Firefoxからの不審な接続(マルウェアの可能性あり)
非常に不審なことに気付いたとき、Wiresharkをいじっていました。Firefox(Ubuntuリポジトリからの公式ビルド)を開くたびに、d2ddoduugvun08.cloudfront.netのようにランダムな名前でサーバーにすぐに接続し、暗号化されたデータを送信します。
このドメインで何も特定できませんでしたが、一部のマルウェアサイトにポップアップ表示されます。
最初はFirefoxテレメトリサーバーの一部だと思っていましたが、無効になっていて、サーバーはMozillaサーバーではありません。
プロファイルに問題がある場合に備えて、~/.mozillaフォルダーを削除しましたが、毎回接続がまだ残っていました。
この時点で、Firefoxのインストールが危険にさらされていると思ったので、Firefoxを削除してリポジトリから再ダウンロードしました。接続はまだありました。
私はWindowsを搭載した別のマシンに移動しましたが、この接続は行われません。私がUbuntuライブUSBで起動したとき、それはします。
私はソースからFirefoxをビルドすることを決めました、そしてそれはこの接続をしません。
mitmproxyを使用して傍受しようとしましたが、システムのプロキシ設定が無視されます。
だから私の質問です:これはCanonicalによって追加された合法的なものですか? UbuntuのFirefoxパッケージはマルウェアに感染していますか?
ありがとう
出現firefoxハートビートテレメトリ になる。 about:config設定(その特定のものはおそらくapp.normandy.enabled=falseabout:config)
Firefoxが自宅(および他の場所)に電話をかけるのが好きでない場合は、他にもいくつかの設定があります 変更することもできます
Whoisチェックd2ddoduugvun08.cloudfront.netが以下を明らかにするので、それは正規のものであるように見えます:
Registrant Name: Legal Department
Registrant Organization: Amazon.com, Inc.
Registrant Street: PO BOX 81226
Registrant City: Seattle
Registrant State/Province: WA
Registrant Postal Code: 98108-1226
Registrant Country: US
Registrant Phone: +1.2062664064
Registrant Phone Ext:
Registrant Fax: +1.2062667010
Registrant Fax Ext:
Registrant Email: [email protected]
Registry Admin ID:
Admin Name: Legal Department
Admin Organization: Amazon.com, Inc.
したがって、マルウェアではありません。このサイトは役に立ちます https://www.whois.com/whois/