#1 18. November 2021 Zuletzt bearbeitet: 18. November 2021 Hallo zusammen, hab grad eben durch Zufall auf meiner heimischen Firewall festgestellt, das mein Android-Phone (zugegeben nicht das neueste Modell: Huawei P8, Android 6.0) zu einer bestimmten IP alle 2 Minuten eine Verbindung herstellen will. Hier im heimischen Netzwerk wird die Verbindung geloggt und geblockt, wenn ich allerdings in freien WLAN-Netzen ohne Firewall oder Mobilen Daten unterwegs bin geht die Verbindung sicherlich durch. Ich bin was App-Installationen betrifft sehr faul, ich versuche wirklich nur das notwendigste auf dem Kasten zu installieren. Trotzdem kann ich mir nicht erklären welche App hier im 2 Minuten Intervall zu der IP kommunizieren soll. Es sind wirklich punkt genau 2 Minuten, danach läuft wieder ein Timeout von 2 Minuten und der Zähler hüpft eins nach oben. Die IP selbst darf ich hier wahrscheinlich nicht komplett nennen, aber falls jemand Möglichkeiten hat zu forschen sende ich die euch gern via PN zu. Daten zur Verbindung: Port: 8126 Typ: UDP IP: <auf Anfrage gern via PN> Anzahl der Verbindungen bisher: ca. 10500 (hab am Wochenende meine Firewall mal neustarten müssen) Soweit ich herausfinden konnte ist es eine IP vom Dienstleister Hetzner aus Sachsen / Falkenstein. Der Port wird laut dieser Webseite einerseits für RadioStreams oder auch malicious-Dienste genutzt - was mir verdächtig vorkommt. Ich bin bei weitem kein Aluhutträger, aber bei sowas geht mir grad wirklich bisschen die Muffe, dass ich hier irgendwie überwacht werde und mein Phone alle 2 Minuten sich bei einem (Malicious)-Server meldet (den irgend ein Horst sich bei Hetzner besorgt hat) und ein "keep-alive"-Signal an einen Command&Control-Server sendet. Wie finde ich raus welche App dafür verantwortlich ist bzw. was genau dort jedes mal übertragen wird? Ich müsste wahrscheinlich mittels MITM mitschnüffeln, die Theorie dahinter kenne ich, aber praktisch wüsste ich jetzt nicht wie ich das auf einem Android am besten bewerkstellige. Bitte daher um Rat. edit: ich hatte ja schonmal merkwürdige Aktivitäten auf meinem Gerät (Beitrag von 2018), was mir auch aufgefallen ist, dass der Akku innerhalb von 24h von 100% auf 15% runtergelutscht wird, was ich aber eher auf das Alters des Gerätes geschoben habe... Malwarebytes ist leider mit Android 6.0 nicht mehr kompatibel - deswegen kann ich damit nicht (mehr) das Gerät auf Schadware scanne. Gruß Tkay + Multi-Zitat Zitieren
#2 19. November 2021 Schau die IP in der RIPE Whois Datenbank nach, evtl. ergibt sich daraus etwas. Ansonsten Backup machen und Werkseinstellungen Rücksetzen und hoffen das es weg ist. Huawai hat einige sehr penetrante eigene "System"-Apps die diverses Zeug machen... könnte also auch davon was sein, aber hört sich auch nach Schadsoftware an. + Multi-Zitat Zitieren
#3 20. November 2021 Ich hätte dir gerne Lineage oder \e\-OS empfohlen aber P8 ist leider nicht dabei. /e/ community LineageOS Downloads würde mir ein gutes gebrauchtes kaufen das in den Listen vertreten ist. Gerade Nokia 6.1 ist super aber eben auch noch recht teuer. + Multi-Zitat Zitieren
#4 20. November 2021 wenn du nen raspi zur hand hast: Running a man-in-the-middle proxy on a Raspberry Pi 3 TKay gefällt das. + Multi-Zitat Zitieren