Precedente :: Successivo |
Autore |
Messaggio |
egosumquisum2 Dio minore
Registrato: 04/07/02 14:13 Messaggi: 885
|
Inviato: 26 Lug 2002 09:47 Oggetto: scan porta 80 |
|
|
ho ricevuto una bella serie di scan sulla porta 80 e 50 cmd 0 (che non ho la più pallida idea di cosa sia)
tutti bloccatti da tiny
a parte scansionare il sistema con BO detect etc e antivirus
chi si può notificare per il tentativo di scan (gli ip di partenza sono noti, ma penso siano stati bucati)
ciao
Chi in cento battaglie riporta cento vittorie, non è il più abile in assoluto. Chi non dà nemmeno battaglia, e sottomette le truppe dell'avversario, è il più abile in assoluto |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11566 Residenza: Tokelau
|
Inviato: 26 Lug 2002 10:57 Oggetto: Re: scan porta 80 |
|
|
scan sulla 80... qualcuno che cerca un bel websever da bucare... oppure un rimasuglio del noto Nimda, penso che potresti anche non preoccupartene
|
|
Top |
|
|
hulisse Eroe
Registrato: 05/07/02 11:25 Messaggi: 64
|
Inviato: 04 Ago 2002 10:29 Oggetto: non ci starei tanto tranquillo |
|
|
Ciao,
se fosse Nimda con una scansione di un BUON antivirus risolveresti. Se si tratta di una scansione di porta ( cosa che spesso accade anche a me) puoi segnalare il tutto al servizio abuse del tuo provider ( se non è un provider casareccio, nel qual caso...ti devi solo proteggere). Ogni grossa società che fornisce accesso ad internet ha un apposito indirizzo del tipo abuse@***.it al quale puoi inoltrare la tua segnalazione. Bada bene che questo lo puoi fare solo se l'indirizzo IP ( bucato o mascherato che sia) appartiene al tuo provider. Per verificarne la provenienza puoi andare sul sito www.ripe.net, scegliere il servizio whois ( è una delle linguette a sinistra) ed inserire l'IP desiderato. In pratica ripe è una banca dati mondiale degli intervalli IP utilizzati da tutti i provider, compresi quelli più piccoli. Alla fine della ricerca ripe ti snocciola la provenienza ed alcune volte anche il proprietario dell' IP ( se si tratta di una società). Se il risultato invece è " the address is really the worldwide web" si tratta di un indirizzo camuffato. Ad ogni modo Tiny mi sembra un po poco come protezione, scusa se mi permetto. Sono molto più completi ( tra i gratuiti) Zone Alarm e Sygate personal Firewall, e questo per esperienza personale. Il secondo è anche più stabile e non va in conflitto con antivirus, mentre il primo tende a "ciucciare" troppe risorse se utilizzato in tandem con un antivirus.
Spero di esserti stato utile.
|
|
Top |
|
|
hulisse Eroe
Registrato: 05/07/02 11:25 Messaggi: 64
|
Inviato: 04 Ago 2002 10:37 Oggetto: scusa ma mi sono spiegato male in una cosetta. |
|
|
scusa ma mi sono spiegato male in un fatto: intendevo dire che la segnalazione da inoltrare al servizio abuse del tuo provider è inutile nel caso in cui si tratti di un'altra società. Ad esempio tu navighi con Tin ed hai un tentativo di intrusione da Infostrada, allora in questo caso inoltri la segnalazione al servizio abuse di Infostrada. Inoltre( e questo mi ero dimenticato di dirtelo) puoi segnalare il fatto alla Polizia delle Telecomunicazioni, perchè le mail ai servizi abuse non vanno al di là di un ammonimento oppure una sospensione del contratto del "malfattore".
Ciao
|
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11566 Residenza: Tokelau
|
Inviato: 05 Ago 2002 13:45 Oggetto: Re: non ci starei tanto tranquillo |
|
|
mmm... no, non mi hai capito.
Parlando di Nimda intendevo che il virus cerca "vittime" chiamando IP a caso sulla porta 80 per cercare dei web gestiti da IIS non patchato... non intendevo che "potresti aver preso Nimda"... certo che se lo hai preso lo vedi con un antivirus aggiornato... ma se non lo hai preso di sicuro il tuo antivirus non troverà niente sulla tua macchina...
|
|
Top |
|
|
hulisse Eroe
Registrato: 05/07/02 11:25 Messaggi: 64
|
Inviato: 05 Ago 2002 21:51 Oggetto: un chiarimento da SverX |
|
|
Cioè vorresti dire che poteva trattarsi di una scansione di porta di Nimda che ha infettato il suo provider? Boh, può darsi. Anche se penso che ormai tutti dovrebbero essersi premuniti.
|
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11566 Residenza: Tokelau
|
Inviato: 06 Ago 2002 12:51 Oggetto: Re: un chiarimento da SverX |
|
|
mmm... no, non necessariamente il suo provider... basta uno a caso che è infetto e si collega in rete...
non so se hai mai dato un'occhiata a come funziona Nimda o se ne hai mai letto i sorgenti... in pratica Nimda inventa indirizzi IP a caso e cerca di contattare la porta 80 di quell' IP utilizzando una richiesta HTTP"malformata" che, nel caso il webserver sia un IIS non patchato, il server interpreta come richiesta di esecuzione privilegiata di un esequibile... e in questo modo Nimda riesce a modificare delle pagine del sito ed infilarci il suo codice di replicazione. Il sito web in questione, a quel punto, diventa un ulteriore veicolo di infezione.
Per chi sta sperimentando questi "attacchi" ... se puoi vedere cosa ti viene mandato verso la porta 80 puoi riconoscere Nimda da una sfilza di N maiuscole ( o di X maiuscole se Nimda.B ) ...
|
|
Top |
|
|
hulisse Eroe
Registrato: 05/07/02 11:25 Messaggi: 64
|
Inviato: 06 Ago 2002 17:23 Oggetto: grazie ad SverX |
|
|
Grazie. Non avevo approfondito Nimda in modo particolare.
|
|
Top |
|
|
|