Precedente :: Successivo |
Autore |
Messaggio |
sir jdp Eroe in grazia degli dei
Registrato: 30/01/04 22:14 Messaggi: 133 Residenza: bo (tmp:ve)
|
Inviato: 12 Mag 2004 10:31 Oggetto: intrusioni? |
|
|
Sono circa quindici/venti giorni che il firewall (sygate personal) mi segnala tentativi di scansione delle porte, il log di sicurezza indica l'host remoto dell'intrusore, che varia continuamemente con un range da 37.255.0.0 a
37.255.255.255, l'emac dell'intruso è sempre lo stesso, anche se il suo id il più delle volte è anonimo, altrimenti varia con nomi sconosciuti.
Il mio provider è fastweb e l'ip dell'intruso sembra appartenere alla rete di fastweb, ma non ne sono sicuro (è molto simile al mio!).
Per complicarmi la vita l'altro giorno ho deciso di reinstallare l'antivirus che si rifiutava di fare l'upgrade (e nonostante tutto lo fa ancora); non l'avessi mai fatto, mi sono beccato subito gaobot, un simpatico virus interattivo che fa di tutto compreso sostituire la ventola con ventagli cinesi.
Inutile dire che per guarire c'è voluto del bello e del buono, molta modalità provvisoria e una deframmentazione completa...
Premesso che di sicurezza non ne capisco praticamente nulla, non riesco a capire se i tentativi di scansione hanno a che vedere con la comparsa del virus, o se quello se ne stava già accucciato per i fatti suoi.
In ogni caso che si fa con un'intruso, magari inconsapevole (forse pure lui infetto)? Il firewall è impostato per segnalare gli abusi a Fastweb, ma la cosa si fa imbarazzante, sembro uno spammer, avrò mandato 10 messaggi in 10 ore!
Grazie per la pazienza nel leggermi...
-fp
|
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11568 Residenza: Tokelau
|
Inviato: 12 Mag 2004 10:40 Oggetto: Re: intrusioni? |
|
|
le scansioni delle porte sono tipiche di gaobot...
... per non beccartelo occhio alle patch ( gaobot ne sfrutta parecchie) e occhio a non dimenticare shares aperte.
(prova da prompt di dos il comando
net share
se ti fa vedere che C$ è condiviso inizia a cancellare un po' di shares...
net share c$ /delete
etc.
)
Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.
|
|
Top |
|
|
sir jdp Eroe in grazia degli dei
Registrato: 30/01/04 22:14 Messaggi: 133 Residenza: bo (tmp:ve)
|
Inviato: 12 Mag 2004 10:56 Oggetto: Re: intrusioni? |
|
|
Grazie!
Devo dire che tramite l'hag di Fastweb ho in rete il pc (win2000) col portatile (winXP), con alcune cartelle condivise.
in effetti avevo in share, tra gli altri:
D$ D:
print$ C:WINNTSystem32spooldrivers
C$ C:
ADMIN$ C:
IPC$
In particolare è IPC$ che non so cosa sia...
Ora accendo il portatile e vedo.
Per ora li ho cancellati, nel caso dovessi riabilitarli qual'è la sintassi?
Il fatto che sia una caretteristica di Gaobot quella di scansionare le porte significa che su uno dei 2 c'è ancora?
E' possibile che l'indirizzo emac che mi fornisce il firewall per l'ip remoto sia diverso da quello di entrambe le mie schede di rete?
grazie.
|
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11568 Residenza: Tokelau
|
Inviato: 12 Mag 2004 11:17 Oggetto: Re: intrusioni? |
|
|
per creare nuove share guarda la sintassi facendo
net help share
in generale
net share nomecondivisione=pathfisico
Quote: Il fatto che sia una caretteristica di Gaobot quella di scansionare le porte significa che su uno dei 2 c'è ancora?
se ti arrivano su un PC tentativi di intrusione dall'altro direi di sì... altrimenti arrivano da "fuori" (niente di più facile...)
Quote: E' possibile che l'indirizzo emac che mi fornisce il firewall per l'ip remoto sia diverso da quello di entrambe le mie schede di rete?
non mi è chiara la domanda... comunque se l'indirizzo fisico della scheda del mittente è diverso dall'indirizzo fisico delle tue schede (che vedi dal prompt con ipconfig /all ) allora stai sicuro che è l'indirizzo fisico del tuo router...
Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.
|
|
Top |
|
|
sir jdp Eroe in grazia degli dei
Registrato: 30/01/04 22:14 Messaggi: 133 Residenza: bo (tmp:ve)
|
Inviato: 12 Mag 2004 11:41 Oggetto: Re: intrusioni? |
|
|
Quote: se ti arrivano su un PC tentativi di intrusione dall'altro direi di sì... altrimenti arrivano da "fuori" (niente di più facile...)
No, i tentativi di connessione arrivano da fuori. Oggi è tutto tranquillo, ma ieri era un delirio, cmq la mia seconda domanda si riferiva proprio a questo, ora non capisco se l'emac remoto sia, come suggerisci tu, quello fisico del router adsl oppure un indirizzo esterno, ma inizio a propendere per la seconda ipotesi.
Comunque con net share (grande comando, grazie e mille per la dritta!) sono riuscito a disabilitare tutto ciò che non volevo condiviso e ho lasciato il resto (sono poche cartelle).
Con winXP però non riesco a cancellare questo:
Quote: IPC$
mi da:
Quote:
errore di sistema 5.
Accesso negato.
Che è? E' grave?
Google risponde con un paio di siti "underground" che documentano come prendere il controllo di una macchina remota... chissà se il firewall abbia protetto i sistemi... non che abbia dati sensibili in memoria però da sempre un po' fastidio venire spiati... Eppoi in un mese mi sono trovato il sito vandalizzato dall'attacco ai server di aruba, un bel virus rognoso e questo problema di sicurezza...
|
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11568 Residenza: Tokelau
|
|
Top |
|
|
sir jdp Eroe in grazia degli dei
Registrato: 30/01/04 22:14 Messaggi: 133 Residenza: bo (tmp:ve)
|
Inviato: 12 Mag 2004 13:16 Oggetto: Re: intrusioni? |
|
|
ok, propendevo sbagliato in effetti il mac adress è quello del router...
A questo punto devo stanare il presunto virus dal sistema, ma norton non rivela nulla, oggi però tutto sembra tranquillo...
cmq ho trovato questo articolo che da preziosi suggerimenti sulla sicurezza.
Grazie ancora per l'aiuto!
|
|
Top |
|
|
sir jdp Eroe in grazia degli dei
Registrato: 30/01/04 22:14 Messaggi: 133 Residenza: bo (tmp:ve)
|
|
Top |
|
|
|