Неизвестное приложение сканирует локальную сеть

0

3

Доброго времени суток. Имею следующий вопрос с возможностью последующего решения или набора рекомендаций в какую сторону капать, дабы устранить образовавшуюся проблему. Есть s10 с постоянными обновлениями системы. Не так давно начал замечать в логах роутера переодический перебор скан портов, а именно это чаще всего происходит в 4 утра, когда обычно все спят. Спустя время, так и не выяснив откуда может исходить подобный скан, на s10 было установлено приложение PCAPdroid, для отслеживания исходящих запросов всех системных и прочих приложений смартфона. И вот, после двух дней фоновой работы обнаруживаю, что так же в 4 утра Неизвестное приложение, по протоколу NetBIOS (UDP) с внешним ip адресом и портом делает перебор всей локальной сети, начиная с 192.168.1.50 заканчивая 191.168.1.254, отправляя на каждый адрес по одному пакету в 78 байт. Гугл ни разу не упоминает встроенный NetBIOS в системе андроид, из-за чего появляются довольно сомнительные мысли. Отследить и запретить это приложение на самом устройстве невозможно, при попытках выяснить принадлежность внешнего ip находит лишь одно упоминание Amsterdam Privat VPN. Внимание вопрос, что это может быть? Буду рад любой помощи. Спасибо!

Ссылка

←	не работает звук,камера,фонарь на lineageos 14 на meizu m5

как поставить пароль на twrp версии 3.0.1

→

Доброго времени суток. Имею следующий вопрос с возможностью последующего решения

Рад за тебя

или набора рекомендаций в какую сторону капать

этому больше не капать.

Отследить и запретить это приложение на самом устройстве невозможно

С таким настроем можем только так ответить: разберись, потом на профильном ресурсе расскажешь.

Тут форум про линукс, гадать о происходящем в телефоне с закрытой прошивкой, в которой ты по каким-то неведомым убеждениям ковыряться отказываешься, тебе тут не будут. Вот если бы ты на стоковом официальном LineageOS поймал этот эффект, сел и разобрался, тогда бы мы тебя с большим вниманием выслушали и отправили на профильный ресурс, может даже эмоционально прокомментировали в свободной форме. А так — разбирайся.

t184256 ★★★★★
(11.11.21 19:07:57 MSK)

Ответ на: комментарий от t184256 11.11.21 19:07:57 MSK

Ты мой герой \0/

perl5_guy ★★★★★
(11.11.21 19:17:54 MSK)

Ссылка

Вопрос то в чем? Ты уверен что это твой андроид сканит сеть? Это неудивительно, 90% андроидов шарится как только может, это ты еще всякие doogee и прочие homtom не пробовал, там натуральные вирусы зашиты в прошивку. Тут только кастом ставить, хотя доверия каштомам от васянов тоже немного, но во всяких lineage os хоть можно порыться в прошивке нормально

karton1 ★★★★★
(11.11.21 19:44:40 MSK)

, начиная с 192.168.1.50 заканчивая 191.168.1.254, отправляя на каждый адрес по одному пакету в 78 байт

Что в пакете?

~~Crocodoom~~ ★★★★★
(11.11.21 19:50:19 MSK)

Сначала посмотри в установленных приложениях те, которые ты точно не ставил

elfmaid
(11.11.21 19:51:09 MSK)

Ответ на: комментарий от t184256 11.11.21 19:07:57 MSK

Приветствую, уважаемый! Ковыряться в каком смысле? Переключиться в root режим, отключив счетчик KNOX, или же каким-то менее ломающим систему образом?

[img]южный парк гладит соски[/img]

Если бы это был форум исключительно про linux, для начала я бы точно удостоверился, не обсуждаются ли тут другие девайсы/os. С вашим ответом можно было бы и вовсе не отвечать.

Millip
(11.11.21 20:06:22 MSK) автор топика

Ответ на: комментарий от karton1 11.11.21 19:44:40 MSK

В том то и дело, что к васяносборкам точно так же нет доверия, как и к дефолтной прошивке, не исключая еще бэкдоров на уровне железа. Тут скорее предположение, а не словил ли я сюрприз с и так ужатыми правами доверенных приложений?

Millip
(11.11.21 20:13:16 MSK) автор топика

Это лечение симптомов, но все же

~~Pups~~ ★
(11.11.21 20:13:35 MSK)

Ответ на: комментарий от Crocodoom 11.11.21 19:50:19 MSK

К сожалению, тот же PCAPdroid не предоставляет возможности поосмотреть этот пакет. Пытаюсь выяснить, каким еще образом можно это отследить

Millip
(11.11.21 20:15:34 MSK) автор топика

Ссылка

Ответ на: комментарий от elfmaid 11.11.21 19:51:09 MSK

Таких нет, за исключением только тех, которые автоматически поставились в свете последних законодательных решений страны. Такие как Яндекс например, которые были сразу же отключены.

Millip
(11.11.21 20:17:36 MSK) автор топика

Ссылка

Ответ на: комментарий от Pups 11.11.21 20:13:35 MSK

Большое спасибо, проанализирую!

Millip
(11.11.21 20:18:36 MSK) автор топика

Ссылка

Ханипоты поставь разные посмотри, может нетбиосом дело не ограничивается.

~~T3M4~~ ★
(11.11.21 20:34:59 MSK)

Ответ на: комментарий от T3M4 11.11.21 20:34:59 MSK

Тоже были мысли в эту сторону, спасибо!

Millip
(11.11.21 20:37:24 MSK) автор топика

Ответ на: комментарий от t184256 11.11.21 19:07:57 MSK

Каким же ты стал ~~дерьмом~~

anonymous
(11.11.21 22:47:37 MSK)

Ссылка

Ответ на: комментарий от Millip 11.11.21 20:37:24 MSK

Отписаться в теме только не забывай.

anonymous
(11.11.21 22:50:06 MSK)

Ссылка

Ответ на: комментарий от Millip 11.11.21 20:13:16 MSK

Ну так поставь доктор уеб с маркета, да просканируй телефон

karton1 ★★★★★
(11.11.21 22:51:06 MSK)

Ссылка

Ответ на: комментарий от Millip 11.11.21 20:06:22 MSK

Да хотя бы в смысле через adb плавно отключать приложения по одному и так выяснить. Или отбирать у них по одному права на сеть, не знаю. Или найти монитор сетевой активности с разбивкой по юзерам. Банально logcat глянуть за 4 утра! Что угодно за гранью «я поймал пакет tcpdump’om, внутрь смотреть уже не буду, дальше сами».

t184256 ★★★★★
(12.11.21 08:40:05 MSK)