当我正在使用 Wireshark 时,我注意到一些非常可疑的事情:每次我打开 Firefox(来自 Ubuntu 存储库的官方版本)时,它都会立即连接到一个明显是随机名称的服务器d2ddoduugvun08.cloudfront.net并发送一些加密数据。
我无法在这个域名上找到任何特定内容,但它会出现在一些恶意软件网站上。
起初我以为它是某个 Firefox 遥测服务器,但它已被禁用,并且该服务器不是 Mozilla 服务器。
我删除了我的~/.mozilla文件夹,以防我的配置文件有问题,但每次连接仍然存在。
此时,我认为我的 Firefox 安装已被破解,因此我将其清除并从存储库重新下载。连接仍然存在。
我转移到另一台装有 Windows 的机器,但它没有建立此连接;当我启动到 Ubuntu live USB 时,它却可以建立连接。
我决定从源代码构建 Firefox,但它没有建立此连接。
我试图用mitmproxy它来拦截它,但它忽略了我的系统代理设置。
所以我的问题是:这是 Canonical 添加的合法内容吗?Ubuntu 上的 Firefox 软件包是否受到某些恶意软件的攻击?
谢谢
答案1
它出现成为Firefox 心跳遥测。可以在设置中禁用它(该特定设置可能可以在中about:config禁用)app.normandy.enabled=falseabout:config
如果你不喜欢 Firefox 呼叫主页(和其他地方),还有其他一些设置你可能想改变
答案2
它似乎来自规范,因为 whois 检查 d2ddoduugvun08.cloudfront.net 显示了以下内容:
Registrant Name: Legal Department
Registrant Organization: Amazon.com, Inc.
Registrant Street: PO BOX 81226
Registrant City: Seattle
Registrant State/Province: WA
Registrant Postal Code: 98108-1226
Registrant Country: US
Registrant Phone: +1.2062664064
Registrant Phone Ext:
Registrant Fax: +1.2062667010
Registrant Fax Ext:
Registrant Email: [email protected]
Registry Admin ID:
Admin Name: Legal Department
Admin Organization: Amazon.com, Inc.
所以它不是恶意软件。这个网站很有帮助https://www.whois.com/whois/