Olağandışı HEAD, Chrome’dan saçma URL’ler ister

55

Son birkaç gündür iş yerimden gelen olağandışı trafiği farkettim. HEAD isteklerinin rastgele karakter URL’lerine gönderildiğini görüyorum, genellikle bir saniyede üç veya dört, ve Chrome tarayıcımdan geliyor gibi görünüyor. Talepler günde sadece üç veya dört kez tekrarlanır, ancak belirli bir model tespit etmedim. URL karakterleri her istek için farklıdır.

İşte Fiddler 2 tarafından kaydedilen isteğin bir örneği:

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

Bu talebe cevap aşağıdaki gibidir:

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

Bu sorunla ilgili Google aramalarıyla hiçbir bilgi bulamadım. Bu tür bir trafiği geçen hafta sonundan önce gördüğümü hatırlamıyorum, ancak daha önce kaçırdığım olabilir. Geçen hafta sistemime alışılmadık gelen tek değişiklik, hem IE hem de Chrome'a ​​Lezzetli eklenti / uzantı eklemekti. O zamandan beri ikisini de kaldırdım, ancak hala trafiği görüyorum. Virüs taramasını çalıştırdım (Trend Micro) ve HiJackBu kötü amaçlı kod arıyor, ancak bulamadım.

İsteklerin kaynağını izleyen herhangi bir yardım için minnettar olurum, bu yüzden onların iyi huylu veya daha büyük bir sorunun göstergesi olup olmadığına karar verebilirim. Teşekkürler.

http  malware  chrome 
JeremyDWill
kaynak

Yanıtlar:

77

Bu aslında meşru davranıştır. Bazı ISS'ler, DNS sorgularına, varolmayan etki alanlarına, genellikle "reklam amaçlı" olarak kontrol ettikleri bir sayfaya yönelik bir A kaydıyla, hatalı bir şekilde yanıt veriyor. RFC'nin istediği gibi NXDOMAIN'i geçmek yerine. Chrome, bununla mücadele etmek için, DNS sunucularının bunları nasıl çözdüklerini kontrol etmek için bulunamayan etki alanları için birkaç HEAD isteğinde bulunuyor. A kayıtları döndürürlerse, Chrome, DNS kaydına uymak yerine ana bilgisayar için arama sorgusu gerçekleştirmeyi bilir; böylece ISS’lerin uygunsuz davranışlarından etkilenmezsiniz. [1]

Arzuhalci
kaynak
4
@Jacob: Neredeyse her zaman, zaten benim deneyimlerime göre, iş desteği çağırır ve bir süre tekmeleyip çığlık atarsanız, size bu "özelliği" etkin olmayan başka bir yukarı akış DNS sunucusu seti verecektir. Verizon ve One Communications’ın alternatif sunucularının olduğunu biliyorum, ancak reklam vermemek için kendi yollarını kullandılar.
Scrivener
2
Bunun makinemde garip bir istila olmadığını görmek sevindim. Bilgilendirici cevap için teşekkürler.
JeremyDWill
5
@ Jacob: Bunu benden duymadınız ve sizin için olduğu gibi olmayabilir, ama ... DNS sunucusunun son basamağını .12'den .14'e değiştirmek "DNS yardımı özelliğini kaldırıyor" ".
Scrivener
5
Belgelenmesi iyi olurdu. Mesela, gerçekten hoş.
chiggsy
4
URL'ye chrome_dns_test'i yerleştirmek çok daha iyi olurdu. Karamsarlığa göre, virüs pingi gibi görünüyor.
crokusek
2

Bu sorunla ilgili olarak ve IE9'un nasıl davrandığıyla ilgili olarak Microsoft ile çalışırken, Verizon'dan bu hizmetten nasıl vazgeçileceği konusunda bilgi bulduk. Buna "DNS Yardımı" diyorlar. FL'da BrightHouse ISS'ye sahip olan bu konuda başka bir kullanıcıyla çalışırken, aynı şeyleri de sürdürüyorlar. Ancak onlar da bu hizmetten nasıl vazgeçileceği hakkında bilgi sağlar. Buna hizmet dediklerini seviyorum. :)

Mike Dowd
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.