Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
intrusioni?
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
sir jdp
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 30/01/04 22:14
Messaggi: 133
Residenza: bo (tmp:ve)

MessaggioInviato: 12 Mag 2004 10:31    Oggetto: intrusioni? Rispondi citando

Sono circa quindici/venti giorni che il firewall (sygate personal) mi segnala tentativi di scansione delle porte, il log di sicurezza indica l'host remoto dell'intrusore, che varia continuamemente con un range da 37.255.0.0 a

37.255.255.255, l'emac dell'intruso è sempre lo stesso, anche se il suo id il più delle volte è anonimo, altrimenti varia con nomi sconosciuti.



Il mio provider è fastweb e l'ip dell'intruso sembra appartenere alla rete di fastweb, ma non ne sono sicuro (è molto simile al mio!).



Per complicarmi la vita l'altro giorno ho deciso di reinstallare l'antivirus che si rifiutava di fare l'upgrade (e nonostante tutto lo fa ancora); non l'avessi mai fatto, mi sono beccato subito gaobot, un simpatico virus interattivo che fa di tutto compreso sostituire la ventola con ventagli cinesi.



Inutile dire che per guarire c'è voluto del bello e del buono, molta modalità provvisoria e una deframmentazione completa...



Premesso che di sicurezza non ne capisco praticamente nulla, non riesco a capire se i tentativi di scansione hanno a che vedere con la comparsa del virus, o se quello se ne stava già accucciato per i fatti suoi.



In ogni caso che si fa con un'intruso, magari inconsapevole (forse pure lui infetto)? Il firewall è impostato per segnalare gli abusi a Fastweb, ma la cosa si fa imbarazzante, sembro uno spammer, avrò mandato 10 messaggi in 10 ore!



Grazie per la pazienza nel leggermi...



-fp

Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 10132
Residenza: Tokelau

MessaggioInviato: 12 Mag 2004 10:40    Oggetto: Re: intrusioni? Rispondi citando

le scansioni delle porte sono tipiche di gaobot...



... per non beccartelo occhio alle patch ( gaobot ne sfrutta parecchie) e occhio a non dimenticare shares aperte.



(prova da prompt di dos il comando



net share



se ti fa vedere che C$ è condiviso inizia a cancellare un po' di shares...



net share c$ /delete



etc.



)






Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.

Top
Profilo Invia messaggio privato HomePage
sir jdp
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 30/01/04 22:14
Messaggi: 133
Residenza: bo (tmp:ve)

MessaggioInviato: 12 Mag 2004 10:56    Oggetto: Re: intrusioni? Rispondi citando

Grazie!



Devo dire che tramite l'hag di Fastweb ho in rete il pc (win2000) col portatile (winXP), con alcune cartelle condivise.



in effetti avevo in share, tra gli altri:



D$ D:

print$ C:WINNTSystem32spooldrivers

C$ C:

ADMIN$ C:

IPC$



In particolare è IPC$ che non so cosa sia...



Ora accendo il portatile e vedo.

Per ora li ho cancellati, nel caso dovessi riabilitarli qual'è la sintassi?



Il fatto che sia una caretteristica di Gaobot quella di scansionare le porte significa che su uno dei 2 c'è ancora?



E' possibile che l'indirizzo emac che mi fornisce il firewall per l'ip remoto sia diverso da quello di entrambe le mie schede di rete?



grazie.

Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 10132
Residenza: Tokelau

MessaggioInviato: 12 Mag 2004 11:17    Oggetto: Re: intrusioni? Rispondi citando

per creare nuove share guarda la sintassi facendo

net help share

in generale

net share nomecondivisione=pathfisico



Quote:
Il fatto che sia una caretteristica di Gaobot quella di scansionare le porte significa che su uno dei 2 c'è ancora?




se ti arrivano su un PC tentativi di intrusione dall'altro direi di sì... altrimenti arrivano da "fuori" (niente di più facile...)



Quote:
E' possibile che l'indirizzo emac che mi fornisce il firewall per l'ip remoto sia diverso da quello di entrambe le mie schede di rete?




non mi è chiara la domanda... comunque se l'indirizzo fisico della scheda del mittente è diverso dall'indirizzo fisico delle tue schede (che vedi dal prompt con ipconfig /all ) allora stai sicuro che è l'indirizzo fisico del tuo router...






Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.

Top
Profilo Invia messaggio privato HomePage
sir jdp
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 30/01/04 22:14
Messaggi: 133
Residenza: bo (tmp:ve)

MessaggioInviato: 12 Mag 2004 11:41    Oggetto: Re: intrusioni? Rispondi citando

Quote:
se ti arrivano su un PC tentativi di intrusione dall'altro direi di sì... altrimenti arrivano da "fuori" (niente di più facile...)




No, i tentativi di connessione arrivano da fuori. Oggi è tutto tranquillo, ma ieri era un delirio, cmq la mia seconda domanda si riferiva proprio a questo, ora non capisco se l'emac remoto sia, come suggerisci tu, quello fisico del router adsl oppure un indirizzo esterno, ma inizio a propendere per la seconda ipotesi.



Comunque con net share (grande comando, grazie e mille per la dritta!) sono riuscito a disabilitare tutto ciò che non volevo condiviso e ho lasciato il resto (sono poche cartelle).



Con winXP però non riesco a cancellare questo:



Quote:
IPC$




mi da:

Quote:


errore di sistema 5.



Accesso negato.




Che è? E' grave?



Google risponde con un paio di siti "underground" che documentano come prendere il controllo di una macchina remota... chissà se il firewall abbia protetto i sistemi... non che abbia dati sensibili in memoria però da sempre un po' fastidio venire spiati... Eppoi in un mese mi sono trovato il sito vandalizzato dall'attacco ai server di aruba, un bel virus rognoso e questo problema di sicurezza...

Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 10132
Residenza: Tokelau

MessaggioInviato: 12 Mag 2004 12:17    Oggetto: Re: intrusioni? Rispondi citando

Quote:
ora non capisco se l'emac remoto sia, come suggerisci tu, quello fisico del router adsl oppure un indirizzo esterno, ma inizio a propendere per la seconda ipotesi.




i mac address (gli indirizzi fisici) non sono conosciuti all'esterno della LAN (ovvero "oltre" i router / bridge)



se vuoi conoscere l'associazione IP - mac address usa il comando ARP con l'opzione -a



arp -a



se la lista è vuota o non contiene tutti gli IP della tua LAN fai prima un ping a ognuno degli host sulla tua LAN e riprova :)






Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.

Top
Profilo Invia messaggio privato HomePage
sir jdp
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 30/01/04 22:14
Messaggi: 133
Residenza: bo (tmp:ve)

MessaggioInviato: 12 Mag 2004 13:16    Oggetto: Re: intrusioni? Rispondi citando

ok, propendevo sbagliato in effetti il mac adress è quello del router...



A questo punto devo stanare il presunto virus dal sistema, ma norton non rivela nulla, oggi però tutto sembra tranquillo...



cmq ho trovato questo articolo che da preziosi suggerimenti sulla sicurezza.



Grazie ancora per l'aiuto!

Top
Profilo Invia messaggio privato
sir jdp
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 30/01/04 22:14
Messaggi: 133
Residenza: bo (tmp:ve)

MessaggioInviato: 13 Mag 2004 08:36    Oggetto: Re: breve aggiornamento Rispondi

Come non detto! Dal pomeriggio di ieri sygate ha collezzionato un log lungo chilometri, e non riesco a capire cos'è... o chi è!:-X



Apparentemente tutto funziona, escluderei un virus... ma non si può mai sapere.



La cosa è abbastanza fastidiosa...



ringrazio cmq Sverx per avermi pazientemente risposto...

Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi