In primo luogo, accolgo con favore un titolo migliore per questa domanda. Ammetto di essere un debuttante della sicurezza.
Sto cercando di determinare se ho malware e cosa potrebbe fare quel malware. Usando Wireshark, vedo diversi flussi sospetti, compresi gli indirizzi che terminano in .ln e .ch che inviano tutti i dati crittografati. Quando eseguo whois
scade sempre, a meno che non specifichi esplicitamente il server whois da usare (questo è di per sé sospetto), quindi ho fatto ricorso a un client online link .
Uno stream più coerente presente va a lga15s42-in-f21.1e100.net, ogni pochi secondi e invia TLSv1.2. I pacchetti sono spesso di dimensioni fisse (60, 107, 125) ma a volte sono di dimensioni più grandi e non ripetute.
~ La voce whois per 1e100.net è particolarmente sospetta per me. ~ Grattalo. Ho avuto accesso non valido digitando il nome errato. L'effettiva voce è per Google, Inc., che riduce notevolmente il sospetto di questo traffico.
Domanda modificata, poiché il traffico sembra essere diretto a Google: perché Google invia queste informazioni su TLS su una porta non standard? È fondamentalmente il modo in cui dovrebbero inviare query di background? È fastidioso perché ad un debuttante della sicurezza (o del resto non è un novizio), tale traffico aggiunge rumore. Sarei più felice se tali interrogazioni riguardassero testi chiari su protocolli standard, poiché sto cercando di capire se sono stato rootato.
ps. Dovrebbe aver menzionato, il computer in questione è un MacBook Air Retina Pro, con OS X 10.9.3.