navegador secuestrado en Debian [cerrado]

Question

navegador secuestrado en Debian [cerrado]

#1 de Arminius (2 votos)

0

Parece que alguien ha configurado algo en mi sistema. Tengo varios puertos en localhost enviando comunicaciones salientes. Cuando en Firefox escribo web.whatsapp.com para WhatsApp web, obtengo una redirección del navegador.

¿Alguien sabe algún buen enfoque para limpiar este tipo de cosas del sistema? Estoy en un Debian Jessie 64bits.

Aquí hay algunas conexiones sospechosas en la salida de netsat -tulpan:

tcp 0 0 192.168.1.2:50465 198.252.206.25:80 ESTABLECIDO 4556 / firefox
tcp 0 0 192.168.1.2:35162 151.101.65.69:80 TIME_WAIT -
tcp 0 0 192.168.1.2:46103 198.252.206.25:443 ESTABLECIDO 4556 / firefox
tcp 0 0 192.168.1.2:35191 151.101.65.69:80 TIME_WAIT -
tcp 0 0 192.168.1.2:44444 200.40.28.147:80 TIME_WAIT -
tcp 0 0 192.168.1.2:53077 151.101.193.69:80 TIME_WAIT -
tcp 0 0 192.168.1.2:44745 151.101.1.69:80 TIME_WAIT -
tcp 0 0 192.168.1.2:53072 151.101.193.69:80 TIME_WAIT -
tcp 0 0 192.168.1.2:50464 198.252.206.25:80 ESTABLECIDO 4556 / firefox
tcp 0 0 192.168.1.2:39236 192.0.73.2:443 ESTABLECIDO 4556 / firefox
tcp 0 0 192.168.1.2:42522 104.16.112.18:443 ESTABLECIDO 4556 / firefox
tcp 0 0 192.168.1.2:44447 64.233.190.102:443 ESTABLECIDO 4556 / firefox
tcp 0 0 192.168.1.2:35163 151.101.65.69:80 TIME_WAIT -
tcp 0 0 192.168.1.2:48172 200.40.28.16:80 TIME_WAIT -
tcp 0 0 192.168.1.2:45010 64.233.190.95:80 TIME_WAIT -

web-browser browser-hijacking

pregunta MarkSkayff 30.10.2016 - 02:54

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-browser browser-hijacking

¿Opera en Android está causando una vulnerabilidad? ¿Cuál es la diferencia entre “Algoritmo de clave pública” y “Algoritmo de firma” en la salida de OpenSSL?

score 2 · Answer 1

Cuando en Firefox escribo web.whatsapp.com para whatsapp web, obtengo una redirección del navegador.

Eso es preocupante y podría ser un indicador de malware (adware) o un ataque del hombre en el medio .

¿Alguien sabe algún buen enfoque para limpiar este tipo de cosas del sistema?

Como solo ha estado dando información genérica sobre lo que está pasando, solo puedo redirigirlo a una respuesta genérica en cómo tratar con un servidor comprometido .

Aquí hay algunas conexiones sospechosas en la salida de netsat -tulpan:
tcp 0 0 192.168.1.2:50465 198.252.206.25:80 ESTABLISHED 4556/firefox
(...)

No hay nada inherentemente sospechoso en la salida presentada. Lo que está viendo son varias conexiones TCP abiertas, lo que es absolutamente normal para una sesión de navegador activa. Los puertos de destino 80 y 443 indican que probablemente se esté comunicando con los servicios web.

Puede buscar las direcciones IP en línea o realizar una consulta DNS inversa, por ejemplo, a través de host(1) comando, para averiguar más sobre los servidores a los que está conectado. Por ejemplo:

$ host 198.252.206.25
25.206.252.198.in-addr.arpa domain name pointer stackoverflow.com.

Como puede ver, la primera IP parece pertenecer a stackoverflow . Dicho esto, si asume que ha sido comprometido, también debe tener en cuenta que todos los análisis dentro del sistema afectado no son confiables.