1 votos

Marc-Aurel Zent avatar

Sólo HTTPS sitios web de trabajo de lo contrario recibo ERR_CONNECTION_REFUSED

Preguntado el 26 de Junio, 2016
Cuando se hizo la pregunta
187 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Me encuentro con el molesto problema de que sólo funcionan los sitios web HTTPS en mi Mac (en todos los navegadores). Solo puedo visitar Google, YouTube, Facebook, Yahoo, etc.

Hasta ahora, he intentado lo siguiente:

  • Sitios web muestra error de: ERR_CONNECTION_REFUSED
  • He desinstalado el antivirus
  • Cortafuegos desactivado
  • DNS cambiado, a 8.8.8.8, 8.8.4.4 (Google), 208.67.222.222, 208.67.220.220 (Open DNS), 0.0.0.0
  • Mi red es compatible con ipv4 (pero no con ipv6), por lo que la mayoría de los sitios web deberían funcionar.
  • He probado a hacer ping a sitios web que no se abren en el navegador, por ejemplo: dailymotion.com , pero he transmitido y recibido paquetes sin pérdida. Reinstalado Yosemite pero el problema persiste.
  • Todo funciona cuando uso VPN (por ejemplo, hotspot shield), así que mi conjetura es DNS está en mal estado.
  • He intentado limpiar el DNS con sudo killall -HUP mDNSResponder

P.S Todo funciona en modo seguro y utilizando el punto de acceso móvil

Aquí está traceroute y curl verbose . Así que el problema es sólo con sitios web http.

Cuando uso sudo pfctl -s nat, estoy recibiendo la siguiente respuesta: "No ALTQ support in kernel ALTQ related functions disabled rdr pass inet proto tcp from 192.168.1.100 (my IP) to any port = 80 -> 127.0.0.1 port 9882". Al eliminar el reenvío de puertos usando sudo pfctl -F all, los sitios web sólo funcionan durante unos segundos

¿Alguna sugerencia?

Preguntado el 26 de Junio, 2016 por Marc-Aurel Zent

Respuesta

¿Demasiados anuncios?

2voto

klanomath avatar
klanomath Puntos 19587

Probablemente sea víctima de un adware: OSX/Pirrit . Lea el análisis enlazado.

Para eliminar el adware guarda el siguiente shell script como remove-adware.sh (por ejemplo, en tu Escritorio) y ejecútalo como Root:

echo "*** Osx.Pirit Removal script, Amit Serper, @0xamit ***"
echo "*** BEFORE YOU RUN THIS SCRIPT, STOP! I CAN'T TAKE ANY RESPONSIBILITY ON ANY DAMAGES HAPPENING TO YOUR MACHINE. YOU ARE THE MASTER OF YOUR OWN FATE"
echo "*** Before running this script check that you are indeed infected with osx.pirrit. TERMINATE THIS SCRIPT BY HITTING CTRL+C AND RUNNING THE FOLLOWING COMMAND:"
echo "$ dscl . -list /Users UniqueID | grep 401"
echo "If this command has an output then continue running this script. Else DONT"
echo "Press any key to continue running this script, remember - I am not responsible for any unfortunate outcomes"
read

echo "[*] Getting net_pref name"
netPrefFileName=$(sudo defaults read /Library/Preferences/com.common.plist net_pref)

echo "[*] Netperf name is:"
echo $netPrefFileName

echo "[*] Getting appname from com.common.plist"
appName=$(sudo defaults read /Library/Preferences/com.common.plist name)
echo $appName

echo "[*] Stopping and removing LaunchDaemon"
sudo launchctl unload -w "/Library/LaunchDaemons/"$netPrefFileName
sudo killall $appName

sudo rm "/Library/LaunchDaemons/"$netPrefFileName

echo "[*] Removing injector"
sudo rm -r "/Library/"$appName
echo "[*] Removing malicious pf configs made by Pirrit"
sudo rm /etc/change_net_settings.sh

sudo pfctl -evf /etc/pf.conf

servicePrefFileName=$(sudo defaults read /Library/Preferences/com.common.plist service_pref)
echo “[*] Net pref file name:”
echo $netPrefFileName

appName=$(sudo defaults read /Library/Preferences/com.common.plist name)
echo “[*] App name is:”
echo $appName

echo “[*] Removing LaunchDaemon”
sudo launchctl unload -w "/Library/LaunchDaemons/"$servicePrefFileName
echo [*] Killing app and osascript”
sudo killall $appName
sudo killall osascript

echo “[*] Cleaning up…”
sudo rm "/Library/LaunchDaemons/"$servicePrefFileName

sudo rm -r "/Library/"$appName

echo “[*] Removing pirrit launching script”
sudo rm /etc/run_app.sh

echo “Script finished”

Hazlo ejecutable:

chmod +x ~/Desktop/remove-adware.sh

cambia tu directorio de trabajo:

cd ~/Desktop

y ejecutarlo. Lea detenidamente la introducción del script (especialmente el consejo de ejecutar dscl . -list /Users UniqueID | grep 401 antes de continuar:

sudo ./remove-adware.sh
Respondido el 26 de Junio, 2016 por klanomath (19587 Puntos )

0 votos

Avatar de Marc-Aurel Zent

¡muchas gracias por el script! Definitivamente fue corrupto pf configuraciones por Pirrit . Aquí está mi terminal de registros: pastebin.com/fwVV6Crv

Comentado el 26 de Junio, 2016 por Marc-Aurel Zent

0 votos

Avatar de klanomath

@Syed Comprobando la salida del Terminal pueden existir algunos restos de Pirrit. Intento meterle mano a Pirrit y mejorar el script (que acaba de ser copiado de github - mira al final del análisis). ¿Recuerdas la aplicación/url donde conseguiste el adware?

Comentado el 26 de Junio, 2016 por klanomath

0 votos

Avatar de Marc-Aurel Zent

No, creo recordar o tenía avast instalado antes en mi mac, el problema empezó (http/https) más o menos cuando lo desinstalé.

Comentado el 26 de Junio, 2016 por Marc-Aurel Zent
Mostrar 2 comentarios más

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X