Firefox tenta di connettersi ad altri computer sulla LAN

10

Durante l'esecuzione di Wireshark cercando di risolvere altri problemi, ho notato diverse connessioni SYN alle porte 80 e 443 sulla workstation che stavo usando. I pacchetti sono stati eliminati. Questi provenivano da altre workstation. Non c'è nessun server web in esecuzione su questa workstation e il suo indirizzo IP è rimasto invariato per settimane.

Monitoraggio del processo in esecuzione su una delle workstation di origine, ho trovato che Firefox è la fonte dei pacchetti.

Qualcuno sa perché Firefox stia tentando di connettersi a un'altra workstation locale, non a un server? La workstation esegue Firefox 39.0.

Modifica 08/12/15: ho bloccato Apache (tramite xampp) sul computer "vittima" e ho trovato la voce di registro molto comune "/connect/xd_arbiter/7tUlZKGPU61.js?version=41 HTTP/1.1" 404 1354 "(some webpage)" "(useragent)" . Google mi dice che questo è qualcosa che ha a che fare con Facebook, ma nulla di veramente oltre. Qualcuno ne sa di più?

    
posta user2891127 03.08.2015 - 20:01
fonte

1 risposta

4

Ci sono diverse possibilità qui:

  • Una scheda di Firefox ha un sito Web che continua a connettere e aggiornare un indirizzo IP interno. Potrebbe essere un'appliance NAS domestica che per coincidenza ha lo stesso IP del computer

  • Uno script Javascript proveniente da un sito Web legittimo tenta di eseguire la scansione della rete interna utilizzando Cross Origin Requests o WebSockets. Questo sito web può farlo. Nota che la funzione WebRTC più recente può ottenere l'indirizzo IP locale di un computer anche se non è instradabile e dietro un NAT.

  • Forse un'estensione o un plugin speciale o malevolo sta facendo il traffico. Avvia Firefox in modalità provvisoria e verifica se il comportamento è lo stesso.

  • Potrebbero esserci malware o attacchi di aggressione su quel computer che si è iniettato nel processo di Firefox per sfuggire alle restrizioni di uscita del firewall (come il firewall di Windows). Allo stesso modo, quell'istanza di Firefox avrebbe potuto essere vittima di un exploit rimasto nel processo di Firefox.

Puoi aprire il monitor di rete di Firefox e vedere quale sito web sta facendo richieste HTTP agli IP interni .

Puoi anche utilizzare Process Explorer per esaminare il processo di Firefox e cercare cose strane , come strane DLL caricate e connessioni TCP / IP.

    
risposta data 03.08.2015 - 21:54
fonte

Leggi altre domande sui tag