1 votos

Nikita Fuchs avatar

Después de instalar Zoom: macOS reenvía varias solicitudes a localhost

Preguntado el 10 de Octubre, 2020
Cuando se hizo la pregunta
104 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

Desde el día en que instalé (y desinstalé) Zoom, comenzaron a reenviarse varias URLs a localhost. Como por ejemplo:

$ traceroute -I googleadservices.com

traceroute a googleadservices.com (127.0.0.1), máximo de 64 saltos, paquetes de 72 bytes
 1  localhost (127.0.0.1)  0.525 ms  0.061 ms  0.054 ms

Otros sitios y servicios también se ven afectados, por lo que tuve que obtener las IPs detrás de los dominios y codificarlas en el archivo /etc/hosts para poder trabajar, ahora se ve así:

127.0.0.1   localhost
255.255.255.255 broadcasthost
::1             localhost
# Añadido por Docker Desktop
# Para permitir que el mismo contexto de kube funcione tanto en el host como en el contenedor:
127.0.0.1 kubernetes.docker.internal
# Fin de la sección

# soluciones rápidas manuales:
140.82.113.3    github.com
140.82.118.4    gist.github.com
151.101.52.133  gist.githubusercontent.com
104.28.28.240   coronazaehler.de
172.217.2.106  firebasestorage.googleapis.com
104.26.1.95  myairbridge.com

157.240.18.19 cdn.fbsbx.com
# INICIO sección para sitios del cliente SSL de OpenVPN
127.94.0.1  client.openvpn.net
127.94.0.2  openvpn-client.vpn.leondrino.com
# FIN sección para sitios del cliente SSL de OpenVPN

Usar NordVPN no cambia nada, pero con TOR puedo acceder a todo. ¿Qué puede estar mal?

Preguntado el 10 de Octubre, 2020 por Nikita Fuchs

1 votos

Avatar de ErniePC12

¿Cuáles son tus configuraciones de DNS? ¿Está apuntando a localhost? ¿Estás ejecutando algo como un servicio de DNS local en tu computadora?

Comentado el 10 de Octubre, 2020 por ErniePC12

0 votos

Avatar de Douglas

No creo que esto se deba a DNS porque traceroute está siguiendo la ruta al host. Para confirmar, intenta hacer un traceroute utilizando la IP, verás que sigue yendo a localhost. Parece que algo escribió algunas rutas estáticas que hacen un bucle de regreso a tu localhost por alguna razón. Arranca en Modo Seguro (Mantén presionada Shift mientras arranca) y verifica si el problema persiste. Esto confirmará si algo está ejecutándose y causando este comportamiento.

Comentado el 10 de Octubre, 2020 por Douglas

0 votos

Avatar de Nikita Fuchs

¿Cuál sería una forma de rastrear esto? Ningún detector de malware encuentra nada, aparentemente el host al que este ataque MITM (sospecho fuertemente que lo es) está hablando ya está desinstalado. Wireshark sugiere actividad hacia localhost al llamar a los dominios afectados, pero absolutamente no puedo decir nada de lo que está diciendo.

Comentado el 20 de Octubre, 2020 por Nikita Fuchs

Respuesta

¿Demasiados anuncios?

1voto

Nikita Fuchs avatar
Nikita Fuchs Puntos 121

Increíble, después de meses de buscar sin rumbo, parece que lo he descubierto. Aparentemente, las IPs

103.86.99.99
103.86.96.96

son parte de algún software malicioso, aparecen aquí:

$ scutil --dns
resolver #1
  search domain[0] : 
  nameserver[0] : 192.168.178.1
  nameserver[1] : fd00::7eff:4dff:fe7e:56fa
  if_index : 5 (en0)
  flags    : Scoped, Request A records, Request AAAA records
  reach    : 0x00020002 (Reachable,Directly Reachable Address)

resolver #2
  nameserver[0] : 103.86.99.99
  nameserver[1] : 103.86.96.96
  if_index : 14 (ipsec0)
  flags    : Scoped, Request A records
  reach    : 0x00000003 (Reachable,Transient Connection)

y este resolver #2 no está mostrado en ninguna configuración DNS en la configuración del sistema.

al ejecutar $sudo scutil, encontré estas IPs en esta entrada:

>get State:/Network/Service/39118383-7AC1-4270-AA42-7F97B4505F57/DNS

>d.show

 {

  ConfirmedServiceID : 39118383-7AC1-4270-AA42-7F97B4505F57

  ServerAddresses :  {
    0 : 103.86.99.99
    1 : 103.86.96.96
  }

La respuesta principal aquí me mostró cómo reemplazar esta entrada con una correcta. Después de eso, ejecuté:

sudo rm /etc/resolv.conf

sudo ln -s /var/run/resolv.conf /etc/resolv.conf

¿Qué tipo de basura podría haber sido esa?

Respondido el 28 de Octubre, 2020 por Nikita Fuchs (121 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X