[straus]

В 26 января 2020 г. в 23:23, straus сказал:

Полетело вот сюда 216.58.192.0/19, причём на разные адреса

Кстати, если прибить эту сеть - начинает лезть на 162.159.200.123, это CloudFlare, по http не отдаётся, "прямой доступ запрещён".
 

[straus]

Ну что я вам скажу, народ... Это какой-то пипец. После выхода в интернет разных андроидовских приблуд (ТВ, планшеты, телефоны) через NAT, роутер регулярно кидает в лог попытки сканирования портов. Хохма в том, что сканирование идёт с 6 гугловских сетей. Я уже нифига не понимаю.

 

[snvoronkov]

5 часов назад, straus сказал:

Ну что я вам скажу, народ... Это какой-то пипец. После выхода в интернет разных андроидовских приблуд (ТВ, планшеты, телефоны) через NAT, роутер регулярно кидает в лог попытки сканирования портов. Хохма в том, что сканирование идёт с 6 гугловских сетей. Я уже нифига не понимаю.

Оне-же белые и пушистые. Оне-же пользователю контент доставить пытаются! Как-жеж он без их контента-то? Никак-же без рекламы-то!

 

А если серьезно, есть подозрение, что сие есть всего-то попытка доставки пуш-уведомлений для Google Services. У себя не шерстил, лень. Просто выпилил.

[st_re]

10 часов назад, straus сказал:

Ну что я вам скажу, народ... Это какой-то пипец. После выхода в интернет разных андроидовских приблуд (ТВ, планшеты, телефоны) через NAT, роутер регулярно кидает в лог попытки сканирования портов. Хохма в том, что сканирование идёт с 6 гугловских сетей. Я уже нифига не понимаю.

 

Выкеньте ваш рутер вместе с его логами... оно сессию установленную вашим клиентом в сторону гугла протухло не как по РФС, а через 10 минут, а оттуда приехало кипалайв (ну правильно, клиент то сессию не закрывал) .. и этот сразу кричать ой ой ой, порты сканируют.  

 

ну или тисипидамп в студию. что именно оттуда прилетело то, чего не должно было бы быть при таком  сценарии.

 

 

[straus]

В 7 февраля 2020 г. в 11:20, st_re сказал:

оно сессию установленную вашим клиентом в сторону гугла протухло не как по РФС, а через 10 минут

Роутер держит TCP-сессию 7200 секунд. Это 2 часа.

 

В 7 февраля 2020 г. в 11:20, st_re сказал:

и этот сразу кричать ой ой ой, порты сканируют

Сканирование - это поиск на адресе открытых портов перебором. Чтобы роутер воспринял как сканирование - нужно перебрать не менее 12 произвольных портов с одного адреса. Три строки в логе подряд - перебрано не менее 36 портов. И это уже плохой признак. Тем более, что перебор идёт пакетами, обычно с трёх адресов по 3-4 строки в логе. Но я не ожидал такого с гуглевских адресов.

И это происходит не всегда. Например уже сутки ни одной поклёвки.

 

Кстати, если зайти на большинство этих адресов браузером (без имени сайта, только по IP) - выдаёт поисковую страницу гугла.
 

[st_re]

5 часов назад, straus сказал:

Роутер держит TCP-сессию 7200 секунд. Это 2 часа.

 

Сканирование - это поиск на адресе открытых портов перебором. Чтобы роутер воспринял как сканирование - нужно перебрать не менее 12 произвольных портов с одного адреса. Три строки в логе подряд - перебрано не менее 36 портов. И это уже плохой признак. Тем более, что перебор идёт пакетами, обычно с трёх адресов по 3-4 строки в логе. Но я не ожидал такого с гуглевских адресов.

И это происходит не всегда. Например уже сутки ни одной поклёвки.

 

Кстати, если зайти на большинство этих адресов браузером (без имени сайта, только по IP) - выдаёт поисковую страницу гугла.
 

Еще раз, это вы прошивку разобрали в рутере, что там 7200  или таки сами придамали ? тисипидамп, когда трафика src/dst от вас небыло в течении нескольких часов, а потом прилетел син от них в студию. И с некоторой вероятностью это будет УДП, в котором нет штатного кипалайва и окончания сессии, но кторый гугл очень использцет для доступк к своим ресурсам. и очень часто нат сессии зажимают время жизни до мизера на рутере, чо странно себя ведет с quic от гугла.

 

Все эти горе писатели прошивок для рутеров и прчоих домашних фаерволов умеют нагонять страстей Господних в логи и называть белое черным. не надо им верить. Совсем не надо. совершенно легитимный трафик инициированный клиентом вдруг становится АХТУНГ АТАКА!!! при этом на реальные попытки атаки часто вообще не реагирует. Логи рутера приводить, это вон, в спидинфо пожалста.. в приличном обществе несколько странно слышать такие пруфы. 

 

А поисковую страницу гугла выдают на ЛЮБОМ их прокси на неизвестное имя, коих понатыкано как в их сетях так и во вне. если андроидл туда ходил, то там по IP покажется страница поиска с вероятностью 90% потому как ходил он на ресрус гугла, и в мир оно торчит задницей именно через такой прокси.. Вы там хотели увидеть чтото другое ? И с правильным именем в заголовке оно отдало телефону что надо и сложило вашу телеметрию куда надо. и сканировать ваши пjрты им врядли надо., устройство само все отдаст. Если им очень надо, даже поуправляется через соединение от вас туда. благо не сложно. не надо для этого сканировать ваши порты совершенно. Это же палево, и так ясно что 90% ходящих с вайфая по  IPv4 придут с ната. Зачем оно им. Оно же обломившись на непроходе длинных УДП сессий через ваш рутер, сфалбечится на тистпи и поуправляется.

[straus]

3 часа назад, st_re сказал:

Еще раз, это вы прошивку разобрали в рутере, что там 7200  или таки сами придамали ?

Ёшкин кот!

Да пишет он на каждое соединение, сколько осталось.

 

Protocol    Source IP    Source Port    Dest IP    Dest Port    Age Time
TCP    192.168.0.112    40228    173.194.222.188    5228    7158
TCP    192.168.0.112    36584    160.44.202.183    5223    7101
TCP    192.168.0.112    33220    157.240.20.32    443    6743
TCP    192.168.0.112    40186    173.194.222.188    5228    3826
TCP    192.168.0.112    37824    52.0.253.115    4244    3704
TCP    192.168.0.112    42752    64.233.162.188    5228    3565
TCP    192.168.0.112    39606    52.0.252.89    4244    3467
TCP    192.168.0.112    45778    108.177.14.188    5228    3290

Последнее значение видно без очков?
 

[Sergey Gilfanov]

Можно поэксперементировать. Заблочить весь IPv4 трафик от гугла и ходить на его ресурсы по IPv6. Уже без NAT-а, разумеется.

[st_re]

40 минут назад, straus сказал:

Ёшкин кот!

Да пишет он на каждое соединение, сколько осталось.

 

Protocol    Source IP    Source Port    Dest IP    Dest Port    Age Time
TCP    192.168.0.112    40228    173.194.222.188    5228    7158
TCP    192.168.0.112    36584    160.44.202.183    5223    7101
TCP    192.168.0.112    33220    157.240.20.32    443    6743
TCP    192.168.0.112    40186    173.194.222.188    5228    3826
TCP    192.168.0.112    37824    52.0.253.115    4244    3704
TCP    192.168.0.112    42752    64.233.162.188    5228    3565
TCP    192.168.0.112    39606    52.0.252.89    4244    3467
TCP    192.168.0.112    45778    108.177.14.188    5228    3290

Последнее значение видно без очков?
 

Ну Age Time может быть и осталось и прошло с начала.. Это как бы что там в голову китайам пришло.

 

UDP то где ? В гугловые устройства массово по UDP в гугл ходят.

 

тисипидампа нет ? ну ищите ваши сканы дальше... :)

[straus]

9 минут назад, st_re сказал:

тисипидампа нет ?

Сейчас уже больше двух суток тихо. Жду.
 

 

10 минут назад, st_re сказал:

Ну Age Time может быть и осталось и прошло с начала..

Оставшееся. Оно уменьшается.

Но в любом случае это неважно, потому что 7200 есть, хотя некоторые (не будем показывать пальцем) не верили.
 

[st_re]

и юдипи ?

[Ivan_83]

Вчера дошли руки разобраться кто и куда сожрал память в планшетах и мобилках.

Помимо очевидного мусора от удалённых программ и временных файлов нашлась целая куча файлов которые навалили всякие SDK рекламных сетей, чтобы все приложения могли однозначно идентить что они на одном девайсе и ваще трекать тело.

Накидал скрипт который у меня при каждой загрузке все херит.

http://www.netlab.linkpc.net/download/software/entware/opt/etc/init.d/S97_clean_apps.sh

 

Соседний скрипт чистит системные логи: http://www.netlab.linkpc.net/download/software/entware/opt/etc/init.d/S98_clean_logs.sh

удаляет все что старше 3 суток.

 

http://www.netlab.linkpc.net/download/software/entware/opt/bin/app_disabler.sh

Этот мегаскрипт сносит кнокс и кучу предустановленного хлама, но нужно заранее озаботится файловым манагером, клавиатурой, отладкой по юзби, тврп и вообще быть готовым к бутлупу.

[straus]

53 минуты назад, Ivan_83 сказал:

Накидал скрипт который у меня при каждой загрузке все херит.

 

53 минуты назад, Ivan_83 сказал:

Этот мегаскрипт сносит кнокс и кучу предустановленного хлама

И правильно. Ибо не.уй!
 

И вообще, нефиг всяким гуглам знать, что телефон сейчас находится возле метро "Кузьминки".

Наш народ вообще недооценивает важность персональных данных. Сильно недооценивает. Менталитет-с...
 

[LostSoul]

Я по другому пробовал, выявить сколько у меня через роутеры абонентов прилеиает трафика с их внутренними ip ( домашней локалки)

Оказалось дохрена и больше. Как то у них этот аппаратно ускоренный нат не совсем гладко рпботает

[Ivan_83]

У меня вообще много всего поменялось ещё с весны, когда я детям планшеты взял.

http://netlab.dhis.org/wiki/ru:software:android

решил что андройдов стало слишком много и надо как то автоматизировать, с другой стороны я многое делал и забывал потом как это делается и в лучшем случае это оставалось в виде текстовых заметок в файле где я записываю всякое.

Теперь после получения рута уже более-менее все автоматизировано: один скрипт раскатывает entware, потом оно обновляется через ссш и дальше легко по накатанной. Свой софт тоже сразу заливается тем же рсинком: фдройд, клава, инсталлер фдройд приложух, автора, файломанагер, сканер шрихкодов, генератор шрихкодов с паролем вифи, авторанс.

Сейчас уже всё унифицировалось и работает без изменений от 4 до 10 андройда. Хотя в 10 сканер штрихкодов и генератор не нужны, там встроенное есть чтобы пароль вифи не вводить руками и шарить. Иногда приходится вносить правки для новых девайсов, особенно во время зачистки пополнять список, хотя и так не плохо вычищает, от 50 до 80% мусора сразу.

 

Больше всего порадовали современные девайсы.

- SM-P610 от сасунга: чото намудрили и туда в рекавери не встаёт ни тврп ни магиск. И не только в нём: https://github.com/topjohnwu/Magisk/issues/2272

пришлось магиском же патчить основной раздел, только так и встало. Потом эти извращенцы под завязку забили /system да ещё сделали там крайне мало inodes, те я пару файлов больших грохнул чтобы место для entware надыбать, начал ставить и иноды кончились меньше чем на пол пути. Нашёлся какой то ещё раздел с ненужным барахлом где они иноды не зажали, туда пришлось ставится и править скрипты.

- BQ-5530 или как то так. Я думал все будет просто... В общем все и было просто. Но есть нюанс: ни какие изменения в /system (и любом не /data разделе) не переживают ребут. Чото они пропатчили в ядре. Пришлось лить в /data а потом через twrp заливать в систем, так только прижилось. Обновлять теперь тоже так же гиморно.

- j116 старенький сасунг, все хорошо, но никак не могу замутить автозапуск entware при загрузке, так чтобы оно переживало вайп дата раздела. SeLinux все мешается.

 

Для полного щастья осталось:

- проинсталить крон и перетащить туда задачи по самоочистке, пусть ежесуточно крутятся

- может втащить анбоунд, чтобы рекламу никогда не видеть с трекерами и прочим

- туда же втащить автобекап рсинком на домашний сервер, хотя одного рсинка тут будет маловато - вдруг подсунут чужой сервер...

- положить в гит и замутить автодеплой всего этого...

- сделать списки исключений заливаемого софта в зависимости от версии андройда

 

Потраченное время окупилось если не на первом же то на втором рутуемом девайсе - это ваще точно, ибо список удаляемого софта это всегда было то что я руками по пунктам сравнивал и долго подбирал.

[pppoetest]

С каждым годом рутовать становится всё сложнее. На прошлый телефон потратил пару часов с заливой тврп и магиском, на текущий - пару дней.

[straus]

1 час назад, pppoetest сказал:

С каждым годом рутовать становится всё сложнее. На прошлый телефон потратил пару часов с заливой тврп и магиском, на текущий - пару дней.

Естественно, они же теряют деньги. Они теряют твои деньги.

Плюс борьба с терроризмом.

И твоё рутование в их понятие мира никак не вписывается.
 

[Sergey Gilfanov]

18 минут назад, straus сказал:

Плюс борьба с терроризмом

С каким терроризмом? Ради этого можно прямо в остальную фирмварь железки, не OS, закладок наставить. Тут борются с зловредами и мошенниками, что денег хотят. Вон, в правилах Google Play политику на права  прием/отправки SMS-ок совсем урезали.

 

[Ivan_83]

2 часа назад, straus сказал:

Естественно, они же теряют деньги. Они теряют твои деньги.

Плюс борьба с терроризмом.

И твоё рутование в их понятие мира никак не вписывается.

Не перегибай, тогда бы все загрузчики лочили как яблоко и куавей.

[Ivan_83]

3 часа назад, pppoetest сказал:

С каждым годом рутовать становится всё сложнее. На прошлый телефон потратил пару часов с заливой тврп и магиском, на текущий - пару дней.

Тут как повезёт.

SM-T510 - легко рутовались, относительно, хотя пришлось пару раз переделывать из за кнокса. Но тврп был уже.

SM-P610 - тврп нет, магиск штатным способом не вставал. В общем я сам виноват что не изучил тему подробнее перед покупкой. Он у меня пару месяцев валялся потому что я не знал чтос ним делать, а в стоковом видеть мне его в руки брать не хотелось.

SM-T580 - (старенький) рутовался примерно так же как 510, даже после обновления прошивки до последней, дотя у него 8.1 а не 9.0 андройд.

Лично для меня хуже всего старые андройды, где нет штатного init.d чтобы туда закинуть entware в вавтозагрузку, каждый раз приходится искать руками куда засунуть. Часто удаётся найти всякие мёртвые службы, которых на самом деле нет, и подсунуть вместо них. Но вот на 531 это кончилось тем, что скрипт теперь при запуске чекает что магиск установлен и что он запущен не с SeLinux контекстом магиска, тогда он перезапускает сам себя через su...

На хайскрине я даже нашёл какой то параметр чтобы запускалась какая то служба квалкомовская, которой нет, и теперь оно так запускает мне энтварь :) Но там андройд 4 и сильно меньше заморочек.

 

Но в целом я уже обдумал что соскочу на какое то открытое железо, пусть и дороже и хуже если все станет совсем плохо.

Полагаю именно наличие такого железа останавливает производителей от лока загрузчиков.

[straus]

3 часа назад, Ivan_83 сказал:

Не перегибай, тогда бы все загрузчики лочили как яблоко и куавей.

Не перегибаю. Увидишь, скоро все, кто сильно зависит от амеров, будут лочить.
 

[Sergey Gilfanov]

3 минуты назад, straus сказал:

Не перегибаю. Увидишь, скоро все, кто сильно зависит от амеров, будут лочить.
 

Непонятна логика. Лочат, насколько я понимаю, не совсем по желанию американцев. А по требованиям 'должно быть безопасно, чтобы зловред дне пролез и контент только законный был'. Т.е.  - по желанию платежных систем и 'защитников копирайта' в общем-то. Ты думаешь, что UnionPay или JCB и держатели копирайтов в тех же странах меньше мозги производителям полощут?

[straus]

40 минут назад, Sergey Gilfanov сказал:

Ты думаешь, что UnionPay или JCB и держатели копирайтов в тех же странах меньше мозги производителям полощут?

Они просто дети по сравнению с АНБ и ещё парой структур. Я ща подумаю, можно ли выкладывать источники информации, может и вывалю.
 

[snvoronkov]

24 минуты назад, straus сказал:

Они просто дети по сравнению с АНБ и ещё парой структур. Я ща подумаю, можно ли выкладывать источники информации, может и вывалю.
 

Заинтриговал.

Мне сильно интересно будет попробовать вписать в схему Грефа, Бордюрыча и прочих, которые активно подпевают. :-)

[Sergey Gilfanov]

40 минут назад, straus сказал:

Они просто дети по сравнению с АНБ и ещё парой структур.

Можно все-таки логику, по которым этим нужна блокировка загрузчиков? Как я уже сказал, мне кажется, что они вполне могут то что им нужно уровнем ниже встроить в железку.