Olimpo Informatico

sir jdp

Sono circa quindici/venti giorni che il firewall (sygate personal) mi segnala tentativi di scansione delle porte, il log di sicurezza indica l'host remoto dell'intrusore, che varia continuamemente con un range da 37.255.0.0 a

37.255.255.255, l'emac dell'intruso è sempre lo stesso, anche se il suo id il più delle volte è anonimo, altrimenti varia con nomi sconosciuti.

Il mio provider è fastweb e l'ip dell'intruso sembra appartenere alla rete di fastweb, ma non ne sono sicuro (è molto simile al mio!).

Per complicarmi la vita l'altro giorno ho deciso di reinstallare l'antivirus che si rifiutava di fare l'upgrade (e nonostante tutto lo fa ancora); non l'avessi mai fatto, mi sono beccato subito gaobot, un simpatico virus interattivo che fa di tutto compreso sostituire la ventola con ventagli cinesi.

Inutile dire che per guarire c'è voluto del bello e del buono, molta modalità provvisoria e una deframmentazione completa...

Premesso che di sicurezza non ne capisco praticamente nulla, non riesco a capire se i tentativi di scansione hanno a che vedere con la comparsa del virus, o se quello se ne stava già accucciato per i fatti suoi.

In ogni caso che si fa con un'intruso, magari inconsapevole (forse pure lui infetto)? Il firewall è impostato per segnalare gli abusi a Fastweb, ma la cosa si fa imbarazzante, sembro uno spammer, avrò mandato 10 messaggi in 10 ore!

Grazie per la pazienza nel leggermi...

-fp

SverX

le scansioni delle porte sono tipiche di gaobot...

... per non beccartelo occhio alle patch ( gaobot ne sfrutta parecchie) e occhio a non dimenticare shares aperte.

(prova da prompt di dos il comando

net share

se ti fa vedere che C$ è condiviso inizia a cancellare un po' di shares...

net share c$ /delete

etc.

)

Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.

sir jdp

Grazie!

Devo dire che tramite l'hag di Fastweb ho in rete il pc (win2000) col portatile (winXP), con alcune cartelle condivise.

in effetti avevo in share, tra gli altri:

D$ D:

print$ C:WINNTSystem32spooldrivers

C$ C:

ADMIN$ C:

IPC$

In particolare è IPC$ che non so cosa sia...

Ora accendo il portatile e vedo.

Per ora li ho cancellati, nel caso dovessi riabilitarli qual'è la sintassi?

Il fatto che sia una caretteristica di Gaobot quella di scansionare le porte significa che su uno dei 2 c'è ancora?

E' possibile che l'indirizzo emac che mi fornisce il firewall per l'ip remoto sia diverso da quello di entrambe le mie schede di rete?

grazie.

SverX

per creare nuove share guarda la sintassi facendo

net help share

in generale

net share nomecondivisione=pathfisico

Quote:
Il fatto che sia una caretteristica di Gaobot quella di scansionare le porte significa che su uno dei 2 c'è ancora?

se ti arrivano su un PC tentativi di intrusione dall'altro direi di sì... altrimenti arrivano da "fuori" (niente di più facile...)

Quote:
E' possibile che l'indirizzo emac che mi fornisce il firewall per l'ip remoto sia diverso da quello di entrambe le mie schede di rete?

non mi è chiara la domanda... comunque se l'indirizzo fisico della scheda del mittente è diverso dall'indirizzo fisico delle tue schede (che vedi dal prompt con ipconfig /all ) allora stai sicuro che è l'indirizzo fisico del tuo router...

Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.

sir jdp

Quote:
se ti arrivano su un PC tentativi di intrusione dall'altro direi di sì... altrimenti arrivano da "fuori" (niente di più facile...)

No, i tentativi di connessione arrivano da fuori. Oggi è tutto tranquillo, ma ieri era un delirio, cmq la mia seconda domanda si riferiva proprio a questo, ora non capisco se l'emac remoto sia, come suggerisci tu, quello fisico del router adsl oppure un indirizzo esterno, ma inizio a propendere per la seconda ipotesi.

Comunque con net share (grande comando, grazie e mille per la dritta!) sono riuscito a disabilitare tutto ciò che non volevo condiviso e ho lasciato il resto (sono poche cartelle).

Con winXP però non riesco a cancellare questo:

Quote:
IPC$

mi da:

Quote:

errore di sistema 5.

Accesso negato.

Che è? E' grave?

Google risponde con un paio di siti "underground" che documentano come prendere il controllo di una macchina remota... chissà se il firewall abbia protetto i sistemi... non che abbia dati sensibili in memoria però da sempre un po' fastidio venire spiati... Eppoi in un mese mi sono trovato il sito vandalizzato dall'attacco ai server di aruba, un bel virus rognoso e questo problema di sicurezza...

SverX

Quote:
ora non capisco se l'emac remoto sia, come suggerisci tu, quello fisico del router adsl oppure un indirizzo esterno, ma inizio a propendere per la seconda ipotesi.

i mac address (gli indirizzi fisici) non sono conosciuti all'esterno della LAN (ovvero "oltre" i router / bridge)

se vuoi conoscere l'associazione IP - mac address usa il comando ARP con l'opzione -a

arp -a

se la lista è vuota o non contiene tutti gli IP della tua LAN fai prima un ping a ognuno degli host sulla tua LAN e riprova

Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.

sir jdp

ok, propendevo sbagliato in effetti il mac adress è quello del router...

A questo punto devo stanare il presunto virus dal sistema, ma norton non rivela nulla, oggi però tutto sembra tranquillo...

cmq ho trovato questo articolo che da preziosi suggerimenti sulla sicurezza.

Grazie ancora per l'aiuto!

sir jdp

Come non detto! Dal pomeriggio di ieri sygate ha collezzionato un log lungo chilometri, e non riesco a capire cos'è... o chi è! :-X

Apparentemente tutto funziona, escluderei un virus... ma non si può mai sapere.

La cosa è abbastanza fastidiosa...

ringrazio cmq Sverx per avermi pazientemente risposto...