Sehr komisches Problem mit einer Website und Firefox

[weedy]

FirefoxESR: 45.6.0

Die Website: https://www.enviam-gruppe.de

wird mit FF nicht korrekt geladen, aber mit allen anderen Browsern.

Jetzt stelle ich fest, dass beim Aufruf von der Seite jedesmal andere Websiten mitgeladen werden, die ich aber im FF nicht sehe (per iptraf ermittelt).

Jetzt liegt der Verdacht nahe, dass https://www.enviam-gruppe.de Schadcode ausliefert, der den Firefox angreift und irgendwie versucht, auf andere Webseiten umzuleiten (was aber nicht sichtbar passiert).

http://www.enviam-gruppe.de hat: 194.113.79.112:443

Mitgeladen werden (mal so, mal so):

23.37.43.27:80

194.113.79.29:80

66.201.184.139:80

Ich habe keine Ahnung, wie ich das vernünftig analysieren soll -

Ich schreibe schon eine Weile per 'tcpdump -w' mit jetzt wäre die Frage, wie ich da einen Angriff entlarven kann.

Wer sich auskennt: bitte schnell antworten.

Gruß

[DeletedUserReAsG]

Die Seite ist zwar ziemlich bloatig, tut hier aber im FF 50.1.0

Drittseitencontent nachgeladen wird auf dem ersten Blick von googletagmanager und google-analytics. So Trackingnetzwerke kann man zwar als Angriff (auf die Privatsphäre) sehen, allerdings nutzen sehr viele Seiten das.

[weedy]

Die Seite ist zwar ziemlich bloatig, tut hier aber im FF 50.1.0

Drittseitencontent nachgeladen wird auf dem ersten Blick von googletagmanager und google-analytics. So Trackingnetzwerke kann man zwar als Angriff (auf die Privatsphäre) sehen, allerdings nutzen sehr viele Seiten das.

Soweit kommt es bei mir gar nicht. Der entsprechende Schadcode muss übertragen worden sein, noch bevor irgendwas an Websitecontent übertragen wird, Denn ich sehe keinerlei Webseite und die Webseite selbst überträgt ca. 4553 bytes (jedesmal anders) im Fehlerfall und 28458 Bytes, wenn es funktioniert (in anderen Browsern).


Gruß

[DeletedUserReAsG]

Ich kann da keinen Schadcode feststellen. Aber da’s bei dir unverschlüsseltes HTTP ist, guck‘ halt mal mit etwa wireshark oder eben tcpdump mit den passenden Parametern, was da übertragen wird.

[weedy]

Ich kann da keinen Schadcode feststellen. Aber da’s bei dir unverschlüsseltes HTTP ist, guck‘ halt mal mit etwa wireshark oder eben tcpdump mit den passenden Parametern, was da übertragen wird.

Es ist https. Und der entscheidende Code wird übertragen, noch bevor Content übertragen wird. Also nicht im http-Protokoll.

Gruß

[DeletedUserReAsG]

Ich habe mal eine der von dir geposteten, angeblich schädlichen, IPs mit Port 80 angeschaut: es ist kein HTTPS. Wäre auch unüblich, auf 80 HTTPS auszuliefern. Und dein Browser baut die Verbindung über HTTP auf, wenn da also Daten fließen, dann mit diesem Protokoll.

[weedy]

Ich habe mal eine der von dir geposteten, angeblich schädlichen, IPs mit Port 80 angeschaut: es ist kein HTTPS. Wäre auch unüblich, auf 80 HTTPS auszuliefern.

Ich schrieb oben: "Die Website: https://www.enviam-gruppe.de wird mit FF nicht korrekt geladen, aber mit allen anderen Browsern."

Da steht HTTPS

Ich erkenne einfach nicht den Zusammenhang zwischen der Seite, die nicht geladen wird und den anderen Seiten, die plötzlich angesurft werden nach belieben. Ich habe das soweit auch erst begonnen zu analysieren, nachdem mir das schleierhaft vorkam, dass die Seite https://www.enviam-gruppe.de statt von FF von anderen Browsern geladen wird. Und inwieweit die anderen Seiten schädlich sein können, weiss ich nicht. Man sieht einer Seite nicht an, ob die schädlich ist, aber wenn FF irgendwelche Daten an fremde Seiten schickt, dann ist das schon bedenklich.

Gruß

[DeletedUserReAsG]

Und du schriebst drei IPs, die mitgeladen würden. Das ist kein HTTPS und das kann man sich angucken. Oder du stellst den Dump mal zur Verfügung oder lieferst auf andere Weise handfeste Informationen statt deiner nicht verifizierbaren Interpretationen, mit denen kein Dritter was anfangen kann.

[spiralnebelverdreher]

Ich kann da keinen Schadcode feststellen. Aber da’s bei dir unverschlüsseltes HTTP ist, guck‘ halt mal mit etwa wireshark oder eben tcpdump mit den passenden Parametern, was da übertragen wird.

Es ist https. Und der entscheidende Code wird übertragen, noch bevor Content übertragen wird. Also nicht im http-Protokoll.

Gruß

Die verschiedenen Beobachtungen müssen sich ja nicht ausschliessen. Auf Serverseite kann man natürlich den user-agent des Browsers auswerten und anders reagieren wenn da ein lohnendes Opfer vorbei kommt.
Hast du über den geladenen Content noch weitere Infos als nur die Anzahl der Bytes? Was sagt die Inhaltsanalyse des Firefox (mit F12 erreichbar)?

[whisper]

Hier: Keine Übertragung in FF 45.6.0
in Links2 wird die Seite inklusive Menue aufgebaut.
Im FF sehe ich allein schon mit umatrix, dass hier gar nichts geladen wird.
Sowetwas passiert, wenn der Webserver bestimmte Rewrite Rules für Browser hat, könnte man jetzt tiefer analysieren, aber wahrscheinlich haben die ihren Webauftritt nur mit dem MSIE und den FF unter Windows getestet, da wirds wahrscheinlich funktionieren.
Da ich zu Hause 100% frei von Microsoft bin, kann und will ich da nicht weiter einteigen, dies war nur eine Statusmeldung: Mee too

[weedy]

Ich kann da keinen Schadcode feststellen. Aber da’s bei dir unverschlüsseltes HTTP ist, guck‘ halt mal mit etwa wireshark oder eben tcpdump mit den passenden Parametern, was da übertragen wird.

Es ist https. Und der entscheidende Code wird übertragen, noch bevor Content übertragen wird. Also nicht im http-Protokoll.

Gruß

Die verschiedenen Beobachtungen müssen sich ja nicht ausschliessen. Auf Serverseite kann man natürlich den user-agent des Browsers auswerten und anders reagieren wenn da ein lohnendes Opfer vorbei kommt.
Hast du über den geladenen Content noch weitere Infos als nur die Anzahl der Bytes? Was sagt die Inhaltsanalyse des Firefox (mit F12 erreichbar)?

Also die Seite, die da ist, ist die jeweils vorhergehende Seite, d.h. wenn ich eben ein neues tab geöffnet habe steht in der URL zwar https://www.enviam-gruppe.de/, aber die angezeigte Seite ist about:newtab.

Bei der Kommunikation zu 23.37.43.27 handelt es sich um einen OCSP Request, der prüft offenbar nur das Zertifikat. Soweit alles i.o.

Vieleicht ist es ja doch eher harmlos.

Ich suche mal weiter.

Gruß

[weedy]

Hier: Keine Übertragung in FF 45.6.0
in Links2 wird die Seite inklusive Menue aufgebaut.
Im FF sehe ich allein schon mit umatrix, dass hier gar nichts geladen wird.
Sowetwas passiert, wenn der Webserver bestimmte Rewrite Rules für Browser hat, könnte man jetzt tiefer analysieren, aber wahrscheinlich haben die ihren Webauftritt nur mit dem MSIE und den FF unter Windows getestet, da wirds wahrscheinlich funktionieren.
Da ich zu Hause 100% frei von Microsoft bin, kann und will ich da nicht weiter einteigen, dies war nur eine Statusmeldung: Mee too

Danke übrigens.

Mich würde mal interessieren, wie diese Rules aussehen. Ich habe hier mit verschiedenen User-Agent Switchern herumgeopert und nie eine korrekt Antwort bekommen. Wie also müssen die Rules aussehen, damit FF 45.6.0 keine korrekte Antwort bekommt?

Gruß

[Patsche]

Also mit Firefox Nightly (53.01) habe ich keine Probleme mit der Seite.

[weedy]

Hier: Keine Übertragung in FF 45.6.0
in Links2 wird die Seite inklusive Menue aufgebaut.
Im FF sehe ich allein schon mit umatrix, dass hier gar nichts geladen wird.
Sowetwas passiert, wenn der Webserver bestimmte Rewrite Rules für Browser hat, könnte man jetzt tiefer analysieren, aber wahrscheinlich haben die ihren Webauftritt nur mit dem MSIE und den FF unter Windows getestet, da wirds wahrscheinlich funktionieren.
Da ich zu Hause 100% frei von Microsoft bin, kann und will ich da nicht weiter einteigen, dies war nur eine Statusmeldung: Mee too

Nochwas. Kann uMatrix mit Noscript gemeinsam getrieben werden?

Gruß

[whisper]

Nochwas. Kann uMatrix mit Noscript gemeinsam getrieben werden?

Gruß

Kann bestimmt, aber warum?

Zur ersten Frage, Nee, an die implementierten Rules kommst du nicht ran, die gibt es wie Sand im Meer, oder wie Sand im Getriebe..