Ciao ragazzi,
stamane sono andato a casa di un collega il quale improvvisamente aveva perso la possibilità di connettersi al suo router wifi da una postazione fissa ...
senza perdere troppo tempo in indagini, avendo avuto che la connessione internet era attiva e funzionante ho reinstallato il dongle wifi (TP-LINK)
al riavvio la connessione veniva effettuata ma non la navigazione e pingando non si riusciva a raggiungere alcuna destinazione esterna
resetto winsocks e tcp/ip e nulla cambia
a questo punto la mia attenzione si sposta sull'altro pc e soprattutto sul router
il 2° pc connesso via ethernet sembra ok, ma non ho fatto alcuna indagine approfondita "antimalware" visto che tutto rispondeva perfettamente, attraverso MSCONFIG non c'era nulla di strano e pertanto ho effettuato l'accesso al router quando scopro con orrore che la pwd di admin non era stata cambiata, il fw disattivato e molti parametri di protezione non standard, primo tra tutti i dispositivi wifi non riconosciuti
gironzolando per il menù del router (THOMPSON) scopro che il log riporta delle connessioni
TELNET
capoisco al volo la gravità del problema e stacco immediatamente il doppino telefonico, trascivo gli IP incriminati e RESETTO il router alle condizioni di fabbrica
riconfiguro tutto e prima di rimettere il doppino cambio la pwd di admin con una chilometrica
il reset ha permesso di riconoscere i dispositivi wifi e riabilitare il fw
indagando sugli IP ho trovato che i telnettari sono 3 (o forse sempre lo stesso da 3 "posti" diversi" (il numero maggiore da una zona di catania, 1 connessione dal belgio e 2 dal pakistan)
arrivo al dunque... ( e considerando il tecnico che ha installato il router un farabutto o un'ignorante )
quali mezzi posso usare per capire se i telnettari hanno carpito informazioni dal pc??? (non è un campo in cui sono esperto)
intanto domani il mio collega chiederà il cambio del certificato di autenticazione con la sua banca, per precauzione
altri possibili interventi?? tutte le pwd sono state cambiate (MSN, FORUM, etc.)