Olimpo Informatico

[Zona]

Ciao a tutti.

Recentemente (da non più di tre settimane) il mio pc, in alcune fasce orarie, è sottoposto ad una costante attività di port-scanning.

Scendo un po' nel dettaglio. Sono allacciato alla rete fastweb con indirizzo ip dinamico. Utilizzo un personal firewall (sygate) e un antivirus (kaspersky), costantemente aggiornati all'ultima release/definizione. Durante il giorno (di notte è davvero raro) registro una fastidiosa e continuata attività su alcune porte. L'ip dello scanner sembra essere statico (2.243.161.107), le porte, guarda caso, sono tra le più gettonate e menzionate per vulnerabilità di vario genere (139-445-1025-1433-3410-5554-6129).

Ho contattato fastweb, sia telefonicamente che via email. A tutt'oggi sto aspettando una risposta dalla "sezione abusi", mentre il servizio customer care mi ha risposto in modo piuttosto evasivo.

Cercando in rete, ho visto che il problema, con piccole varianti, è piuttosto diffuso.

Sono curioso di sentire il vostro punto di vista e qualunque consiglio di qualunque genere è ben acceto.

Grazie e ciao

Edited by: Zona at: 21/12/04 11:06

[SverX]

Fin troppo "normale". Innanzitutto hai fatto bene a segnalare il problema a chi di dovere... non so dirti _se_ porterà a qualcosa ma almeno l'hai fatto, non ti si potrà dire il contrario.

Poi, ovviamente, hai fatto bene ad avere installato un firewall. "Patcha" sempre le vulnerabilità e tieni aggiornati antivirus e firewall. Comunque la Rete è piena di pesci, e tu non sei un bersaglio facile al momento

---

Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito. E poi ci sono i velocipedi equestri , ovviamente :)

[niklair]

... con Alice subisco 4 - 5 portscan al giorno ... (e mi collego soltanto qualche oretta!); ogni tanto guardo chi è ed è quasi sempre qualcuno abbonato ad Alice ...

________

"Whats up doc?" - Bugs Bunny

[aibsusa]

E' una cosa talmente normale che uno non ci fa neppure più caso.



Per le segnalazioni di reati informatici comunque esiste la possibilità di contattare la Polozia Postale:

www.poliziadistato.it/pds...tatti.html

[ioSOLOio]

adsl Alice, circa 9-10 ore online al giorno...mediamente 3/4 scan segnalati da Sygate..



ma proprio in onore di questo thread, oggi siamo già a 6...

[Gateo]

Ma quell'IP number li' , non e' un po troppo generico ?

Mi risulta



OrgName: Internet Assigned Numbers Authority

OrgID: IANA

Address: 4676 Admiralty Way, Suite 330

City: Marina del Rey

StateProv: CA

PostalCode: 90292-6695

Country: US



NetRange: 2.0.0.0 - 2.255.255.255

CIDR: 2.0.0.0/8

NetName: RESERVED-2

NetHandle: NET-2-0-0-0-1

Parent:

NetType: IANA Reserved

Comment:

RegDate: 1995-07-07

Updated: 2002-09-12



OrgAbuseHandle: IANA-IP-ARIN

OrgAbuseName: Internet Corporation for Assigned Names and Number

OrgAbusePhone: +1-310-301-5820

OrgAbuseEmail: abuse@iana.org



Io non li denuncerei...

L'hardware e' la parte del computer che puoi prendere a calci;

il software quella contro cui puoi solo imprecare

[Zona]

Hai fatto un whois, lo avevo fatto anche io.In effetti queste informazioni non dicono nulla. facendo un tracert da me a lui c'è solo un op, la funzione backtrace di sygate mi fornisce anche un "name".

In effetti una delle cose che mi ha destato più sospetto è la staticità dell'ip. Per il momento mi acconterei di avere una risposta da fastweb.

Nonostante il mio antivirus sia abbastanza efficiente, non ho nemmeno scartato la possibilità che il problema sia mio, anche se il firewall non segnala strani socket in uscita. Avendo letto in rete che un po' dappertutto segnalano lo stesso problema, sulle stesse porte, mi chiedevo se le persone che denunciano un problema simile non avessero notato questo particolare.

[Gateo]

Non ho usato il Whois ma questo programmino, che trovo molto piu' comodo.

A parte quello tutto il thread mi porta a chiedermi :serve prendersela coi vari latori di attacchi o e' un po' come impostare l'antivirus per inviare messaggi ai mittenti posticci dei virus?

Perche' ho controllato un po' di IP del Log del mio firewall ed ho trovato attacchi dagli IP piu' svariati.

In pratica, si ha a cge fare con pc zombie o ci sono sistemi per falsificare l'IP di partenza?

L'hardware e' la parte del computer che puoi prendere a calci;

il software quella contro cui puoi solo imprecare

[ioSOLOio]

Quote:

---

ci sono sistemi per falsificare l'IP di partenza?

---

si, credo che si possa fare..ma non mi chiedere come..



lo scorso anno un sito di un amico con cui collaboro è stato pesantemente sotto attacco...moltitudini di contatti a occupare banda....svariati IP corrispondevano a società certamente all'oscuro del fatto....

inveceun port scan reiterato svariate volte su un pc "proveniva" da una postazione di una filiale di una banca...



avevo controllato in ambo i casi giusto per curiosità, pensando comunque che non fosse chi appariva il colpevole...



una volta settate le difese, e controllato regolarmente che non ci siano stranezze, lascio fare....finche lo scan mi viene segnalato vuol dire che è stato intercettato....e si spera che altro non sfugga..

[aibsusa]

Quote:

---

ci sono sistemi per falsificare l'IP di partenza?

---

Sì, non ricordo il nome ma avevo letto di un programma col quale si può navigare con un ip staniero pur collegandosi regolarmente ad un provider italiano.

[doctorK]

qualcuno sa dirmi come faccio lo stesso port-scanning di Zona5 (benvenuto!) in unix? sono anch'io su fastweb.

gia

[kingofworms]

Quote:

---

ci sono sistemi per falsificare l'IP di partenza?

---

Beh, nmap ha un'opzione apposta (vedi il man, l'opzione è -S) che a prima vista pare funzionare (testato sulla mia LAN).

Non sono sicuro di aver capito la domanda di doctorK: se chiede come fare un port scanning, allora la risposta è ancora nmap.

---

Coltivate Linux: Windows si pianta da solo...

[SverX]

vorrei controllare ma non riesco a trovare più i riferimenti alle classi IP non routabili (private)... ma mi pare di ricordare che un indirizzo di classe A come questo 2.x.x.x NON sia un indirizzo WAN valido...



... Fastweb è una LAN però, vero?



E allora perchè cercate su WhoIs? Gli indirizzi privati NON si registrano, ognuno può usare QUELLI e QUANTI ne vuole...



Edit: Ho detto una va**ata Solo 10.x.x.x è privata in classe A [vedi RFC-1918] ...

---

Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito. E poi ci sono i velocipedi equestri , ovviamente :)

Edited by: SverX  at: 22/12/04 9:21

[doctorK]

no, scusa, mi sono espresso "al contrario".

come faccio a controllare se MI FANNO un port scanning.

cmq ho usato nmap (su me stesso:localhost?).



per chi usa macosx e non vuole agire da terminale: Applicazioni>Utility>Utility Network> tab 'porte'.

chiaramente il terminale offre tutte le opzioni...

[juzo kun]

Mi fischia un'orecchio



...port scanning ne ho avuti anch'io, almeno a guardare il log di ZoneAlarm... al mio livello non posso fare altro che prenderne atto, e sperare che il firewall faccia il suo dovere



Cià

JK

Edited by: juzo kun at: 22/12/04 12:44

[Zona]

Leggendo i vostri reply butto lì un po' di considerazioni:

come dicevo, utilizzando la funzione backtrace di sygate mi accorgo che l'ip corrisponde ad una macchina ad un solo op da me, e guarda caso l'unico op è la centrale fastweb. Questa macchina ha un nome: BERNACCHIA.

Si può mascherare l'ip per fare qualcosa in internet? so poco, ma questo lo si può fare in tanti modi. Un tool, un'intrusione su altro pc per svolgere alcune operazioni su internet utilizzando l'ip (o melgio la macchina e la connessione) di un ignaro utente (tipico di attacchi DOS a grandi strutture da parte di tanti utenti singoli).

Anche alcuni proxy permetono di mascherare l'ip di partenza (le liste e le possiblità dei singoli proxy si trovano facilmente in rete) per fare diverse operazioni (le possibilità dipendono dal proxy)

Alla fine di tutto torniamo al punto di partenza: un ip statico di Fastweb fa portscanning sistematico su una classe di ip. Mi piacerebbe che smettesse o in alternativa sapere di chi si tratta...e fastweb tace