发现手机十分频繁的扫描外网, 被光猫日志记录
Manufacturer:ZTE;
ProductClass:F663N;
SerialNumber:ZTEGC9F2152F;
IP:192.168.1.1;
HWVer:V1.0;
SWVer:V1.1.0P1T7;
2021-01-01 19:32:39 [Alert] firewall security alert! Remote (source) address:192.168.1.41,scan dest address:223.74.133.75,and source port:7700,dest port:3890
2021-01-01 19:36:19 [Alert] firewall security alert! Remote (source) address:192.168.1.41,scan dest address:223.73.148.191,and source port:7700,dest port:29205
2021-01-01 19:36:22 [Alert] firewall security alert! Remote (source) address:192.168.1.41,scan dest address:223.81.155.252,and source port:7700,dest port:3484
2021-01-01 20:30:30 [Error] [reg_mgr] call KILL_TIMER(1) check Tmid[0] Error!
2021-01-01 20:30:30 [Error] [reg_mgr] call KILL_TIMER(2) check Tmid[0] Error!
2021-01-01 20:30:39 [Error] not find fd(-1) in pid[1786] wOpReadState[0x6], wOpWriteState[0x0] AddFDEvent error!!
2021-01-01 20:30:40 [Error] [audit_mgr] call KILL_TIMER(1) check Tmid[0] Error!
2021-01-01 22:49:01 [Critical] VIP_SEC: inet_bind2:proc-dnsmasq,pid(1133,1133),pt=35688,prot=(1,17)
2021-01-01 22:49:01 [Critical] VIP_SEC: inet_bind2:proc-dnsmasq,pid(1133,1133),pt=31958,prot=(1,17)
2021-01-01 22:49:01 [Critical] VIP_SEC: inet6_bind2:proc-dnsmasq,pid(1133,1133),pt=35075,prot=(1,17)
2021-01-01 22:49:01 [Critical] VIP_SEC: inet6_bind2:proc-dnsmasq,pid(1133,1133),pt=25289,prot=(1,17)
经过排查发现是我的手机, 目前使用路由拦截了所有的请求, 尝试过卡刷 \ 出厂化 \ 线刷, 发现仍然有扫描信息, 其中发现两个可疑的 IP, 并不确定是否是扫描后发送的信息
- 182.254.116.117
GET http://182.254.116.117/d?dn=0b34cd3319ab768b2d0dd91148c5ca1129a59c5186270dd6&clientip=1&ttl=1&id=1 HTTP/1.1" - - "-" "Dalvik/2.1.0 (Linux; U; Android 10; MI 8 MIUI/V12.0.3.0.QEACNXM)GET http://182.254.116.117/d?dn=wzry.broker.tplay.qq.com&ttl=1 HTTP/1.1" - - "-" "Dalvik/2.1.0 (Linux; U; Android 10; MI 8 MIUI/V12.0.3.0.QEACNXM)
- 162.14.14.11
GET http://162.14.14.11/d?appid=1&dn=titan.pinduoduo.com,titan-mt.pinduoduo.com&ticket=4006282458&os=1&version=1&clientVersion=5.43.0&titanId=mKXA0npu HTTP/1.1" - - "-" "android Mozilla/5.0 (Linux; Android 10; MI 8 Build/QKQ1.190828.002; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/83.0.4103.101 Mobile Safari/537.36 phh_android_version/5.43.0 phh_android_build/b856cdc1b6d9d09ebcecae175c127940bf09ec5e phh_android_channel/xm pversion/0
其中我并没有下载 chrome 有火狐浏览器,请问大佬指导有什么办法可以查杀病毒并清除的吗?
更新于 2021-01-02 12:40
前言
最开始遇到问题, 使用 MI8 访问了颜色"学习"网站, 后续学习扫描的时候突发奇想是否会被路由器记录, 所以使用管理员账号访问了光猫进行查看了日志, 发现之前的日志是干净的, 存在我测试扫描的记录, 但是同时发现自访问在 1 小时前进行了同 IP (下级路由)进行了多次其他外网 IP 的扫描记录, 然后清除了日志数据将(在此之前我并没有兴趣关注光猫的日志, 更不会清除之前的日志了). 连接光猫 wifi 并且进行了静态 IP 绑定. 之后发现是移动端发起的扫描信息.
之前有大佬提出这个可能是属于正常化的,那么正常的情况应该会是两个手机都会出现 IP 扫描信息(不排除其他可能), 我准备自明天开始观察 3 天(今天要出一趟远门). 假设都是存在的, 那么说明这在一定的可能性上并不是病毒, 可能是系统或软件执行了某些功能导致的光猫日志记录了扫描信息, 到时候在具体折腾, 感谢各位大佬的回复以及关注.
光猫信息
运营商: 中国移动
设备型号: F663N
硬件版本号: V1.0
软件版本号: V1.1.0P1T7
区域: 江西
光猫日志设置级别: Error
记录开始时间: 2021-01-02 11:40
测试环境说明
- MI8
- IP: 192.168.1.43
- 系统及版本: MIUI 12.0.3 稳定版
- 是否解锁: 否
- 曾经的尝试:
- 第一步进行了卡刷,是通过 firefox 使用 https 访问官网进行下载最新的卡刷数据包
- 第二步发现卡刷仍存在扫描信息, 进行了出厂化
- 第三步出厂化未果之后按照官方教程进行了线刷
- MI5
- IP:192.168.1.3
- 系统及版本: MIUI 10.8.11.22 开发版
- 是否解锁: 是(刷了 ROOT)
- 曾经尝试: 无
测试方式
阶段一: 使用两个手机直连光猫路由器, 绑定 MAC 与 IP, 间隔查询光猫日志是否出现扫描信息.阶段二: 将发现的扫描信息的手机连接 WiFiPineapple 绑定 MAC 与 IP 使用 urlsnarf 进行请求拦截, 参考光猫日志以及本身请求判断可能存在疑点的请求.
昨天开始记录, 仍存在扫描记录, 并且目前只发现有原有的 MI8 存在扫描信息, 今天下午在看发现光猫的日志于 2021-01-04 13:58:57 为最新的日志信息, 不排除自动清除日志的可能, 在光猫的日志信息的并没有发现自动清除日志的可操作选项, 但是也觉得可以理解. 与我个人而言受限于自我的知识储备等因素暂时没有更好的解决方案, 我个人就算受损也不会太大, 只是希望我的遇到的问题能够给予到一些后续的参考, 就算是我多心也罢, 最不在乎的就是在没有找到合理的解释前多想几种可能去假设推断. 后续应该也就是自己想想其他方法折腾了, 谢谢之前各位大佬的热心与回复
发表于 2021-1-2 00:30
|
发表于 2021-1-2 08:33
