PDA

Visualizza versione completa : perchè la telecom mi spia???


davlak
14-05-2003, 03.29.59
sono 3 gg. che Kerio mi dà questo alert...www.interbusiness.it é un indirizzo telecom, ma non capisco che roba é; qualcuno ne sa qualcosa?

davlak
14-05-2003, 03.30.45
e ancora:

cippico
14-05-2003, 08.07.44
capita anche a me...penso che serva a vedere se si e´ ancora connessi...sara´ un ping o qualcosa del genere...
cmq attendi info da qualcuno piu´ esperto...

ciaooo

stinger76
14-05-2003, 10.18.12
Ragazzi anche io da un pò di tempo
ho notato questi tentativi di connessione
e stranamente aumentano in maniera
esponenziale quando utilizzo i programmi
P2P?! :confused:

exion
14-05-2003, 10.54.28
Penso si tratti di qualche lamerone che tenta di sfruttare una probabile falle nel SMB di Win2k/XP.

http://www.petri.co.il/what_is_port_445_in_w2kxp.htm

Come potrete leggere dal link qui sopra, sulla 445 arrivano ben altre cose che dei ping per tenere su la connessione ;)

Okkio, prudenza... e se non vi serve l'SMB chiudete la 445

stinger76
14-05-2003, 11.26.46
Io utilizzo Win98 SE
:confused:

Doomboy
14-05-2003, 11.39.58
Si è un pool di IP della rete interbusiness, sarà assegnato a qualcuno che gioca a fare l'haker della domenica.

Giorgius
14-05-2003, 11.50.14
Occhio ai Virus (e ai P2P)... ;)

... Il virus "Deloder" utilizza la porta 445...

Virus "Win32.Deloder Worm"
http://www.vnunet.it/detalle.asp?ids=/Notizie/Internet/Utilit%C3%A0/20030311005
http://www3.ca.com/virusinfo/virus.aspx?ID=14515

Altro Virus "Worm.Win32.Randon" (sempre su porta 445)
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=38935&sind=0

Una probabile presenza attraverso la porta 445.
http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=65
http://www.f-secure.com/v-descs/deloader.shtml

Verificate nel registro di Windows. ;)


Stesso sistema software da Trend Micro come per il Virus "Worm.Fizzer.A" per rimuoverlo. ;)
http://www.trendmicro.com/download/tsc.asp
http://windows.zdnet.it/forum/showthread.php?threadid=50513

Buon lavoro. ;)(Y) (W)

davlak
14-05-2003, 13.09.39
ragazzi, intanto grazie per le risposte :)

la cosa strana poi é successa ieri: durante uno di quegli alert (ennesimo) di Kerio...al mio deny, immediatamente si é congelata la connessione e sono stato per 5 ore senza internet (alice 256 flat su ethernet ericsson 220dp).
Ho chiamato l'assistenza tin.it, ho spiegato che il sistema operativo non poteva essere (é successo su tutti i SO...ne ho 6 su 2 HD, da 98 a XP PRO).
Inizialmente hanno preso sottogamba la cosa, comunque assicurandomi che non si trattava di un guasto del servizio nella mia zona; poi ho spiegato la questione dell'interbusiness fornendo tutti i dati...e lì l'aria é cambiata...mi hanno detto che avrebbero subito fatto un controllo sulla linea.
Non ho chiuso la porta 445, ma da quando ho riavuto la mia connessione, non so per quale razza di intervento divino...beh non c'é stato + alcun attacco.
Non ho ovviamente la + pallida idea di cosa significhi tutto ciò e soprattutto se davvero significhi qualcosa.
Mi chiedo solo se i fatti possono essere collegati (anche perchè in 6 mesi di alice non ho mai avuto un solo problema).

Lello
14-05-2003, 21.00.33
Originariamente inviato da davlak
ragazzi, intanto grazie per le risposte :)

la cosa strana poi é successa ieri: durante uno di quegli alert (ennesimo) di Kerio...al mio deny, immediatamente si é congelata la connessione e sono stato per 5 ore senza internet (alice 256 flat su ethernet ericsson 220dp).
Ho chiamato l'assistenza tin.it, ho spiegato che il sistema operativo non poteva essere (é successo su tutti i SO...ne ho 6 su 2 HD, da 98 a XP PRO).
Inizialmente hanno preso sottogamba la cosa, comunque assicurandomi che non si trattava di un guasto del servizio nella mia zona; poi ho spiegato la questione dell'interbusiness fornendo tutti i dati...e lì l'aria é cambiata...mi hanno detto che avrebbero subito fatto un controllo sulla linea.
Non ho chiuso la porta 445, ma da quando ho riavuto la mia connessione, non so per quale razza di intervento divino...beh non c'é stato + alcun attacco.
Non ho ovviamente la + pallida idea di cosa significhi tutto ciò e soprattutto se davvero significhi qualcosa.
Mi chiedo solo se i fatti possono essere collegati (anche perchè in 6 mesi di alice non ho mai avuto un solo problema).
Aiuto...:eek:
mi avete messo paura....
ragazzi vi contattero pvt per consigli sulla sicurezza
:)

Giorgius
15-05-2003, 00.33.18
Chi è utente Telecom cambi la "password" che ha registrato nel documento del contratto Alice, Virgilio... ;)

... Quando si deve attivare il Codice sblocco" della connessione al Numero Verde Telecom, sia l'operatore/trice che lo staff tecnico, ti chiedono sia il Login che la password ...

E' una sicurezza valida per i possessori di Modem Adsl Ethernet.

Lello
15-05-2003, 07.45.48
Originariamente inviato da Giorgius
Chi è utente Telecom cambi la "password" che ha registrato nel documento del contratto Alice, Virgilio... ;)

... Quando si deve attivare il Codice sblocco" della connessione al Numero Verde Telecom, sia l'operatore/trice che lo staff tecnico, ti chiedono sia il Login che la password ...

E' una sicurezza valida per i possessori di Modem Adsl Ethernet.
Ti chiedono solo la login o l'indirizzo di posta (utenti Tin.it).
La password non è visualizzabile ma solo lo stato tecnico funzionale.
Il codice di sblocco di Alice è un codice solo numerico che poi verrà distrutto una volta attivato e che non ti fa entrare da nessuna parte se lo digiti una seconda volta (dopo aver attivato l'account ADSL).

Nel caso debba essere controllata anche la bontà della password (o la sua congruenza sul database) si accede in modo diverso, non dal primo operatore, e si devono fornire altri dati di verifica, tipo il cod. fiscale.

Non credo che in tutto questo c'entri Telecom, hanno altro a cui pensare che spiare gli utenti.

;)

exion
15-05-2003, 10.10.11
Originariamente inviato da Lello



Non credo che in tutto questo c'entri Telecom, hanno altro a cui pensare che spiare gli utenti.

;)


Telecom come Telecom no. Ma qualche smanettone dall'interno di telecom, forse.... :)

davlak
15-05-2003, 10.58.41
si, penso anche io quello che ha scritto exion.
gli alert sono ripresi, sempre sulla 445.

(cavolo ragazzi, lo sapete che Kerio é l'unico che me li segnala??? avesse ragione ghandalf a dire che questo é un ottimo FW??? ho provato sia ZA PRO [parlo sempre del mio XP muletto...non é che sto li a installare FW sul SO ufficiale tanto per provarli ;) ) e manco il NIS.

io non ci capisco na cippa di sicurezza online...finchè mi parlate di SO e file di sistema...registro e multipartitioning...boot etc..vi seguo, ma qui sono proprio di coccio :D...

anzi approfitto se c'é qualcuno che conosce sto kerio (GHANDAAAALFFFF! :D) e mi dà delle indicazioni gliene sarei stragrato :)

exion
15-05-2003, 12.59.34
Originariamente inviato da davlak
si, penso anche io quello che ha scritto exion.
gli alert sono ripresi, sempre sulla 445.



Ipotesi POSSIBILE: è uno smanettone dall'interno di Telecom

Ipotesi PROBABILE: visto che si tratta di una porta usata da due o tre virus, potrebbe trattarsi semplicemente di PC infetti che, per puro caso, sono connessi a Internet via un abbonamento dial-up qualsiasi di Telecom e che fanno uno scan su un range di IP a casaccio

dr650se
15-05-2003, 16.16.27
A me una volta era successa una cosa simile sulla porta di ascolto di dc++, come l'avevo lanciato (quindi è improbabile che fosse qualcuno che faceva scansioni) oltre ai servers c'era una connessione ad un'ip Telecoz, avevo subito bannato l'ip ma i tentativi di connessione sono durati ore, impossibile poi sapere se quell'ip era effettivamente di un'utente home o altro. Qui (http://forum.hwupgrade.it/viewtopic.php?t=407026&highlight=) trovate il mio post dell'epoca e relativi logs. Cmq al di la delle segnalazioni del firewall è importante controllare ogni tanto le connessioni attive e in caso situazione poco chiare i logs del firewall.

Lello
15-05-2003, 19.58.15
X Exion e Dav...
Vedo che amate la fantascienza....:D

continuate pure a sognare...:eek:

io dal di dentro vi dico che è diverso..
e se volete in PVT vi spiego perché...

gli IP italiani sono al 100% IP Interbusiness, quindi Telecom.


Ciao
:)

exion
15-05-2003, 21.24.39
Originariamente inviato da Lello
X Exion e Dav...
Vedo che amate la fantascienza....:D

continuate pure a sognare...:eek:

io dal di dentro vi dico che è diverso..
e se volete in PVT vi spiego perché...

gli IP italiani sono al 100% IP Interbusiness, quindi Telecom.


Ciao
:)

Lello... aspetto il pvt, sono curioso :)

Vuoi dirmi che un tecnico di rete un po' burlone non potrebbe essere tentato dall'idea di fare qualche incursione nel pc di qualche cliente? :D
Improbabile certo, ma non impossibile. D'altra parte i primi hacker lavoravano proprio nelle compagnie telefoniche.

L'ipotesi del virus che cerca la 445 ad ogni modo non è fantascienza, è pura realtà documentata dalla Symantec e altri. :confused:
Tra l'altro a vedere il numero altissimo di segnalazioni che stanno venendo fuori proprio sulla 445, l'ipotesi virus mi sembra la piu' probabile in assoluto.

Molto incuriosito anche dalla storia degli IP. Se fosse come dici tu, da una query su un qualsiasi IP italiano sul whois del RIPE dovrebbe saltare fuori almeno un riferimento a Interbusiness... :confused:

In ogni caso, se l'host name è interbusiness, difficilmente puo' non trattarsi di un utente Telecom. O no? :confused:

Spiegami spiegami, che sono tutto un punto di domanda dopo il tuo post :)

davlak
15-05-2003, 21.38.19
e intanto la storia continua...ancora incursioni...insomma voglio chiedere all'amico Lello: per quale motivo sto c@@@o di interbusiness ce l'ha con me? che vvole?? che jò fatto??? che je serve??? :D

cioè, in a few words :o ...che mi vogliono mandare? cosa vogliono pigliare???

diamo per scontata la buonafede, e vabbè...ma io mica me li sono inventati i due screen a inizio 3d...non son mica un fotomontaggio eh?! :D

ciao Lellone :)

Lello
15-05-2003, 22.15.54
Originariamente inviato da davlak
e intanto la storia continua...ancora incursioni...insomma voglio chiedere all'amico Lello: per quale motivo sto c@@@o di interbusiness ce l'ha con me? che vvole?? che jò fatto??? che je serve??? :D

cioè, in a few words :o ...che mi vogliono mandare? cosa vogliono pigliare???

diamo per scontata la buonafede, e vabbè...ma io mica me li sono inventati i due screen a inizio 3d...non son mica un fotomontaggio eh?! :D

ciao Lellone :)
Per i gemelli del sospetto :D
in Italia sono tutti interbusiness, quindi....
mi sembra poco "da 3d tecnico" sospettare di una categoria di lavoratori a danno di altre.


Tutti potrebbero avere interesse a fare schiocchezze...
ma perché dare addosso ai lavoratori Telecom...
così perchè fa ridere?

Se è per ridere....
:(

:) :) :)

exion
16-05-2003, 00.17.23
Originariamente inviato da Lello

Per i gemelli del sospetto :D
in Italia sono tutti interbusiness, quindi....
mi sembra poco "da 3d tecnico" sospettare di una categoria di lavoratori a danno di altre.


1-)Lello, non te la prendere: non ce l'ho con una categoria specifica.

Posso solo dirti che nell'azienda in cui lavoravo 3 anni fa (un grosso provider che per un po' è stato nazionale e poi è tornato regionale perché mancavano i soldi e per poco non falliva e ora non fa piu' servizi per utenti finali ma solo carrier broadband per altre società tra cui NoiCom e le sue azioni da 80 euro ora valgono 50 cent, ma non fatemi dire il nome per favore :D) c'era qualcuno che lo faceva.

E non solo lo faceva, ma era anche maledettamente bravo, in queste e in mille altre piccole cose :eek: :)

Quindi se tanto mi da tanto....

Originariamente inviato da Lello

Tutti potrebbero avere interesse a fare schiocchezze...
ma perché dare addosso ai lavoratori Telecom...
così perchè fa ridere?

Se è per ridere....
:(

:) :) :)

2-) No affatto, non rido e soprattutto non derido, cerco solo di capire.

Io ho fatto delle ipotesi, tra cui ho sottolineato e ripeto ancora, la piu' probabile mi sembra quella di un virus su un computer che si collega tramite dial-up di Telecom. Se è un'ipotesi campata per aria, vorrei solo capire perché, almeno da non rifare la stessa supposizione errata.

Ho fatto 3 ipotesi, ipotesi che potrebbero essere benissimo del tutto cannate. Ma se sono cannate, allora siamo almeno in due, io e Davlak, a voler capire di cosa si tratta :)



3-)Sugli IP non mi hai risposto, e ti assicuro che la curiosità è tanta.

Anche quando lavoravo in Fastweb, non ho il ricordo di aver mai lavorato con IP Interbusiness. Non riesco nemmeno a immaginare che Fastweb possa avere degli IP registrati presso RIPE tramite Interbusiness, visto che Fastweb è un Local Internet Registry, alla pari di Interbusiness.

Quindi se insisti nel dire che tutti gli IP sono Interbusiness, io ti credo, ma allora io mi sono perso un passaggio di sicuro, e mi piacerebbe capire quale :)



ps.: so benissimo che ho a che fare con una persona molto competente, probabilmente molto piu' competente di me in materia, e non metto minimamente in dubbio le tue parole. Tutto questo post è davvero solo un l'intento sincero di capirci qualcosa.

ciao Lello ;)

davlak
16-05-2003, 00.52.32
Originariamente inviato da Lello


Tutti potrebbero avere interesse a fare schiocchezze...
ma perché dare addosso ai lavoratori Telecom...
così perchè fa ridere?


ma che stai a fà il sindacalista??? :p
ma chi se lo sogna di dare addosso alle categorie, alla telecom poi...ma figurati...:)

io voglio solo sapere cosa stà succedendo, ok?


mmazza che peperino, 'sto Lucano, però :D ...

Giorgius
16-05-2003, 17.30.44
Scherzi e battutine a parte, x quelli che hanno ancora problemi sulla porta 445, avete o no provato a scansionare con l'utility Trend Micro il vostro Pc? (Ci si impiega circa 30Min. con la scansione approfondita). ;)

totore
16-05-2003, 18.29.04
Originariamente inviato da davlak
e intanto la storia continua...ancora incursioni...insomma voglio chiedere all'amico Lello: per quale motivo sto c@@@o di interbusiness ce l'ha con me? che vvole?? che jò fatto??? che je serve??? :D

cioè, in a few words :o ...che mi vogliono mandare? cosa vogliono pigliare???

diamo per scontata la buonafede, e vabbè...ma io mica me li sono inventati i due screen a inizio 3d...non son mica un fotomontaggio eh?! :D

ciao Lellone :)

http://community.the-underdogs.org/smiley/celeb/icon_007.gif
http://www.schmaili.com/top_bilder/sch_gif/3.gif

...per conto terzi. Forse...chissa'..

davlak
16-05-2003, 19.19.35
Originariamente inviato da Giorgius
Scherzi e battutine a parte, x quelli che hanno ancora problemi sulla porta 445, avete o no provato a scansionare con l'utility Trend Micro il vostro Pc? (Ci si impiega circa 30Min. con la scansione approfondita). ;)
hai mica il link? ;)

exion
16-05-2003, 19.51.16
ho scritto una vera scemenza... :o :S

Troppo stanco, mi ci vuole una vacanza :inn:

scusate.... editato :)