Подозрительная активность в прошивке?

[yarazny]

Добрый день,

Имею в наличии zyxel keenetic giga 

Платформа NDMS

2.04.C.7.0-8

прошивку брал с официального сайта

обнаружил странное соединение

/etc # netstat -tulpan
netstat: showing only processes with your user ID
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
...
udp        0      0 10.172.92.152:33178     212.13.97.55:123        ESTABLISHED 126/ndm
...

10.172... это мой адрес от провайдера (за натом)

а вот 212.13.97.55 -- это странный адрес который реверсится в sufferer.okonti.ru -- типа фабрика окон.

просканил этот адрес nmap'ом, вроде бы на 123 действительно ntp сервер.

тем не менее, если в админке включить возможность устанавливать время автоматически, то роутер время берет с

Jan 11 17:46:56ndmNtp::Client: time synchronized with "3.pool.ntp.org".

 

Получается в прошивку зашит некий сюрприз? Или я может чего-то не допонимаю? Кто может пояснить?

[MDP]

У Вас DNS сервера указываются провайдерские? ...попробуйте другие DNS чтоли указать.....

[MDP]

...nslookup 3.pool.ntp.org что показывает?

[keenet07]

212.13.97.55

Москва

inetnum: 212.13.97.48 - 212.13.97.63
netname: okonti-centel-net
descr: "Okonnyi Kontinent" OOO
country: RU

О чем-нибудь говорит?

https://www.okonti.ru/

За вами следят пластиковые окна VEKA

Edited January 11, 2020 by keenet07

[MDP]

C:\Users\MDP>nslookup 3.pool.ntp.org
╤хЁтхЁ:  UnKnown
Address:  192.168.1.1

Не заслуживающий доверия ответ:
╚ь :     3.pool.ntp.org
Addresses:  195.3.254.2
          91.206.16.3
          91.207.136.55
          37.193.156.169


C:\Users\MDP>nslookup 3.pool.ntp.org
╤хЁтхЁ:  UnKnown
Address:  192.168.1.1

Не заслуживающий доверия ответ:
╚ь :     3.pool.ntp.org
Addresses:  62.231.6.98
          80.240.216.155
          89.221.207.113
          195.210.189.106
C:\Users\MDP>nslookup 3.pool.ntp.org
╤хЁтхЁ:  UnKnown
Address:  192.168.1.1

Не заслуживающий доверия ответ:
╚ь :     3.pool.ntp.org
Addresses:  85.21.78.91
          91.209.94.10
          213.141.136.201
          85.21.78.8

C:\Users\MDP>nslookup 3.pool.ntp.org
╤хЁтхЁ:  UnKnown
Address:  192.168.1.1

Не заслуживающий доверия ответ:
╚ь :     3.pool.ntp.org
Addresses:  185.209.85.222
          37.193.156.169
          88.212.196.95
          80.240.216.155

Думаю так и должно быть ...у них большой пул адресов. А данные из сидр устаревшие

[yarazny]

1 час назад, MDP сказал:

...nslookup 3.pool.ntp.org что показывает?

~ # nslookup 3.pool.ntp.org
Server:    8.8.8.8
Address 1: 8.8.8.8 dns.google

Name:      3.pool.ntp.org
Address 1: 194.190.168.1 ntp.ix.ru
Address 2: 91.207.136.50 time.ooonet.ru
Address 3: 91.206.16.3 tms04.deltatelesystems.ru
Address 4: 62.231.6.98 ntp3.aas.ru
 

 

Видимо действительно просто берет рандомно существующие открытые ntp сервера.

[Le ecureuil]

В 11.01.2020 в 19:46, yarazny сказал:

~ # nslookup 3.pool.ntp.org
Server:    8.8.8.8
Address 1: 8.8.8.8 dns.google

Name:      3.pool.ntp.org
Address 1: 194.190.168.1 ntp.ix.ru
Address 2: 91.207.136.50 time.ooonet.ru
Address 3: 91.206.16.3 tms04.deltatelesystems.ru
Address 4: 62.231.6.98 ntp3.aas.ru
 

 

Видимо действительно просто берет рандомно существующие открытые ntp сервера.

Забейте в конфиг IP NTP сервера, которому доверяете - будет работать только с ним.