Trafic de surveillance de virus proxy possible - Comment déterminer la cause du proxy et son intention?

0

La nuit dernière, j'ai remarqué que je ne pouvais pas me connecter à Internet. J'ai vérifié mon installation Arch Linux et tout s'est bien passé. En effet, mon téléphone Android était bien aussi. Après quelques recherches, j'ai essayé de désactiver "Détecter automatiquement les paramètres" dans Internet Options > LAN Settings.Cela a fonctionné. Cependant, cela me rend très préoccupé. Je n'ai jamais mis en place de proxy auparavant, et je vis avec deux autres personnes qui ne sont pas aussi férues de technologie. Par conséquent, je crains que je n’aie attrapé un virus qui surveille mon trafic Web.

Pour obtenir plus d'informations, j'ai tapé dans chrome: chrome://net-internals/#proxy

Ce qui montre ce qui suit:

PAC script: http://wpad/wpad.dat
Source: SYSTEM

En vérifiant à l'intérieur de wpad.dat, nous voyons le javascript suivant:

function FindProxyForURL(url, host) {
    if (isPlainHostName(host) ||
        dnsDomainIs(host, ".windowsupdate.com") ||
        dnsDomainIs(host, ".microsoft.com") ||
        dnsDomainIs(host, ".baidu.com") ||
        dnsDomainIs(host, ".kaspersky.com") ||
        dnsDomainIs(host, ".live.com") ||
        isInNet(host, "10.0.0.0", "255.0.0.0") ||
        isInNet(host, "172.16.0.0", "255.255.224.0") ||
        isInNet(host, "192.168.0.0", "255.255.0.0") ||
        isInNet(host, "127.0.0.0", "255.0.0.0"))
    return "DIRECT";
    else
        return 'PROXY 185.93.3.120:8080';
};

Pour être honnête, je ne suis pas sûr de ce que cette fonction fait. Je suppose que si l'URL correspond à l'un des noms d'hôte suivants, il servira une connexion directe. Sinon, il utilisera le proxy. Cela signifie que pratiquement tous les sites Web sont routés via ce proxy.

J'ai décidé de lancer netstat pour voir si je pouvais trouver des connexions allant à 185.93.3.120:8080.

C:\Windows\system32>netstat -b

Active Connections

Proto  Local Address          Foreign Address        State
TCP    192.168.8.6:49693      hk2sch130021322:https  ESTABLISHED
WpnService
[svchost.exe]
TCP    192.168.8.6:49715      104.16.60.37:https     ESTABLISHED
[Discord.exe]
TCP    192.168.8.6:49880      hk2sch130021554:https  ESTABLISHED
[OneDrive.exe]
TCP    192.168.8.6:49938      hk2sch130022123:https  ESTABLISHED
WpnService
[svchost.exe]
TCP    192.168.8.6:50076      a104-89-139-149:https  CLOSE_WAIT
[WinStore.App.exe]
TCP    192.168.8.6:50077      a104-89-139-149:https  CLOSE_WAIT
[WinStore.App.exe]
TCP    192.168.8.6:50079      a104-89-139-149:https  CLOSE_WAIT
[WinStore.App.exe]
TCP    192.168.8.6:50467      tl-in-f108:imaps       ESTABLISHED
OneSyncSvc_3b12c
[svchost.exe]
TCP    192.168.8.6:50568      tl-in-f188:5228        ESTABLISHED
[chrome.exe]
TCP    192.168.8.6:50699      ns329092:http          CLOSE_WAIT
[Discord.exe]
TCP    192.168.8.6:50701      ns329092:http          CLOSE_WAIT
[chrome.exe]
TCP    192.168.8.6:50702      ns329092:http          CLOSE_WAIT
[Discord.exe]
TCP    192.168.8.6:50704      ns329092:http          CLOSE_WAIT
[chrome.exe]
TCP    192.168.8.6:50766      ns329092:http          CLOSE_WAIT
[Code.exe]
TCP    192.168.8.6:50870      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50871      67.27.43.254:http      TIME_WAIT
TCP    192.168.8.6:50872      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50873      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50877      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50879      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50880      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50884      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50890      67.27.43.254:http      TIME_WAIT
TCP    192.168.8.6:50892      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50893      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50895      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]

Une autre fois, j'ai oublié le drapeau -b, mais j'ai remarqué qu'il se connectait à stackoverflow, alors que je ne pouvais pas me connecter à Internet:

TCP    192.168.8.6:50643      stackoverflow:https    ESTABLISHED

Le problème est résolu par: Propriétés Internet> Paramètres réseau> Détecter automatiquement les paramètres (décochez-le).

Je suis préoccupé par un virus qui surveille mon trafic Internet. Je viens de reformater il y a deux semaines et je n'ai pas encore installé d'anti-virus. Le wpad.dat est particulièrement préoccupant return 'PROXY 185.93.3.120:8080';. Je n'ai aucune idée pourquoi il y a un wpad.dat sur mon réseau. Ce fichier est-il servi par le routeur? Par le FAI? Par mon ordinateur? Comment savoir si c'est malveillant ou pas?

Pour clarifier, je peux me connecter maintenant, mais je ne pouvais pas me connecter hier, et les étapes suivantes que j'ai prises ci-dessus consistaient à le diagnostiquer. Je ne suis pas satisfait du travail d'Internet à présent. Je veux savoir ce qui ne va pas ici.

Merci.

Kevin
la source

Réponses:

0

im googler cette ip parce qu'il a été configuré comme un winhttp dans Windows 10 et Outlook ne pouvait pas se connecter à 365 Exchange avec elle configurée, j'ai depuis découvert que Windows Update va changer cela si il se sent comme ça? http://datacamp.co.uk/ est ce que l' adresse ip me dirige vers.

netsh winhttp réinitialiser le proxy

https://support.microsoft.com/en-gb/help/900935/how-the-windows-update-client-determines-which-proxy-server-to-use-to

sam
la source
Êtes-vous à Hong Kong ou en Chine par hasard? Je suis à Hong Kong - je me demande si cela a à voir avec l'emplacement?
Kevin
Royaume-Uni ici, ms mises à jour éventuellement
sam
Oui, mais pourquoi cela signifie-t-il que nous pouvons également accéder http://wpad/wpad.dataux systèmes d'exploitation autres que Windows (par exemple, Android)?
Kevin
0

Pareil ici, j'ai aussi ce problème depuis hier. Tout comme vous, je pensais qu'un virus surveillait mon trafic. J'ai vérifié Wirehark et j'ai pu trouver cette adresse IP 185.93.3.120 mais les paquets ont été abandonnés. J'ai fait une recherche whois mais je n'ai pas eu beaucoup d'informations à ce sujet.

En tout cas, comme suggéré par vous, ces étapes ont résolu le problème. Le problème est résolu par: Propriétés Internet> Paramètres réseau> Détecter automatiquement les paramètres (décochez-la).

xcaliber
la source
1
Êtes-vous à Hong Kong ou en Chine par hasard? Je suis à Hong Kong - je me demande si cela a à voir avec l'emplacement?
Kevin