PDA

Visualizza versione completa : zone alarm e connessioni in uscita...


pholcus
08-03-2001, 23.41.26
Ciao a tutti.
Ho installato da pochi giorni Zonealarm,e c'è un messaggio che mi è gia comparso un po' di volte e non riesco a capire cosa sia:
The firewall has blocked Internet access to xxx.xxx.xx.xx (HTTP) from your computer.

(ovviamente al posto delle "x" zonealarm mi indica l' indirizzo IP,che è sempre lo stesso)
Andando a cercare a chi corrisponde l'IP su RIPE,mi viene indicato un indirizzo di Swisscom.it.
Aggiungo che non ho spyware (uso regolarmente Adaware)e non penso di avere trojans (scansioni con The cleaner e InoculateIT). Avete qualche idea?
Grazie e ciao!

Vitoz
08-03-2001, 23.49.40
domanda banale e stupida,perdonami: hai controllato l' esecuzione automatica?

pholcus
09-03-2001, 00.16.11
sì,mi sembra tutto regolare,nessuna riga strana.

Vitoz
09-03-2001, 00.22.32
quando ti ricapita,controlla da che porta esci (anche con un banale netstat),magari riesci a saperne di piu'

pholcus
09-03-2001, 10.14.20
Dal file log di zone alarm mi viene indicata la porta 80.

Proprio adesso ZA mi ha bloccato un'uscita verso la Akamai.com di Francoforte,sempre dalla porta 80.
Ho notato sul sito akamai che tra i programmi affiliati c'è MusicMatchJukeBox che ho installato ma non è in esecuzione.
Non potrebbe esserci qualche spyware che adaware non riconosce?

Ha qualche significato particolare il fatto che escano dalla porta 80?

Ciao e grazie.

pholcus
09-03-2001, 15.06.34
Scusatemi:ho sbagliato ad interpretare il file log di zonealarm.
Le porte da cui ho avuto tentativi di uscita sono: 1031,1032 (verso lo stesso indirizzo IP,a 10 secondi una dall'altra)1073,1067,1112.
Ho notato che cercano sempre di connettersi verso una porta 80, anche di IP diversi.
Non so proprio che pesci pigliare:devo preoccuparmi?!
Grazie per il vostro aiuto!

P.S.: che cosa significa "GMT" nel file log di ZA?

Vitoz
09-03-2001, 16.15.59
premesso che la 80 e' la http,cioe' quella usata dal web ,ci deve essere qulcosa,di cui sei consapevole o inconsapevole,che dal tuo pc cerca di stabilire una connessione http con qualche sito,come ovviamente se il browser si stesse connettendo ad un host

quando ad esempio ti connetti sulla home di questo forum,puoi notare da netstat anche una connessione http che adesso corrisponde al banner linkexchange di tuttogratis (tutto cio' a grandi linee)

ti consiglierei di disabilitare i programmi in esecuzione,e riabilitarli uno ad uno per vedere se si tratta di uno di questi,che non e' detto sia uno spyware ma semplicemente un prog che sta cercando di fare quello per cui e' stato installato (esempio: il nuovo lettore multimediale di win,coi settaggi di default,se lo apri mentre sei connesso cerca di collegarsi alla sua home page automaticamente)

ma se effettivamente Zone,al momento dell'allarme,non ti segnala il nome di uno specifico programma che cerca di collegarsi,potrebbe trattarsi di uno spyware o di un trojan
(un trojan non penso,dovrebbe essere "chiamato" da indirizzo remoto,e poi non credo cercherebbe l' http)

fammi sapere,son curioso ;)

a proposito,GMT e' semplicemente l' indicazione "Greenwich Meridian Time",riferita all' orario dell' allarme nel log

pholcus
09-03-2001, 17.35.05
Grazie x l'aiuto,Vitoz.
Quando ZA mi ha segnalato i tentativi(uno anche poco fa,verso un provider inglese)non mi ha detto il nome del programma.Inoltre premendo ctrl+alt+canc non risultava nessun programma strano in esecuzione.Allora ho usato The cleaner per vedere i task attivi e il risultato è stato questo

http://digilander.iol.it/rob180/icon/window1.gif

Ovviamente The cleaner l'ho attivato solo per vedere i task attivi.

Alcuni programmi (come Tapisrv.exe) non compaiono in "esecuzione automatica".Secondo te c'è qualcosa di strano o è tutto normale?

Vitoz
09-03-2001, 18.26.50
per quello che ne so io,cioe' probabilmente non abbastanza,non mi sembra niente di strano,cioe' tutti programmi "normali" e moduli di win (che infatti non appaiono in esecuzione auto)...

mi spiace,tutto quello che mi e' venuto in mente te l'ho detto,mi appello a chi ne sa piu' di me :o

se non lo hai gia' fatto,prova ad aggiornare The Cleaner con gli ultimi dat,ma continuo a pensare di escludere l' ipotesi trojan,e scarica la 4.55 dell' Ad-aware

Antares
10-03-2001, 04.40.13
Ma se la porta che viene segnalata è l'80 (quindi http) vuol dire che stava navigando in internet con qualche browser aperto, tutto qua, nessun mistero. :rolleyes:

Bisogna capire che se non venissero utilizzate le porte del pc non si andrebbe da nessuna parte.
Girando per siti si può essere pingati, ci possono essere segnalazione di comunicazioni che ZA segnala con la porta 80 e tante altre cose, senza mettere di mezzo trojan, backdoor, virus e chi più ne ha più ne metta. ;)

eymerich
10-03-2001, 04.56.34
Originally posted by pholcus
Dal file log di zone alarm mi viene indicata la porta 80.

Proprio adesso ZA mi ha bloccato un'uscita verso la Akamai.com di Francoforte,sempre dalla porta 80.
Ho notato sul sito akamai che tra i programmi affiliati c'è MusicMatchJukeBox che ho installato ma non è in esecuzione.
Non potrebbe esserci qualche spyware che adaware non riconosce?

Ha qualche significato particolare il fatto che escano dalla porta 80?

Ciao e grazie.

MusicMatch Jukebox contiene tecnologia Marimba Castanet che invia dati all'esterno bypassando tranquillamente ZoneAlarm.
Adaware non è progettato per riconoscere questo tipo di spyware.

Vitoz
10-03-2001, 09.19.18
Originally posted by Antares
Ma se la porta che viene segnalata è l'80 (quindi http) vuol dire che stava navigando in internet con qualche browser aperto, tutto qua, nessun mistero. Bisogna capire che se non venissero utilizzate le porte del pc non si andrebbe da nessuna parte.


piu' che giusto,ma si parlava di connessioni in uscita,e se ho capito bene,con browser chiuso (e anche se fosse stato aperto,una volta che permetti a Zone di lasciar passare il browser,potresti avere anche una cinquantina di sessioni http + o - regolari aperte senza nessuna segnalazione,tranne nel caso,appunto,che non riguardino la 80,o che riguardino la 80 ma non si tratti del browser "autorizzato")


e tnx ad eymerich per aver risolto l'arcano,ero proprio curioso (anche perche' non ho mai usato MusicMatch,e penso a questo punto mai lo usero'... :eek: )

pholcus
10-03-2001, 10.40.17
Originally posted by pholcus
Scusatemi:ho sbagliato ad interpretare il file log di zonealarm.
Le porte da cui ho avuto tentativi di uscita sono: 1031,1032 (verso lo stesso indirizzo IP,a 10 secondi una dall'altra)1073,1067,1112.
Ho notato che cercano sempre di connettersi verso una porta 80, anche di IP diversi.

Grazie ragazzi per i chiarimenti,però non ho capito una cosa:il fatto che ci siano tentativi di uscita dalle porte sopra indicate e che siano dirette verso la porta 80 non credo siano dovuti a dei ping,visto che sono in uscita,o sbaglio?

Originally posted by eymerich
MusicMatch Jukebox contiene tecnologia Marimba Castanet che invia dati all'esterno bypassando tranquillamente ZoneAlarm.
Adaware non è progettato per riconoscere questo tipo di spyware.

Ma allora se viene bypassato,non dovrebbe neanche indicarmi gli alert,giusto? :confused:

Ciao,e grazie ancora.

Vitoz
10-03-2001, 12.34.51
Originally posted by pholcus

Grazie ragazzi per i chiarimenti,però non ho capito una cosa:il fatto che ci siano tentativi di uscita dalle porte sopra indicate e che siano dirette verso la porta 80 non credo siano dovuti a dei ping,visto che sono in uscita,o sbaglio?

infatti non possono essere ping,ma una risposta penso possa stare nel mio post appena sopra il tuo ;)

cmq,la connessione verso 80 (e non da remoto verso la tua http,procedura da hacker cmq,che sfruttava un noto baco di Explorer per "bucarlo" proprio dalla porta locale) e' procedura autorizzata da Zone se TU la autorizzi,sia per il browser che per qualunque altro prog conosciuto con accesso alla rete

QUALSIASI altro prog che lo voglia fare a tua insaputa,puzza,tutto qui (se non altro perche' comandi tu,non il tuo pc... :) )

pholcus
10-03-2001, 13.53.43
OK,grazie,ora tutto è più chiaro! Però mi piacerebbe sapere qual è il programma non autorizzato che cerca di connettersi. Esiste un modo?

Vitoz
10-03-2001, 15.51.42
beh penso proprio abbia ragione eymerich,anche perche' uno spyware "serio" non ha bisogno che sia lanciato il programma-madre per fare delle "chiamate a casa",ma vive di vita propria

prova a disinstallare MusicMatch e a pulire il registro (ma siccome non conosco il programma,potrebbe anche essere che lo spyware,se trattasi di un modulo a se',non venga rimosso con la disinstallazione del programma),riavvia e poi verifica se il problema si dovesse ripresentare

ovviamente se non capita piu',hai il tuo colpevole,e quindi stara' a te scegliere se reinstallarlo ancora o meno

buona caccia :)

eymerich
10-03-2001, 16.10.30
A puro titolo di curiosità,è nota dal settembre scorso una variante di un noto trojan in grado di bypassare completamente ZoneAlarm e comunicare con l'esterno senza essere rilevato da questo firewall.
Verificare periodicamente il proprio sistema con un antivirus e un antitrojan aggiornati e non scaricare file di dubbia provenienza è sicuramente la migliore strategia di difesa.

Per quanto riguarda MusicMatch Jukebox,basta guardare nell'about per trovare a caratteri cubitali il riferimento a Marimba Castanet;la cosa sgradevole è che non viene spiegato a che serve(per ovvii motivi :rolleyes: ).
E però anche vero che il più amato browser distribuisce già di suo un sacco di informazioni dell'ignaro utente proprio attraverso la porta 80...che si autoregistra alla MS ogni volta che se ne installa una nuova versione e via di questo passo.

In definitiva,per quanto possa dare fastidio,tanto vale accettare una volta e per tutte che internet e la privacy siano in antitesi:a cercare bene tuttavia è sempre possibile trovare un programma realmente gratuito e non impiccione.Tempo fà ad esempio rimasi colpito da quanto dichiarava un programmatore nel suo sito e cioè che avendo potuto usufruire per molto tempo di risorse gratuite sul web aveva deciso di offrire gratuitamente il suo programma proprio per restituire,almeno in parte,ciò che aveva ricevuto.Probabilmente questo tipo di programmatori idealisti è in forte diminuzione,e lo dimostra il fatto che i programmi adware sono in costante aumento(bisogna pur vivere,è comprensibile)ma a me piace credere che quello spirito sia ancora vivo;il sito che ci ospita e che ci fornisce aiuto e tricks gratuitamente e tutti noi che lo frequentiamo è prova del fatto che quello spirito non si è ancora estinto :).

ehm forse sono decisamente uscito fuori tema :) e ho scritto un pò troppo...

pholcus
10-03-2001, 16.50.33
Concordo pienamente con quello che dice eymerich! Grazie a tutti!

Vitoz
10-03-2001, 16.55.39
parole sante,altroche'...

a proposito eyme,come va con la NAI ? :cool:

eymerich
10-03-2001, 21.42.04
Originally posted by Vitoz
a proposito eyme,come va con la NAI ? :cool:


molto meglio della McAfee ;)
ancora grazie :)

Bet
12-03-2001, 10.01.30
Non dev'essere niente di particolare: ci sono dei programmi (tipo visualroute od ostronet, ma probabilmente anche comandi dos che non conosco) che permettono di visualizzare informazioni circa le connessioni e siti. Se richiedi info su wintricks a questi programmi, o semplicemente se ti colleghi a http://www.ripe.net/cgi-bin/whois ed immetti l'ip di wintricks, vedrai che verrà visualizzato la Swisscom Italy.
Ora non aggiungeri di + perchè di ste cose non me ne so nulla, ma penso che sia una società di servizi di rete su cui si appoggia wintricks per essere in rete (come fa qualsiasi altro sito), ma ripeto non ne so nulla e aspetto correzzioni e prcisazioni; magari potrà essere più preciso qualcuno dello staff di wintricks.
In ogni modo non penso proprio che ci sia niente di cui preoccuparsi.

kronos
13-03-2001, 18.57.44
Sono abbonato da un po di tempo ad una mailinglist
dove presentano i bug
e ho letto articoli su questo firewall(zone allarm)
Volevo sapere in che percentuale è sicuro!!


Grazie