• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[Gelöst] Ausgehende tcp-Connection Port 8022 nach China?

gehrke

Administrator
Teammitglied
Moin *

Meine Firewall zeigt mir, dass eines dieser wundervollen Android-Handys meiner Kinder eine tcp-Verbindung auf Port 8022 hat. Das Zielsystem ist in China registriert.
Code:
pfTop: Up State 1-47/102, View: default, Order: none, Cache: 10000                                                                                    04:50:43

PR        DIR SRC                                       DEST                                              STATE                AGE       EXP     PKTS    BYTES
tcp       In  172.16.14.12:38803                        140.205.203.92:8022                      ESTABLISHED:ESTABLISHED  15:23:00  09:32:20       36     3109
tcp       Out 172.16.14.12:38803                        140.205.203.92:8022                      ESTABLISHED:ESTABLISHED  15:23:00  09:32:20       36     3109
Port 8022 sagt mir jetzt nichts, könnte aber vielleicht SSH sein. Viele Daten sind es ja scheinbar nicht.

Weil ich diesem ganzen Android-Schrott sowieso nicht traue, habe ich die alle in ein eigenes Subnetz (172.16.14.0/24) gebannt, wo die sich von mir aus gegenseitig attackieren können. Das hier macht mich jetzt aber doch etwas nervös.

Was mache ich damit? Habe mal einen Sniffer aufgesetzt - wenn es nicht verschlüsselt ist, komme ich so ja vielleicht weiter...

TNX

cu, gehrke
 

Jägerschlürfer

Moderator
Teammitglied
mehr als ein Sniffer kannst du jetzt erst einmal nicht machen. Es sei denn du nimmst direkt an dem Gerät einen Reset vor. Mit der Datensicherung müsstest du halt mal schauen,...

Wenn der Reset auch nichts hilft, komplett neu flashen,...
 
OP
gehrke

gehrke

Administrator
Teammitglied
Ich werde diese Drecksdinger gar nicht anfassen. So schnell kannst Du gar nicht kucken, wie da neue Apps installiert werden. Da ist Hopfen und Malz verloren... :zensur:

Wenn überhaupt, dann kann ich wohl nur an der Firewall ansetzen und ausgehenden Verkehr verbieten.
 

Jägerschlürfer

Moderator
Teammitglied
gehrke schrieb:
Ich werde diese Drecksdinger gar nicht anfassen. So schnell kannst Du gar nicht kucken, wie da neue Apps installiert werden. Da ist Hopfen und Malz verloren... :zensur:
Daher habe ich kein Android,... ;) Hatte ich ein mal und muss kein zweites mal mehr sein.

gehrke schrieb:
Wenn überhaupt, dann kann ich wohl nur an der Firewall ansetzen und ausgehenden Verkehr verbieten.
Wie schaut es aus, wenn deine Kinder unterwegs sind? Mobiles Internet vorhanden? Wenn ja, kannst du das ja nicht so wirklich sperren. Nur daheim,...
 

revealed

Guru
Guter Punkt,

Vorallem weiss man halt nichts darüber weil da ja auch nirgends in der Doku steht: "Updatesoftware verbindet sich von hier nach da an diesen Port.";

Und das könnte auch eine Firmwareupdate Software sein oder dergleichen. Oder beispielsweise tatsächlich eine Spyware oder Malware oder ein anderes PUP (Potentually unwanted program) bzw. gar ein Trojaner oder was böseres.

Am Ende würdest du am Gerät selbst ansetzen. Gibt auch für die kleinen Kisten Sicherheitstools, die wie ich meine durchaus ihre Daseinsberechtigung haben.

Mit ziemlicher Sicherheit ist übrigens selbst nach einem Firmware Reset dann --- noch oder "wieder" Software drauf die irgendwie wie gestört nach Hause telefoniert, was dir nicht gefallen würde. (Finde ich Ok dass du nachschaust).

Aber angenommen das verläuft nach China und du fändest heraus, dass es eine Malware oder so etwas ist, was würdest du denn dagegen tun? Ich meine beispielsweise auch, der (potentiell) Attackierende sitzt eventuell in China.

Gruß,

R

PS.: Was echt hilft, ist nur ins Internet wenn man es wirklich braucht. Und ansonsten Wifi und die Mobilen Funknetzwerke abschalten. Die Dinger funktionieren übrigens auch ohne Internet. Man denkt heute gar nicht mehr nach, wann man online geht. Ist halt auch schon echt schwierig (Beispiel):

Handy geht online:
- Google Synct
- Cloud Synct
- Facebook synct
- Twitter synct
---- Playstore telefoniert und zeigt dir gezielte Werbung an.
---- Propritäres OS telefoniert deine Nutzungsstatistik zum Hersteller.
... usw, da kommt noch einiges mehr.

Und das in Summe schon wieder nachzuverfolgen ist bald schon wieder nicht mehr machbar. Weil einfach so vieles ist.
 
OP
gehrke

gehrke

Administrator
Teammitglied
Jägerschlürfer schrieb:
Daher habe ich kein Android,... ;) Hatte ich ein mal und muss kein zweites mal mehr sein.
Absolut korrekt, aber erklär das mal der Frau und den Blagen... Ich habe den Kampf an der Front schon vor Jahren aufgegeben.
Jägerschlürfer schrieb:
gehrke schrieb:
Wenn überhaupt, dann kann ich wohl nur an der Firewall ansetzen und ausgehenden Verkehr verbieten.
Wie schaut es aus, wenn deine Kinder unterwegs sind? Mobiles Internet vorhanden? Wenn ja, kannst du das ja nicht so wirklich sperren. Nur daheim,...
Derzeit nur über WLAN, dementsprechend könnte ich da zentral ansetzen.
 
OP
gehrke

gehrke

Administrator
Teammitglied
revealed schrieb:
PS.: Was echt hilft, ist nur ins Internet wenn man es wirklich braucht. Und ansonsten Wifi und die Mobilen Funknetzwerke abschalten. Die Dinger funktionieren übrigens auch ohne Internet.
Sorry, das ist undenkbar. Die Brut wird schon schwer nervös, wenn WhatsApp mal 10 Minuten nicht nervt. Offline ist wie tot... :irre:
 

revealed

Guru
Ok. 0o;

Hm Naja vielleicht würde es dir helfen so Sicherheitslösungen anzuschauen. Also ich meine sowas wie Avast oder dgl. Weiß nicht wie du dazu stehst. Und scheint auch so Firewalls zu geben usw.

Ich will dich jetzt nicht assymilieren oder so, aber wenn du selber noch eins rumliegen hättest, könnte ich mir vorstellen dass du recht schnell raus hast wie du dich absichern kannst.

(Mir selber sind diese Heimtelefonate von den Geräten bald schei* egal).
Aber ich freue mich darauf wenn diese Telefone mit plasma besser verfügbar werden.

Wobei freilig, wenns dir eher darum geht dein Heimnetz zu schützen. Warum nicht ein Walled Garden oder so.. und passt.

Gruß,

R

PS.: Hab mir letztens beispielsweise überlegt, ob das wirklich ein Vorteil ist, wenn Facebook Daten wieder auf deutschen Servern liegen müssen.
 
OP
gehrke

gehrke

Administrator
Teammitglied
revealed schrieb:
Hm Naja vielleicht würde es dir helfen so Sicherheitslösungen anzuschauen. Also ich meine sowas wie Avast oder dgl. Weiß nicht wie du dazu stehst. Und scheint auch so Firewalls zu geben usw.
Ich glaube, dass bei der Sicherheit von Android jeglicher Versuch von vorne herein verloren ist. Komplett sinnlose Ressourcenverschwendung.
Wenn es mein eigenes wäre, könnte man ja noch über Alternativen nachdenken, aber auf diesen Büchsen sehe ich keine Chance.
 

revealed

Guru
Dann halt auch diese story dass irgendwann nen total veralteten Kernel drauf haben, die keine Aktualisierung mehr erfahren.

So: "Tja mei, wenn da halt so a Sicherheitslücke drin is, dann is die halt drin."

Dass is dann ein sog. Charakter Telefon. Diese sind häufig auch am zerbrochenen Display kenntlich. Verweigern es aber aufzugeben.

Gruß,

R
 

susejunky

Moderator
Teammitglied
Hallo gehrke,

ein Android-Gerät ohne Firewall ist natürlich so eine Sache.

Daher habe ich auf meinem Smartphone CyanogenMod (http://www.cyanogenmod.org), welches bereits von beginn an root-Rechte zur Verfügung stellt, und eine Firewall-App (http://www.androiddrawer.com/25704/download-android-firewall-app-apk/) installiert. Diese wirkt auf die iptables des Kernels und ihre Einstellungen können mit einem Kennwort geschützt werden.

Mein Tablet habe ich "gerootet" und dann ebenfalls besagte Firewall-App aufgespielt.

Das mag zwar keine "Hochsicherheitslösung" sein, aber bislang habe ich einen positiven Eindruck. Insbesondere, weil neu installierte Apps erst einmal keinerlei Netzzugriff haben. Die Lösung ermöglicht auch die individuelle Behandlung von mobilem und WIFI Netzen.

Und was man auch beachten sollte: Ein Factory-Reset macht alles wieder hinfällig.

Viele Grüße

susejunky
 

revealed

Guru
Die Cyanogenmod mag ich auch gern, vorallem weil man wenn man möchte des Google gedöhns weglassen kann.

Und dann spielt halt auch noch mit rein ob du dein gerät überhaupt verändern kannst, bzw magst. Also ich sage mal bestimmte Geräte sind nicht so ohne weiteres umzustellen. Und manchmal kommt man nicht mehr auf den Original Zustand zurück. Bzw. Man muss den Garantieverlust in Kauf nehmen.

Hinzukommt dass man eben gewisse Erfahrungen haben sollte, wenns um die Einrichtung von 'adb' usw unter Linux geht. Dann spielt auch noch mit rein ob die Flash ROM dann auch vom Computer tatsächlich erkannt werden kann. Also da landest du manchmal dann bei lsusb und udev.

Gruß,

R
 

Jägerschlürfer

Moderator
Teammitglied
revealed schrieb:
Dann halt auch diese story dass irgendwann nen total veralteten Kernel drauf haben, die keine Aktualisierung mehr erfahren.

So: "Tja mei, wenn da halt so a Sicherheitslücke drin is, dann is die halt drin."
Genau das ist das, was mich am Meisten gestört hat. Nach kurzer Zeit steht man da und bekommt keine Updates mehr,...
 

revealed

Guru
Bei Cyanogenmod usw. kommst du dann immerhin noch bis zu dem Punkt an dem dessen Kernel die Hardware dann nicht mehr unterstützt.

Und dann liegts eigentlich zumeist nur daran, dass die Hersteller die Treiber wohl dann nicht aufbereiten. Und das liegt wohl mit daran, dass die jedes Jahr mindestens eine neue Serie raus knallen. Und die bekommt dann das neueste und die alten sind wie vergessen. Manche extrem beliebte Geräte die noch genug Leistung haben, ziehen sie dann noch nach. Und der Leistungsanspruch wird freilig nur an deren hauseigener UI gemessen.

Wiederum gibts dann bei den alternativen halt auch den Punkt, wo die alternativen dann mal sagen. Hey so ein Einzel Kern Chip is zu lahm. ... dann hängste halt auch bei der alten Version. Wobei du halt so alternativen dann *hardening* eher noch betreiben könntest als bei so einem " - Propritäres Mischlizenz geschlossenes nicht root OS- ".

(liest sich schlecht).

Dann kommt halt wiederum die Überlegung. Is mir selber das Dingens ned schon zu alt verkratzt und zu lahm?

Gruß,

R
 
OP
gehrke

gehrke

Administrator
Teammitglied
Leute, wir reden hier von Handys für Jugendliche. Denen ist es völlig wurst, was da im Hintergrund abläuft. Allein der Gedanke, so ein Ding mit ganz viel Aufwand manuell zu rooten und dabei Gefahr zu laufen, dass danach beispielsweise die Kamera nicht mehr funktioniert oder nicht mehr die schicke Oberfläche da ist. Und eine Security-Software dann noch die vielen coolen Apps behindert... Und das ganze dann gleich mehrfach und das unterschiedlichster Hardware, meist auch noch LowBudget. Und dafür soll Papa dann Support leisten?!?

Nein, vielen herzlichen Dank. Ich fasse diese Dinger nicht an und ich bin auch nicht für den Mist verantwortlich, den Google da produziert.
 

revealed

Guru
Code:
Und dafür soll Papa dann Support leisten?!?

:p ... klar doch! :D Zum Frühstück erstmal bis alle raus gekrabbelt sind, Smartphone der Kids in Reihe anstöpseln und Kernel checken :p Dann gibts noch n Sicherheitspaket für den Schulweg.... Und bis um 11 müssen alle wieder an der Ladestation sein, oder so.
 

Jägerschlürfer

Moderator
Teammitglied
gehrke schrieb:
Leute, wir reden hier von Handys für Jugendliche. Denen ist es völlig wurst, was da im Hintergrund abläuft.
Richtig. Denen ist es völlig egal, was da läuft. Es muss einfach laufen und es muss das gleiche sein, was die Freunde auch haben,...

Da ist nichts mir flashen usw.

Das Flashen der Handys ist eher für eine andere Kategorie von Menschen gedacht,...

@ gehrke
hast du dir mal die installierten Apps angeschaut, was da so alles drauf ist? Evtl kannst du hier ja schon was rausfinden,... Sofern du das Handy überhaupt in die Hand bekommst,...
 
OP
gehrke

gehrke

Administrator
Teammitglied
Jägerschlürfer schrieb:
hast du dir mal die installierten Apps angeschaut, was da so alles drauf ist? Evtl kannst du hier ja schon was rausfinden,... Sofern du das Handy überhaupt in die Hand bekommst,...
Das Handy einer Heranwachsenden ist absolut tabu für Papas - da ist man(n) sowieso nur peinliches, wenn auch manchmal nützliches Beiwerk, welches aber bitte bloß nicht uncoole Anwandlungen an den Tag legen darf. Mit einem Wort: Vergiss es, Alter! (vielleicht wird das in ein paar Jahren auch wieder anders...)
:irre:
 
OP
gehrke

gehrke

Administrator
Teammitglied
Der Sniffer ist ins Leere gelaufen, scheinbar wurde die Verbindung zu einem etwas anderen Ziel mit anderem Port neu eröffnet:
Code:
pfTop: Up State 1-26/97, View: default, Order: none, Cache: 10000                                                                                     08:08:36

PR        DIR SRC                                       DEST                                              STATE                AGE       EXP     PKTS    BYTES
tcp       In  172.16.14.12:52626                        140.205.203.98:8013                      ESTABLISHED:ESTABLISHED  15:36:12  08:49:10       24     2449
tcp       Out 172.16.14.12:52626                        140.205.203.98:8013                      ESTABLISHED:ESTABLISHED  15:36:12  08:49:10       24     2449
 

Jägerschlürfer

Moderator
Teammitglied
Hast du die Möglichkeit einen kompletten Bereich zu sperren? Sprich von 140.205.203.1 bis 140.205.203.255

Evtl. hilft dir das weiter.
 
Oben