安卓系统下向不明 ip 发送目标端口为 123 的 UDP 包,请问是否是被开后门了?
binss · 2016-05-09 01:08:20 +08:00 · 2947 次点击这是一个创建于 3113 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近从 V 友处收了台安卓平板来折腾。重装后,因为 Google Play 各种崩,所以上酷安上下了几款应用(未 root )。结果在使用过程中,在路由器的连接表里发现若干个发往不同 ip 的端口为 123 的包,有点害怕,于是用 tcpdump 抓了下包,如下:
http://ww2.sinaimg.cn/large/892f41efgw1f3oh4ka2ihj21kw122dy0.jpg
分别用反向查询了下:
157.7.154.29:123 einzbern.turenar.xyz 106.187.100.179:123 jp.linode.oxoox.me 202.112.29.82:123 dns1.synet.edu.cn 116.58.172.182
访问了下 http://157.7.154.29/,返回了一个页面,有个链接指向这个人的 github ,如下:
http://ww1.sinaimg.cn/large/892f41efgw1f3oh74b8h1j21kw0v1k17.jpg
请问各位大大,这种情况是否是黑产发送心跳包?还是说我多疑了,这只是正常的 NTP 包?
15 条回复 • 2016-05-09 08:43:56 +08:00
 |
1
binss OP 补下图
  |
 |
2
xihefeng 2016-05-09 01:53:43 +08:00 via Android
抓包显示的是 ntp ,貌似是校准时间的
|
 |
3
billlee 2016-05-09 02:07:38 +08:00
157.7.154.29 是一个比较干净的 IP. 域名看起来奇怪,但是看来拥有者是个日本人,我不会日语,所以也不知道这些是不是有意义的音节。
106.187.100.179 是 Linode 东京机房,奇怪的是同时有 3 个域名解析到了这个 IP. Web 页面是中文, 但是同个域名下的其它 host 又有使用了某种我不认识的拼音文字。综上,这个比较可疑。 后面两个确实是 NTP 服务器。 注意,很多恶意软件使用 NTP 同步时间,然后根据时间来确定与控制者通信的方式。 如果在关掉自动设置时间和 GPS 的情况下, 仍然有这些请求,那么他们很可能是恶意软件发出的。 楼主很细心,安全意识很好。 |
|
4
binss OP 我在安卓上抓了下包,发现这些好像不是安卓发出的。那么走这个网卡的只有路由器自身了。我今天刚刷的 15.05.1 啊,还是自己编译的
|
 |
5
shiji 2016-05-09 02:11:41 +08:00
那你有没有抓返回的包?
|
 |
6
michaelchs 2016-05-09 02:16:59 +08:00 via iPad
路由器的连接表里发现若干个发往不同 ip 的端口为 123 的包
很好奇什么固件可以看这个。 |
|
7
shiji 2016-05-09 02:20:20 +08:00
|
|
9
binss OP @michaelchs OpenWrt+LuCI 实时信息-链接
|
|
11
michaelchs 2016-05-09 05:08:04 +08:00 via iPad
|
 |
13
Syc 2016-05-09 06:39:59 +08:00 via Android
把 NTP 校准关掉或者换一个你信任的 NTP 的 IP
|
 |
14
jasontse 2016-05-09 06:42:41 +08:00 via Android
这个 IP 或许是有加入 pool.ntp.org ?
|
|
15
binss OP |
Select Language