Несколько дней назад стал внезапно утекать трафик (сотни мегабайт в сутки), что является непозволительным, поскольку его 15 ГБ на месяц, сверх этого докупаются отдельно пакеты 3G либо безлимит 2G. Сначала пенял на недавно включённый неиспользуемый плагин Hangouts в Pidgin, на ngrok. После их отключения утечка не прекратилась.
Позднее обнаружил, что утечка не постоянно по чуть-чуть, как было с uTox, а эпизодически приходит по нескольку десятков мегабайт входящего трафика. Озаботился подробным мониторингом, установил netatop, но собираемая им статистика оказалось недостаточно репрезентативной. Поставил на видном месте общеинтерфейсный сетевой монитор, а также малополезное расширение TAB TRAFFIC MONITOR; оставил постоянно запущенными Nethogs и Wireshark, чтобы быстро начать сбор трафика, сижу, жду.
Заметив очередной всплеск, быстро натравил Wireshark и обнаружил, что трафик идёт с адреса 104.25.16.116, который принадлежит Cloudflare. Откуда трафик, таким образом, неизвестно, к тому же он шифрованный. Не нашёв ничего лучше, заблокировал его через iptables. Временно проблема разрешилась, однако сегодня опять обнаружился всплеск трафика, в этот раз на адрес 104.25.15.116. Заблокировал всю сеть /16. Заодно заметил в Nethogs, что трафик таки идёт из Firefox. Набор загруженных вкладок там в течение последних дней постоянно разный, в этот раз вообще загружены только несколько картинок с CDN Skype и локальная страница. Набор активных расширений также скуден:
- Awesome Screenshot
- CacheViewer
- Classic Theme Restorer
- DNS Flusher
- Imagus
- Yaware.TimeTracker Url Monitor
Как определить вредителя? Возможно, пустить весь трафик из Firefox через Squid с логированием запросов и подменой сертификата? Раз адрес один раз поменялся, вредитель может и дальше продолжать долбиться через доступные подсети Cloudflare, полностью блокировать который не хотелось бы, поскольку отвалятся использующие его сайты.
