt durch Cloudflare beantwortet. Keine Chance zur Interaktion durch Popup.

Bot Management mit "hard block" könen ebenfalls einen direkten 429 verursachen. Wenn zB Cloudflare sicher ist, dass du ein Bot bist (z. B. durch Fingerprint, fehlenden User-Agent, automatisierte Muster). Würde dann zB Response: 403 Forbidden, 429, manchmal 503 zurückgeben. Kein Popup, keine Challenge, sofortiger Ausschluss.

Custom Firewall Rules (von Sitebetreiber - also worx) können über das Cloudflare Dashboard Regeln definiert werden. ZB:

Wenn IP-Anfrage > 100 in 60 Sekunden → blockiere sofort
Wenn Request-Header fehlt → sofort blockieren
Wenn Pfad enthält /api/login/ → max 5 Versuche pro Minute

Diese Regeln würde zB nie ein CAPTCHA zeigen, sondern führen direkt zu einem Block (403, 429, oder 5xx je nach Setup).

Dann sind da noch WAF Managed Rules (Automatische Angriffsabwehr)
Z. B. wenn:
SQL-Injection-Muster erkannt wird
bekannte Exploit-Versuche auftauchen
App-Request-Header verdächtig wirken

Diese führen ebenfalls zu sofortigem Block. Ohne sichtbare Challenge. Besonders bei API-Calls oder App-Verkehr.

Ich denke, Cloudflare kann hier nicht sinnvoll eine Challenge zeigen, weil die App/Adpter sie nicht lösen kann. Daher direkter Block mit 429.

Evtl liegt es ja auch am Token Management auf worx Seite, die sofort IP blocken wenn ein Fehler auftritt.

2025-06-22 11:48:51.718	error	{"error":"invalid_grant","error_description":"The refresh token is invalid.","hint":"Token has been revoked"}
worx.0
2025-06-22 11:48:51.718	error	AxiosError: Request failed with status code 400
worx.0
2025-06-22 11:48:51.202	info	Login to worx

Ich schließe mich der Meinung von @Lucky_ESA an, dass hier nicht der Adapter (oder die App) die Schuldigen sind.

@saeft_2003 sagte in Adapter Worx Landroid v3.x.x:

Der Iobroker darf keinen Zugriff auf die WORX Landroid APP haben.
Wenn Sie eine inoffizielle App, Software oder Suite nutzen, sollten Sie diese deinstallieren und vom Roboter trennen. Wir unterstützen nur die offizielle Worx-Landroid-App, die Sie im App Store/Play Store herunterladen können. Die meisten Apps von Drittanbietern können sich negativ auf die Servereinstellungen auswirken, sodass wir sie vorerst nicht unterstützen. Wir weisen darauf hin, dass einige dieser Apps von unseren Sicherheitssystemen als bösartig eingestuft werden könnten, was eine vorübergehende Sperrung des Kontos zur Folge hat.

Warum bieten sie dann eine Schnittstelle für Third-Party Apps an?

@lucky_esa sagte in Adapter Worx Landroid v3.x.x:

Das mit der getrennt API wäre wirklich eine schöne Lösung.

Eigentlich nicht notwendig.
Im Useraccount wird für jede Applikation die auf das Konto zugreift eine App angelegt. Kann man hier sehen: https://id.worx.com/user/applications
Worx weiß also zu jeder Zeit, welche Apps die Probleme verursachen. Und sie könnten nur diese sperren. Z.B. die Landroid Legacy Application, welche die bösen "Smart Home-Systeme" nutzen. Sie hätten also auch einfach eine Sperre pro App verhängen können, statt pro Account und sogar pro IP.
Dazu kommt, dass sich die Apps mit einem einzigartigen User Agent melden. Worx müsste also darüber auch in der Lage sein, genauere Angaben zum Ursprung der Verbindungsflut zu machen.

Wie auch immer, es scheint wieder zu laufen.
Nichtsdestotrotz kann man Worx hier bestenfalls ein mangelhaftes Incident Management attestieren.

Danke @lucky_esa fürs Dranbleiben und deine Mühen!

@jaridian
Adapter deaktivieren, mobile App deinstallieren oder alle Daten löschen.

Wenn deine Sperre abgelaufen ist,
https://id.worx.com/user/applications
dort alle Apps entfernen AUSSER

Landroid Account
https://account.worxlandroid.com/

Mobile App starten und mit Account verbinden.
Erscheint dann unter
https://id.worx.com/user/applications

Dann in deaktivierten Adapter gehen, ROTEN KNOPF (Sitzungsdaten löschen) klicken und Adapter starten.

Viel Erfolg!

@lucky_esa sagte in Adapter Worx Landroid v3.x.x:

Das mit der getrennt API wäre wirklich eine schöne Lösung.

Eigentlich nicht notwendig.
Im Useraccount wird für jede Applikation die auf das Konto zugreift eine App angelegt. Kann man hier sehen: https://id.worx.com/user/applications
Worx weiß also zu jeder Zeit, welche Apps die Probleme verursachen. Und sie könnten nur diese sperren. Z.B. die Landroid Legacy Application, welche die bösen "Smart Home-Systeme" nutzen. Sie hätten also auch einfach eine Sperre pro App verhängen können, statt pro Account und sogar pro IP.
Dazu kommt, dass sich die Apps mit einem einzigartigen User Agent melden. Worx müsste also darüber auch in der Lage sein, genauere Angaben zum Ursprung der Verbindungsflut zu machen.

Wie auch immer, es scheint wieder zu laufen.
Nichtsdestotrotz kann man Worx hier bestenfalls ein mangelhaftes Incident Management attestieren.

Danke @lucky_esa fürs Dranbleiben und deine Mühen!

@saeft_2003 sagte in Adapter Worx Landroid v3.x.x:

Der Iobroker darf keinen Zugriff auf die WORX Landroid APP haben.
Wenn Sie eine inoffizielle App, Software oder Suite nutzen, sollten Sie diese deinstallieren und vom Roboter trennen. Wir unterstützen nur die offizielle Worx-Landroid-App, die Sie im App Store/Play Store herunterladen können. Die meisten Apps von Drittanbietern können sich negativ auf die Servereinstellungen auswirken, sodass wir sie vorerst nicht unterstützen. Wir weisen darauf hin, dass einige dieser Apps von unseren Sicherheitssystemen als bösartig eingestuft werden könnten, was eine vorübergehende Sperrung des Kontos zur Folge hat.

Warum bieten sie dann eine Schnittstelle für Third-Party Apps an?

Nachdem meine Device retry-after: Sperre abgelaufen war (Support nerven), habe ich mir neue IP besorgt und auf https://id.worx.com/user/applications
die Lagacy App rausgeschmissen.

Dann im Adapter roten Button, danach Adapter gestartet:

2025-07-04 00:18:13.524	info	Start Update for all devices
2025-07-04 00:18:13.523	info	Request Counter: 1
2025-07-04 00:18:13.244	info	Start check devices object!
2025-07-04 00:18:13.082	info	Start MQTT connection
2025-07-04 00:18:13.014	info	Autolock found! Create State : AutoLockTimer
2025-07-04 00:18:13.013	info	Autolock found! Create State : AutoLock
2025-07-04 00:18:13.005	info	ACS Module found! Create State : US.ACS_Status
2025-07-04 00:18:13.002	info	ACS Module found! Create State : US.ACS
2025-07-04 00:18:12.998	info	ACS Module found! Create State : US
2025-07-04 00:18:12.991	info	Torque control found, create states...
2025-07-04 00:18:12.632	info	Create product folder and states for WR165E
2025-07-04 00:18:12.215	info	Create folder activityLog and set states.
2025-07-04 00:18:12.204	info	No new Firmware found, create dummy states...
2025-07-04 00:18:12.201	info	No new Firmware found, check states...
2025-07-04 00:18:12.193	info	PartyModus found, create states...
2025-07-04 00:18:12.191	info	OneTimeShedule found, create states...
2025-07-04 00:18:12.168	info	DoubleShedule found, create states...
2025-07-04 00:18:11.987	info	Multi-ZoneKeeper found! Create State : zoneKeeper
2025-07-04 00:18:11.913	info	Found device M with id xxx
2025-07-04 00:18:11.912	info	Found 1 devices
2025-07-04 00:18:11.701	info	Connected to worx server
2025-07-04 00:18:11.114	info	Start login
2025-07-04 00:18:11.111	info	Login to worx
2025-07-04 00:18:10.960	info	starting. Version 3.2.6 in /opt/iobroker/node_modules/iobroker.worx, node: v20.19.1, js-controller: 7.0.7

Kein Fehler mehr.
Adapter Neustarts ebenfalls problemlos.

Einstellungen über Adapter ändern klappt auch:

2025-07-04 00:36:10.999	debug	Test Status: 1
2025-07-04 00:36:10.966	debug	GET MQTT DATA from API: {xxx}
2025-07-04 00:36:10.961	debug	Set new timestamp
2025-07-04 00:36:10.961	debug	lastCommand_start: {"57099":{"id":57099,"cmd":0,"lg":"de","sn":"xxx","tm":"00:36:09","dt":"04/07/2025","sc":{"m":1,"distm":0},"request":1751582169180,"response":0,"action":"worx.0.xxx.mower.partyModus","user":"iobroker"}}
2025-07-04 00:36:10.960	debug	Request ID 57099 has been passed to the mower
2025-07-04 00:36:10.960	debug	Worxcloud MQTT get Message for mower M (xxx)
2025-07-04 00:36:10.960	debug	topic: PRM100/xxx/commandOut
2025-07-04 00:36:10.960	debug	Mower MQTT: {xxx}
2025-07-04 00:36:10.785	debug	Test Status: 1
2025-07-04 00:36:10.762	debug	GET MQTT DATA from API: {xxx}
2025-07-04 00:36:10.760	debug	Update this.deviceArray: 0
2025-07-04 00:36:10.760	debug	Index Update: 0
2025-07-04 00:36:10.561	info	Start Update for all devices
2025-07-04 00:36:10.560	debug	Mower Endpoint : iot.eu-west-1.worxlandroid.com with user id xxx and mqtt registered true iot_registered true online true
2025-07-04 00:36:10.558	debug	MQTT connected to: iot.eu-west-1.worxlandroid.com
2025-07-04 00:36:10.557	debug	MQTT connection: {"cmd":"connack","retain":false,"qos":0,"dup":false,"length":2,"topic":null,"payload":null,"sessionPresent":false,"returnCode":0}
2025-07-04 00:36:10.229	debug	MQTT reconnect
2025-07-04 00:36:09.228	debug	Offline
2025-07-04 00:36:09.184	debug	sendData: {"id":57099,"cmd":0,"lg":"de","sn":"xxx","tm":"00:36:09","dt":"04/07/2025","sc":{"m":1,"distm":0}}
2025-07-04 00:36:09.184	debug	this.mqtt_response_check: {"57099":{"id":57099,"cmd":0,"lg":"de","sn":"xxx","tm":"00:36:09","dt":"04/07/2025","sc":{"m":1,"distm":0},"request":1751582169180,"response":0,"action":"worx.0.xxx.mower.partyModus","user":"iobroker"}}
2025-07-04 00:36:09.177	debug	lastCommand_start: {"57099":{"id":57099,"cmd":0,"lg":"de","sn":"xxx","tm":"00:36:09","dt":"04/07/2025","sc":{"m":1,"distm":0}}}
2025-07-04 00:36:09.176	debug	Start MQTT ping: {"id":57099,"cmd":0,"lg":"de","sn":"xxx","tm":"00:36:09","dt":"04/07/2025","sc":{"m":1,"distm":0}}
2025-07-04 00:36:09.176	debug	length: 0
2025-07-04 00:36:09.176	info	Request Counter: 2
2025-07-04 00:36:09.175	debug	Worxcloud MQTT sendMessage to xxx Message: {"sc":{ "m":1, "distm": 0}}
2025-07-04 00:36:09.175	debug	state change: id_____ worx.0.xxx.mower.partyModus Mower xxx_____partyModus______{xxx}
2025-07-04 00:36:09.174	debug	this.modules! {"xxx":{"edgeCut":false,"notify":true,"notify_excluded":["4","5","16","18"],"tq":0,"channel":true,"US":{"enabled":1},"al":{"lvl":0,"t":300},"al_last":300}}
2025-07-04 00:36:09.174	debug	Request SN: xxx

App ist seit Tagen deinstalliert.
Nach Neuinstallation funktioniert diese auch wieder.

Nachdem ich einen neuen Account erstellt hatte, war ich schon einmal so weit.
Mal sehen, wie lange das nun funktioniert.
Letztens hielt es für 3 oder 4 Tage.

Ich habe mir über die letzte Woche hinweg die Mühe gemacht und alle Informationen zu der Sperre incl. Logs, sowie meiner Hypothese zur Fehlerursache und einer Empfehlung, an welches Team dieser Incident weitergereicht werden sollte, in mehreren hin- und her mail dem Support zukommen lassen.

Mir wurde dann versichert, dass man das Problem verstanden und entsprechend eskaliert hätte und man mir eine finale Antwort Anfang dieser Woche zukommen lassen wird.

Diese Mail kam heute. Bitte sehr, zur Erheiterung/Verzweiflung, je nach Gemüt.

Guten Morgen Herr Els,

vielen Dank für Ihre Rückmeldung.

Es handelt sich um eine reine Vorsichtsmaßnahme: eine temporäre 24 h-Sperre des Nutzerkontos, weil von dem Zugang aus in kurzer Zeit zu viele Login-Versuche unternommen wurden.

Bitte löschen vom Handy die App samt Cache und laden sich die App erneut runter.

Sollte dieser Hinweis nicht helfen, dann folgende Info:

Wenn Sie Ihre Landroid App mit einem Automationssystem oder einem Smarthome System verbunden haben, könnte das die Ursache sein. Anderenfalls empfehlen wir Ihnen, Ihr Passwort zu ändern und Ihr Endgerät auf Schadsoftware zu überprüfen.

Für Rückfragen stehen wir Ihnen jederzeit gerne zur Verfügung.

Ihr Worx Support-Team
Um Ihnen unkompliziert und schnell weiterhelfen zu können, nutzen sie bitte unseren Livechat:

https://eu.worx.com/de-de/support-fuer-landroid/

Mit freundlichen Grüßen
Anja Alimowitsch
Tel.: +4922195673161

@lucky_esa
In den 4 Tagen war nur die App aktiv. Kein Adapter.

@joergk-0
Neuer Account bringt nichts. Hab es versucht.
Nach 4 Tagen selbes Problem.

@gargano

Vor 2h hatte ich noch 429, nun läuft Adapter und App wieder.
Offenbar hat man bei worx das Problem gefunden und behoben.

Telekom FTTH

@homoran sagte in Adapter Worx Landroid v3.x.x:

@evilels sagte in Adapter Worx Landroid v3.x.x:

Cloudflare autonom durch die aktivierten Schutzfunktionen (Bot Detection, Rate Limits etc.) handelt

wenn ich bei einer Website ein cloudflare popup erhalte, heisst es immer
"bitte bestätigen Sie, dass Sie ein Mensch sind"

Sollte der Fehler/ Block von cloudflare kommen, wird IMHO genau diese Überprüfung wohl eine Software (interpretiert als möglicherweise schädlicher Bot) ergeben

Jein
Dein Gedankengang ist korrekt, aber es gibt mehrere Szenarien, in denen Cloudflare blockiert, ohne das typische "Bitte bestätigen Sie, dass Sie ein Mensch sind"-Popup (Challenge-Seite) anzuzeigen.

Die CAPTCHA / Managed Challenge (Mensch-Seite) - was du meinst - wird angezeigt, wenn Cloudflare dich verdächtigt, aber nicht sicher ist, dass du ein Bot sein könntest.
Diese Challenge erscheint nur bei HTML-Inhalten (nicht bei reinen API-Aufrufen, XHR oder App-Calls).
Sie ist aber nur im Browser sichtbar. Eine App oder ein Skript bekommt keine Möglichkeit, sie zu lösen und wird stattdessen geblockt.
Man sieht das Popup typischerweise bei „grenzwertigem“ Verhalten wird aber bei offensichtlichen Angriffen oder Skripttraffic nicht gezeigt

Cloudflare kann aber auch sofort blocken, ohne Popup, ohne Challenge, z. B. durch:
Rate Limiting Rules, wenn zu viele Anfragen von deiner IP in kurzer Zeit kommen. Ergibt dann Response: 429 Too Many Requests – wie in diesem Fall
Diese Request werden direkt durch Cloudflare beantwortet. Keine Chance zur Interaktion durch Popup.

Bot Management mit "hard block" könen ebenfalls einen direkten 429 verursachen. Wenn zB Cloudflare sicher ist, dass du ein Bot bist (z. B. durch Fingerprint, fehlenden User-Agent, automatisierte Muster). Würde dann zB Response: 403 Forbidden, 429, manchmal 503 zurückgeben. Kein Popup, keine Challenge, sofortiger Ausschluss.

Custom Firewall Rules (von Sitebetreiber - also worx) können über das Cloudflare Dashboard Regeln definiert werden. ZB:

Wenn IP-Anfrage > 100 in 60 Sekunden → blockiere sofort
Wenn Request-Header fehlt → sofort blockieren
Wenn Pfad enthält /api/login/ → max 5 Versuche pro Minute

Diese Regeln würde zB nie ein CAPTCHA zeigen, sondern führen direkt zu einem Block (403, 429, oder 5xx je nach Setup).

Dann sind da noch WAF Managed Rules (Automatische Angriffsabwehr)
Z. B. wenn:
SQL-Injection-Muster erkannt wird
bekannte Exploit-Versuche auftauchen
App-Request-Header verdächtig wirken

Diese führen ebenfalls zu sofortigem Block. Ohne sichtbare Challenge. Besonders bei API-Calls oder App-Verkehr.

Ich denke, Cloudflare kann hier nicht sinnvoll eine Challenge zeigen, weil die App/Adpter sie nicht lösen kann. Daher direkter Block mit 429.

Evtl liegt es ja auch am Token Management auf worx Seite, die sofort IP blocken wenn ein Fehler auftritt.

2025-06-22 11:48:51.718	error	{"error":"invalid_grant","error_description":"The refresh token is invalid.","hint":"Token has been revoked"}
worx.0
2025-06-22 11:48:51.718	error	AxiosError: Request failed with status code 400
worx.0
2025-06-22 11:48:51.202	info	Login to worx

Ich schließe mich der Meinung von @Lucky_ESA an, dass hier nicht der Adapter (oder die App) die Schuldigen sind.