Firefox intenta conectarse a otras computadoras en la LAN

10

Mientras ejecutaba Wireshark intentando solucionar algunos otros problemas, noté varias conexiones SYN a los puertos 80 y 443 en la estación de trabajo que estaba usando. Los paquetes fueron caídos. Estos venían de otras estaciones de trabajo. No hay ningún servidor web ejecutándose en esta estación de trabajo, y su dirección IP ha sido la misma durante semanas.

Ejecutando el monitor de procesos en una de las estaciones de trabajo de origen, encontré que Firefox es el origen de los paquetes.

¿Alguien sabe por qué Firefox intentaría conectarse a otra estación de trabajo local, no a un servidor? La estación de trabajo está ejecutando Firefox 39.0.

Editar 08/12/15: atoré apache (a través de xampp) en la computadora "víctima" y encontré la entrada de registro muy común "/connect/xd_arbiter/7tUlZKGPU61.js?version=41 HTTP/1.1" 404 1354 "(some webpage)" "(useragent)" Google me dice que esto tiene algo que ver con Facebook, pero nada más allá de eso. ¿Alguien sabe más?

    
pregunta user2891127 03.08.2015 - 20:01
fuente

1 respuesta

4

Hay varias posibilidades aquí:

  • Una pestaña en Firefox tiene un sitio web que sigue conectando y actualizando una dirección IP interna. Ese podría ser un dispositivo NAS doméstico que, por coincidencia, tenga la misma IP que su computadora

  • Un script de Javascript de un sitio web legítimo intenta escanear la red interna utilizando solicitudes de origen cruzado o WebSockets. Este sitio web puede hacerlo. Tenga en cuenta que la última función de WebRTC puede obtener la dirección IP local de una computadora, incluso si no es enrutable y está detrás de un NAT.

  • Tal vez una extensión o complemento especial o malintencionado está realizando el tráfico. Inicie Firefox en modo seguro y vea si el comportamiento es el mismo.

  • Podría haber malware o un atacante en esa computadora que se inyectó en el proceso de Firefox para escapar de las restricciones de egreso del firewall (como el firewall de Windows). Del mismo modo, esa instancia de Firefox podría haber sido víctima de una vulnerabilidad que se mantuvo en el proceso de Firefox.

Puede abrir el monitor de red de Firefox y ver qué sitio web realiza solicitudes HTTP a las IP internas .

También puede usar Process Explorer para ver el proceso de Firefox y buscar cosas extrañas , como DLL cargadas extrañas y conexiones TCP / IP.

    
respondido por el Cristian Dobre 03.08.2015 - 21:54
fuente

Lea otras preguntas en las etiquetas