Questão Pedidos da web engraçado no proxy Charles, é que um vírus?


Estou vendo solicitações de URL engraçadas em Charles com caracteres aparentemente aleatórios (veja abaixo). Todos os pedidos falham, mas parece muito com um vírus. Como posso saber qual aplicativo os enviou?

Funny requests in Charles

enter image description here


3


origem


quando você vê algo assim, você pode verificar quais processos estão conectados ao que executando netstat -a -b -n no prompt de comando. No entanto, isso pode ou não aparecer porque o netstat só pode rastrear conexões, não solicitações - Nate Koppenhaver
Isso acontece quando você inicializa ou é apenas após abrir o navegador? - ItsNotAboutTheName


Respostas:


Deixe-me adivinhar; você está usando o Chrome, certo?

Isso não é um vírus (observe como eles são todos os "domínios" de 10 letras), isso é o teste de servidores DNS do Chrome para detectar o redirecionamento de falhas.

O que acontece é que alguns ISPs alteraram seus servidores DNS para que, quando você tenta navegar para uma URL que não existe, em vez de fornecer uma página de erro simples, o ISP fornece uma página da Web real que tenha anúncios, resultados de pesquisa e outros lixos, presumivelmente relacionados ao URL / termo de pesquisa para o qual você tentou acessar. (O próprio Chrome oferece isso como uma opção.)

O Chrome combina a barra de pesquisa e a barra de endereço no Omnibar e também oculta o protocolo por padrão (você não precisa inserir especificamente http://; é assumido). Além disso, um URL não ter ter um TLD, pode ser algo como http://svn/. Portanto, quando você digita uma palavra no Omnibar, não é óbvio se você está tentando inserir um URL ou um termo de pesquisa. Como tal, o Chrome precisa de uma maneira de detectar se você está realizando uma pesquisa ou tentando navegar para um site.

Portanto, para evitar que o usuário veja sempre uma página de erro / anúncio de ISPs quando ele digita tais termos no Omnibar, o que o Chrome faz é tentar conectar-se a alguns URLs aleatórios e sem sentido. Se todos eles resolvem (magicamente), e para o mesmo IP, o Chrome sabe que o servidor DNS está redirecionando para uma página de erro e, portanto, o Chrome pode reagir de acordo (por exemplo, tratar o termo como uma consulta de pesquisa, perguntar por alternativa, termos relacionados, etc.)

Além disso, também ajuda a evitar o seqüestro de DNS, pois nesse cenário, a maioria, se não todas (dependendo da implementação do seqüestro), as consultas DNS geralmente serão resolvidas para o mesmo IP para espionagem antes de serem passadas para o IP real .

Aqui estão alguns lugares que foram discutidos: [1], [2], [3], [4], [5]


7





Algumas coisas que você pode tentar:

  • O próprio Charles pode estar registrando qual aplicativo está fazendo essas solicitações (se ele enviar uma sequência de agente do usuário).

    Você pode procurar pelo Agente de usuário no Pedido guia do <default> entrada:

    screenshot

  • Se as solicitações ocorrerem com freqüência suficiente, você pode tentar um monitor de conexão como CurrPorts.

    Ordenar por host remoto e atualizar até encontrar uma entrada correspondente randomletters:

    screenshot

  • randomletters não é um FQDN, portanto, se essas solicitações forem feitas intencionalmente - em vez de algum erro humano como, por exemplo, apontar para uma URL absoluta em vez de uma relativa - o nome do host precisa ser mapeado para um IP de alguma forma.

    Tente pingar um nome de host recente (ping randomletters) para ver se funciona.

  • Verifique o arquivo hosts (geralmente C:\Windows\system32\drivers\etc\hosts) para quaisquer entradas para randomletters.

    Se contiver algum, você pode usar Monitor de processo para encontrar o aplicativo que modifica o arquivo de hosts.

    Lançar, pressione Ctrl + eu para abrir o Filtro... dialogar e criar um filtro que exclui tudo o que não acessa o arquivo hosts:

    screenshot


1



> Algumas coisas que você pode tentar ...   O que é tentar? É um "recurso" conhecido e documentado do Chrome. - Synetech
@Synetech: Eu postei minha resposta antes de ver a sua ... - Dennis
o.O Duas horas depois de antes? - Synetech
@Synetech: Bem, comecei a digitar, assisti a final do Euro 2012 e continuei ... - Dennis