Solo i siti Web HTTPS funzionano diversamente Ricevo ERR_CONNECTION_REFUSED [duplicato]

1

Sto affrontando il fastidioso problema dei soli siti Web HTTPS che funzionano sul mio Mac (in tutti i browser). Posso visitare solo Google, YouTube, Facebook, Yahoo ecc.

Finora, ho provato a seguire:

  • I siti web mostrano errori di: ERR_CONNECTION_REFUSED
  • Ho disinstallato l'antivirus
  • Disattivato il firewall
  • DNS modificato, 8.8.8.8, 8.8.4.4 (Google), 208.67.222.222, 208.67.220.220 (Open DNS), 0.0.0.0
  • La mia rete è supportata da ipv4 (ma non da ipv6) quindi la maggior parte dei siti web dovrebbe funzionare.
  • Ho provato i siti web di ping che non si aprono sul browser ad esempio: dailymotion.com, ma ho trasmesso e ricevuto pacchetti senza perdita. Reinstallato Yosemite ma il problema persiste ancora.
  • Tutto funziona quando utilizzo la VPN (ad esempio, lo scudo hotspot), quindi suppongo che DNS sia incasinato.
  • Ho provato a svuotare DNS usando sudo killall -HUP mDNSResponder

P.S Tutto funziona in modalità provvisoria e utilizza l'hotspot mobile

Ecco traceroute e arricciatura prolisso . Quindi il problema riguarda solo i siti http.

Quando utilizzo sudo pfctl -s nat, ricevo la seguente risposta: "Nessun supporto ALTQ nelle funzioni relative al kernel ALTQ disabilitato rdr pass inet proto tcp da 192.168.1.100 (mio IP) a qualsiasi porta = 80 - > Porta 127.0.0.1 9882 ". Rimuovendo il port forwarding usando sudo pfctl -F all, i siti web funzionano solo per pochi secondi

Qualche suggerimento, per favore?

    
posta Syed 26.06.2016 - 11:10
fonte

1 risposta

2

Probabilmente sei vittima di un adware: OSX / Pirrit . Si prega di leggere l'analisi collegata.

Per rimuovere l'adware, salva il seguente script di shell come remove-adware.sh (ad esempio sul tuo desktop) ed eseguilo come root:

echo "*** Osx.Pirit Removal script, Amit Serper, @0xamit ***"
echo "*** BEFORE YOU RUN THIS SCRIPT, STOP! I CAN'T TAKE ANY RESPONSIBILITY ON ANY DAMAGES HAPPENING TO YOUR MACHINE. YOU ARE THE MASTER OF YOUR OWN FATE"
echo "*** Before running this script check that you are indeed infected with osx.pirrit. TERMINATE THIS SCRIPT BY HITTING CTRL+C AND RUNNING THE FOLLOWING COMMAND:"
echo "$ dscl . -list /Users UniqueID | grep 401"
echo "If this command has an output then continue running this script. Else DONT"
echo "Press any key to continue running this script, remember - I am not responsible for any unfortunate outcomes"
read

echo "[*] Getting net_pref name"
netPrefFileName=$(sudo defaults read /Library/Preferences/com.common.plist net_pref)

echo "[*] Netperf name is:"
echo $netPrefFileName

echo "[*] Getting appname from com.common.plist"
appName=$(sudo defaults read /Library/Preferences/com.common.plist name)
echo $appName

echo "[*] Stopping and removing LaunchDaemon"
sudo launchctl unload -w "/Library/LaunchDaemons/"$netPrefFileName
sudo killall $appName

sudo rm "/Library/LaunchDaemons/"$netPrefFileName

echo "[*] Removing injector"
sudo rm -r "/Library/"$appName
echo "[*] Removing malicious pf configs made by Pirrit"
sudo rm /etc/change_net_settings.sh

sudo pfctl -evf /etc/pf.conf

servicePrefFileName=$(sudo defaults read /Library/Preferences/com.common.plist service_pref)
echo “[*] Net pref file name:”
echo $netPrefFileName

appName=$(sudo defaults read /Library/Preferences/com.common.plist name)
echo “[*] App name is:”
echo $appName

echo “[*] Removing LaunchDaemon”
sudo launchctl unload -w "/Library/LaunchDaemons/"$servicePrefFileName
echo [*] Killing app and osascript”
sudo killall $appName
sudo killall osascript

echo “[*] Cleaning up…”
sudo rm "/Library/LaunchDaemons/"$servicePrefFileName

sudo rm -r "/Library/"$appName

echo “[*] Removing pirrit launching script”
sudo rm /etc/run_app.sh

echo “Script finished”

Rendilo eseguibile:

chmod +x ~/Desktop/remove-adware.sh

cambia la directory di lavoro:

cd ~/Desktop

ed eseguirlo. Leggi attentamente l'introduzione dello script (in particolare i consigli per eseguire dscl . -list /Users UniqueID | grep 401 prima di continuare:

sudo ./remove-adware.sh
    
risposta data 26.06.2016 - 11:31
fonte

Leggi altre domande sui tag