CM13/14.1: Linux Kernel will im Sekundentakt auf Internet zugreifen ...

  • 50 Antworten
  • Letztes Antwortdatum
Heizoelkocher

Heizoelkocher

Stamm-User
85
... und zwar auf verschiedenste IP-Adressen.
Die AFWall blockierts, und alles funktioniert.
Habt Ihr dieses Phenomen auch?

Schöne Grüße!
 
Ich sehe in deinem Link nichts was mit dem Thread zu tun hat.
 
@rudolf
Zitat aus dem Artikel:
"Da aber zahlreiche Linux-Webserver, Android-Devices und Desktop-Distributionen nach wie vor die älteren Versionen verwenden, stellt die Schwachstelle eine ernsthafte Bedrohung für sehr viele Internet-Nutzer dar.
 
Zuletzt bearbeitet:
Wenn das neueste Android 7.1 bzw. 14.1 die im Artikel beschriebene Schwachstelle haben sollte, wäre es (von außen) angreifbar.

Warum aber der Linux-Kernal aber im Sekundetakt auf's Netz zugreifen will, lese ich da nicht heraus. Dann müsste im neuesten CM14.1 ja schon ein Botnet-Client eingebaut sein . . .

Zugriffsziele sind laut Protokoll:
224.0.0.22:0
79.199.204.51:5006 // Telekom
172.16.72.1:60657 // mein Router, der Port ist aber völlig unbekannt
172.16.72.1:58135 // mein Router, der Port ist aber völlig unbekannt
5.148.175.198:5222 // Nine Internet Solutions AG ?????
172.217.22.14:80 // irgend etwas in Californien ????
172.217.22.4:443
158.85.58.109:443 // District Of Columbia, Washington
194.25.134.51:993 // vermutlich Telekom

Linux-Kernel-will-Netzzugang.jpg


Nachtrag: es handelt sich um ein Tablet Z mit CM13 und ein G3 mit CM14.1, beide die gleichen Protokolleinträge.
 
@Heizoelkocher
Welches Handy hast du?
Ich würde eventuell mal versuchen einen anderen Kernel zu flashen.
Normal ist das Verhalten deines Kernels meines Wissens nach jedenfalls nicht
 
Es sind zwei völlig unterschiedliche Geräte: ein Tablet Z mit CM13 und ein LG G3 mit CM14.1, beide die gleichen Protokolleinträge.
Das G3 vurde erst kürzlich wieder völlig platt gemacht und mit dem CM14.1 geflasht.

Es muss also am mit dem CynogenMod gelieferten Kernal liegen . . .
 
@Heizoelkocher
Ja, das denke ich auch. Versuche es doch bitte mal mit einer AOSP Rom.
Dann wäre es interessant zu sehen ob das Problem dort auch auftritt. Für das G3 gibt es glaub was von Tesla Ground Zero Roms. Die basiert auf AOSP

Post Data
@Heizoelkocher
Probier es mal hier mit:
Hey guys. Sunday Android N 7.1 is up for the LG G3! Enjoy! flashing…
 
Zuletzt bearbeitet:
@Heizoelkocher
Kannst du mir einen system Log raus lassen bevor du ein anderes System installierst?
Mit dem aLogcat (free) - logcat – Android-Apps auf Google Play zb.

Und wenn es geht eine komplette Liste der IP Adressen bitte.
spookcity138 (senior developer xda)
Wird sich das dann auch mal anschauen, er ist auch der Meinung das es NICHT normal ist und wird uns helfen der Sache auf den Grund zu gehen.
LG
Sunny76
 
So, hier habe ich noch einmal ein paar Daten zusammen gestellt.

Im LogCat kann ich wenig erkennen. Im Gegenteil: da stehen Dinge drin, die auf meinem Gerät nicht installiert sind (z.B. Windfinder Pro). Ich schicke es Dir , Sunny76, per PN zu.

--------

So sehen die ständigen "Blockiert"-Meldungen im Betrieb aus:
G3 Zugriffsmeldungen.png


Protokollübersicht:
AFWall Protokoll geoeffnet.png


Protokoll für Kernel, Detailansicht:
AFWall Protokoll.png


Protokoll für Kernel, Detailansicht, "alte Ansicht" (lt. Einstellungen AFWall):
AFWall Protokoll alte Ansicht.png


Auf dem Tablet Z mit CM13 sehen alles sehr ähnlich aus:
AFWall Zugriffsmeldungen Tablet.png
 
  • Danke
Reaktionen: Sunny
@Heizoelkocher
Ich habe wie gesagt mit den Entwicklern dieser Rom bzw des Kernels Kontakt.
Wenn es dir recht ist werde ich dich später in die Diskussion auf XDA mit einbeziehen.
Bin gerade in der Schweiz und hab Roaming und schlechtes Netz noch da zu
LG
Sunny76
 
  • Danke
Reaktionen: Heizoelkocher
Ja was sagen die verantwortlichen Entwickler dazu?
Es muss ja nicht der Kernel direkt sein - es kann ja auch ein Programm den Kernel triggern.
Die RFC-5961 Lücke ist mMn unwarscheinlich - habs jetzt nur überflogen aber anscheinend muss der Angreifer im gleichen Netzwerk sein was bei nem Smartphone recht unpraktisch ist.
Bevor man jetzt anfängt alles auseinander zu nehmen um zu gucken was da wie falsch läuft würd mich erstmal das Statement vom Erbauer interessieren :D
 
:) da weiß der sich anscheinend selbst nicht zu helfen...
Ich würd jetzt einfach mal das installieren und einrichten Packet Capture – Android-Apps auf Google Play
Dann mal aus Spass die Firewall deaktivieren und mit dem Tool den traffic mitschneiden ( muss ja nur ein paar Sekunden sein so oft wie die Anfragen gestellt werden) Vielleicht kann man aus dem Wlan dumb Rückschlüsse auf die requests bekommen.
 
@Cynob
Hennymcc ist wohl ziemlich beschäftigt im Moment und auch nicht wirklich interessiert.
Spookcity138 hat den LogCat aber eben auch kaum Zeit,wenn auch interessiert.
@Heizoelkocher
Könntest du das von Cynob vorgeschlagene mal installieren und schauen was passiert?
 
0 ist ja der root user, evtl ists gar nicth der kernel sondern root apps und afwall zeigt es nur falsch an
 
@vetzki
Eben das vermuten die Entwickler auch.
 
Das wird auch so sein...
Was hätte der Kernel davon? :D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Kosake77
Platform Tools (adb, fastboot) installieren unter Linux Mint
Antworten
18
Aufrufe
1.079
Der René
Der René
Desperat
Was bedeutet bei der Info zum Kernel die Datumsangabe?
Antworten
6
Aufrufe
642
Otandis_Isunos
Otandis_Isunos
Zurück
Oben Unten