V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
binss
V2EX  ›  问与答

安卓系统下向不明 ip 发送目标端口为 123 的 UDP 包,请问是否是被开后门了?

  •  1
     
  •   binss · 2016-05-09 01:08:20 +08:00 · 2957 次点击
    这是一个创建于 3125 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近从 V 友处收了台安卓平板来折腾。重装后,因为 Google Play 各种崩,所以上酷安上下了几款应用(未 root )。结果在使用过程中,在路由器的连接表里发现若干个发往不同 ip 的端口为 123 的包,有点害怕,于是用 tcpdump 抓了下包,如下:

    http://ww2.sinaimg.cn/large/892f41efgw1f3oh4ka2ihj21kw122dy0.jpg

    分别用反向查询了下:

    157.7.154.29:123 einzbern.turenar.xyz 106.187.100.179:123 jp.linode.oxoox.me 202.112.29.82:123 dns1.synet.edu.cn 116.58.172.182

    访问了下 http://157.7.154.29/,返回了一个页面,有个链接指向这个人的 github ,如下:

    http://ww1.sinaimg.cn/large/892f41efgw1f3oh74b8h1j21kw0v1k17.jpg

    请问各位大大,这种情况是否是黑产发送心跳包?还是说我多疑了,这只是正常的 NTP 包?

    15 条回复    2016-05-09 08:43:56 +08:00
    binss
        1
    binss  
    OP
       2016-05-09 01:08:48 +08:00
    补下图



    xihefeng
        2
    xihefeng  
       2016-05-09 01:53:43 +08:00 via Android
    抓包显示的是 ntp ,貌似是校准时间的
    billlee
        3
    billlee  
       2016-05-09 02:07:38 +08:00
    157.7.154.29 是一个比较干净的 IP. 域名看起来奇怪,但是看来拥有者是个日本人,我不会日语,所以也不知道这些是不是有意义的音节。
    106.187.100.179 是 Linode 东京机房,奇怪的是同时有 3 个域名解析到了这个 IP. Web 页面是中文, 但是同个域名下的其它 host 又有使用了某种我不认识的拼音文字。综上,这个比较可疑。
    后面两个确实是 NTP 服务器。

    注意,很多恶意软件使用 NTP 同步时间,然后根据时间来确定与控制者通信的方式。
    如果在关掉自动设置时间和 GPS 的情况下, 仍然有这些请求,那么他们很可能是恶意软件发出的。

    楼主很细心,安全意识很好。
    binss
        4
    binss  
    OP
       2016-05-09 02:11:38 +08:00 via iPad
    我在安卓上抓了下包,发现这些好像不是安卓发出的。那么走这个网卡的只有路由器自身了。我今天刚刷的 15.05.1 啊,还是自己编译的
    shiji
        5
    shiji  
       2016-05-09 02:11:41 +08:00
    那你有没有抓返回的包?
    michaelchs
        6
    michaelchs  
       2016-05-09 02:16:59 +08:00 via iPad
    路由器的连接表里发现若干个发往不同 ip 的端口为 123 的包
    很好奇什么固件可以看这个。
    shiji
        7
    shiji  
       2016-05-09 02:20:20 +08:00
    binss
        8
    binss  
    OP
       2016-05-09 02:29:08 +08:00
    @billlee @shiji 抓了其中一个来回,又好像是正常的 NTP ?

    binss
        9
    binss  
    OP
       2016-05-09 02:30:19 +08:00
    @michaelchs OpenWrt+LuCI 实时信息-链接
    shiji
        10
    shiji  
       2016-05-09 02:37:21 +08:00
    @binss 这个看起来没什么问题
    michaelchs
        11
    michaelchs  
       2016-05-09 05:08:04 +08:00 via iPad
    @binss 你发邮件给作者问一下不就好了。。
    日本人的英语写作还是可以的吧。。
    作者都不知道他在干什么我就没办法咯。。
    jerryjhou
        12
    jerryjhou  
       2016-05-09 06:26:27 +08:00
    @binss OpenWRT 默认自带 NTP 时间校准。。。
    Syc
        13
    Syc  
       2016-05-09 06:39:59 +08:00 via Android
    把 NTP 校准关掉或者换一个你信任的 NTP 的 IP
    jasontse
        14
    jasontse  
       2016-05-09 06:42:41 +08:00 via Android
    这个 IP 或许是有加入 pool.ntp.org
    binss
        15
    binss  
    OP
       2016-05-09 08:43:56 +08:00 via iPhone
    @xihefeng
    @billlee
    @shiji
    @michaelchs
    @jerryjhou
    @Syc
    @jasontse
    感谢。确实是 pool.ntp.org 的锅。感谢大家指点
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4942 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 09:54 · PVG 17:54 · LAX 01:54 · JFK 04:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.