Browser dirottato su Debian [chiuso]

0

Sembra che qualcuno abbia installato qualcosa nel mio sistema. Ho diverse porte su localhost che inviano comunicazioni in uscita. Quando in Firefox digito web.whatsapp.com per whatsapp web, ottengo un reindirizzamento del browser.

Qualcuno conosce un buon approccio sulla pulizia di questo tipo di cose dal sistema? Sono su un Debian Jessie a 64 bit.

Ecco alcune connessioni sospette sull'output di netsat -tulpan:

tcp 0 0 192.168.1.2:50465 198.252.206.25:80 ESTABLISHED 4556 / firefox
tcp 0 0 192.168.1.2:35162 151.101.65.69:80 TIME_WAIT -
tcp 0 0 192.168.1.2:46103 198.252.206.25:443 ESTABLISHED 4556 / firefox
tcp 0 0 192.168.1.2:35191 151.101.65.69:80 TIME_WAIT -
tcp 0 0 192.168.1.2:44444 200.40.28.147:80 TIME_WAIT -
tcp 0 0 192.168.1.2:53077 151.101.193.69:80 TIME_WAIT -
tcp 0 0 192.168.1.2:44745 151.101.1.69:80 TIME_WAIT -
tcp 0 0 192.168.1.2:53072 151.101.193.69:80 TIME_WAIT -
tcp 0 0 192.168.1.2:50464 198.252.206.25:80 ESTABLISHED 4556 / firefox
tcp 0 0 192.168.1.2:39236 192.0.73.2:443 ESTABLISHED 4556 / firefox
tcp 0 0 192.168.1.2:42522 104.16.112.18:443 ESTABLISHED 4556 / firefox
tcp 0 0 192.168.1.2:44447 64.233.190.102:443 ESTABLISHED 4556 / firefox
tcp 0 0 192.168.1.2:35163 151.101.65.69:80 TIME_WAIT -
tcp 0 0 192.168.1.2:48172 200.40.28.16:80 TIME_WAIT -
tcp 0 0 192.168.1.2:45010 64.233.190.95:80 TIME_WAIT -

    
posta MarkSkayff 30.10.2016 - 02:54
fonte

1 risposta

2

When in Firefox I type web.whatsapp.com for whatsapp web, I get a browser re-direct.

Questo è relativo e potrebbe essere un indicatore per malware (adware) o attacco man-in-the-middle .

Anybody knows some good approach about cleaning this sort of stuff from the sytem?

Dato che hai fornito solo informazioni generiche su cosa sta succedendo, posso solo reindirizzarti a una risposta generica su come gestire un server compromesso .

Here are some suspicious connections on netsat -tulpan output:

tcp 0 0 192.168.1.2:50465 198.252.206.25:80 ESTABLISHED 4556/firefox
(...)

Non c'è nulla di intrinsecamente sospetto sull'output presentato. Quello che stai vedendo sono diverse connessioni TCP aperte che è assolutamente normale per una sessione di browser attiva. Le porte di destinazione 80 e 443 indicano che probabilmente stai comunicando con i servizi web.

Puoi cercare gli indirizzi IP online o eseguire una query DNS inversa, ad esempio tramite host(1) comando, per saperne di più sui server a cui sei connesso. Ad esempio:

$ host 198.252.206.25
25.206.252.198.in-addr.arpa domain name pointer stackoverflow.com.

Come puoi vedere il primo IP sembra appartenere a stackoverflow . Detto questo, se ritieni di essere stato compromesso, dovresti anche essere consapevole che tutte le analisi dall'interno del sistema interessato non sono affidabili.

    
risposta data 30.10.2016 - 04:16
fonte

Leggi altre domande sui tag