WhatsApp komisch IP Zugriff.

[mcdexter]

Hi und schönen guten Abend.
Hoffe erstmal das ich hier richtig bin.

Also WhatsApp auf meinem Android Smartphone hat seit Wochen zig Zugriff auf Webseiten oder IPs die ich als komisch empfinde. Bei manchem Lande ich auch direkt auf einem Apache Server. Also der Login seite.
Hat einer eine Ahnung warum und wieso das so ist?

Hier mal paar Beispiele:
tor.nocabal.de/
ntp1.kashra-server.com
vbrandl.net
festnoz.de/

mail2. light-speed.de

Könnte die Liste noch um 20 Einträge ergenzen.

 

[riversource]

Woher weißt du, dass Whatsapp die Seiten aufruft?

 

[mcdexter]

Habe NetGuard installiert.
Also eine Firewall.

 

[BFF]

tor.nocabal.de/
ntp1.kashra-server.com

Die beiden stellen u.A. ihren "Server" auch als Zeitserver fuer ntp.org zur Verfuegung.

Also WhatsApp auf meinem Android Smartphone

Und Dein NetGuard sagt, dass es WhatsApp ist welches die Adressen/IP aufruft?

 

[mcdexter]

Und Dein NetGuard sagt, dass es WhatsApp ist welches die Adressen/IP aufruft?

Guten Morgen.
Ja, genau.

 

[Raijin]

Das werden vermutlich irgendwelche Links bzw. Medien in deinen Chats sein. WhatsApp erkennt Links und löst sie auf, um zB ein Vorschaubild zu zeigen. Hast du da mal nachgeschaut?

Ergänzung (19. März 2024)

NTP ist im übrigen vollkommen unkritisch, weil es lediglich der Zeitsynchronisation dient. Dabei können regelmäßig unterschiedliche Server auftauchen, da sie in NTP-Pools organisiert sind. Mittels Round-Robin-DNS bekommt man bei jeder Anfrage einen anderen NTP-Server zugewiesen.

Einfach ein paar Mal ausprobieren: nslookup pool.ntp.org 8.8.8.8
(Wichtig: 8.8.8.8 hinzufügen, da der lokale DNS = Router womöglich cached)

NetGuard macht vermutlich einen Reverse-Lookup und sucht zu eben diesen IP-Adressen die Domains. Im Log taucht anschließend eben nicht pool.ntp.org auf, sondern die Domain des gerade tatsächlich genutzten NTP-Servers - und das war bei dir gestern abend mutmaßlich ntp1.kashra-server.com und ggfs noch viele weitere auf deiner Liste. Dabei ist es aber in keinster Weise definiert, dass die Domains irgendwo ntp im Namen tragen müssen.

Einen Reverse Lookup kann man zB so machen: ping -a 1.2.3.4

Bei einem kurzen Test mit den genannten Befehlen habe ich bei mir auch zum Teil sehr abenteuerliche Domains rausbekommen. Es ist möglich, dass der Großteil der von NetGuard geloggten Domains auf NTP zurückzuführen ist. Wenn im Log auch Protokoll und Port stehen, könnte man das prüfen. NTP nutzt UDP 123.

 

[mcdexter]

@Raijin

Links oder Medien sind es nicht. WhatsApp hatte ich um das auszuschließen neu installiert.

Und danke für deine ausführliche Antwort 🙂
Dann hoffe ich mal dass das normal ist bei WhatsApp.

 

[Raijin]

Hab mal deine Beispiele mit dem NTP Server Online Test gecheckt. Alle reagieren sowohl mit IPv4 als auch mit IPv6 auf NTP, bis auf tor.nocabal.de, da geht's nur mit IPv6.

Du kannst ja selbst mal deine übrige Liste stichprobenartig testen. Sieht es bei den anderen Domains ähnlich aus, kann man relativ sicher sagen, dass NTP dafür verantwortlich ist. Theoretisch können auf den Servern natürlich auch andere Dienste laufen und die Existenz eines NTP-Dienstes ist womöglich nur Zufall, aber wenn schon bei den 5 Beispielen die Trefferquote bei 100% liegt, würde ich einen kausalen Zusammenhang vermuten

 

[Helge01]

Ich habe auch mal allgemein die Beispiele gecheckt, da ist keine Adresse dabei die "Verhaltensauffällig" ist (obwohl Hetzner ).