Подозрительные соединения, прибывающие из Firefox (возможное вредоносное программное обеспечение)

Question 1

Я играл вокруг с Wireshark, когда я заметил что-то очень подозрительное: каждый раз я открываю Firefox (официальная сборка из Ubuntu repos), это сразу соединяется с сервером с по-видимому случайным именем как d2ddoduugvun08.cloudfront.net и отправляет некоторые зашифрованные данные.

Я ничто не мог найти конкретным по поводу этого домена, но он открывается на некоторых вредоносных сайтах.

Сначала я думал, что это был некоторый телеметрический сервер Firefox, но это отключено, и сервер не является сервером Mozilla.

Я удалил мой ~/.mozilla папка, в случае, если мой профиль был проблемой, но соединение было все еще там каждым разом.

В этой точке я думал, что моя установка Firefox была поставлена под угрозу, таким образом, я произвел чистку его и повторно загрузил его с repos. Соединение было все еще там.

Я переместился в другую машину с Windows, и это не устанавливает эту связь; когда я загрузил в Ubuntu живой USB, это делает.

Я решил создать Firefox из источника, и он не устанавливает эту связь.

Я пытался использовать mitmproxy для прерывания его, но он игнорирует мои системные настройки прокси.

Таким образом, мой вопрос: действительно ли это - законная вещь, добавленная Каноническим? Пакет Firefox на Ubuntu поставлен под угрозу некоторым вредоносным программным обеспечением?

Спасибо

Question 2

Это, кажется, телеметрия heartbeat Firefox. Это могло быть отключено в about:config настройки (с которым может, вероятно, быть отключен конкретный app.normandy.enabled=false в about:config)

Если Вам не нравится Firefox, звонящий домой (и в другом месте), существует также несколько других настроек, которые можно хотеть изменить

Question 3

Question 4

Это, кажется, от канонического, поскольку whois проверяет, что d2ddoduugvun08.cloudfront.net показывает следующее:

Registrant Name: Legal Department
Registrant Organization: Amazon.com, Inc.
Registrant Street: PO BOX 81226
Registrant City: Seattle
Registrant State/Province: WA
Registrant Postal Code: 98108-1226
Registrant Country: US
Registrant Phone: +1.2062664064
Registrant Phone Ext: 
Registrant Fax: +1.2062667010
Registrant Fax Ext: 
Registrant Email: email@amazon.com
Registry Admin ID: 
Admin Name: Legal Department
Admin Organization: Amazon.com, Inc.

Таким образом, это не вредоносное программное обеспечение. Этот сайт является полезным https://www.whois.com/whois/

Matija Nalis · Answer 1 · 23 November 2019 в 02:57

Это, кажется, телеметрия heartbeat Firefox. Это могло быть отключено в about:config настройки (с которым может, вероятно, быть отключен конкретный app.normandy.enabled=false в about:config)

Если Вам не нравится Firefox, звонящий домой (и в другом месте), существует также несколько других настроек, которые можно хотеть изменить

George Udosen · Answer 2 · 23 November 2019 в 02:57

Это, кажется, от канонического, поскольку whois проверяет, что d2ddoduugvun08.cloudfront.net показывает следующее:

Registrant Name: Legal Department
Registrant Organization: Amazon.com, Inc.
Registrant Street: PO BOX 81226
Registrant City: Seattle
Registrant State/Province: WA
Registrant Postal Code: 98108-1226
Registrant Country: US
Registrant Phone: +1.2062664064
Registrant Phone Ext: 
Registrant Fax: +1.2062667010
Registrant Fax Ext: 
Registrant Email: email@amazon.com
Registry Admin ID: 
Admin Name: Legal Department
Admin Organization: Amazon.com, Inc.

Таким образом, это не вредоносное программное обеспечение. Этот сайт является полезным https://www.whois.com/whois/

Подозрительные соединения, прибывающие из Firefox (возможное вредоносное программное обеспечение)

2 ответа

Другие вопросы по тегам:

Похожие вопросы: