Problemi di sicurezza. Attacchi da Lamer?? o .....

Lionsquid · 06-02-2002, 00.33.36

questo il resoconto degli eventi e dei miei tentativi di capire...

Su una LAN di 19 PC solo 7 hanno accesso al web via router. Le configurazioni a fine pagina. Su uno di questi che chiamo PC2 da alcuni giorni ricevo sistematici attacchi (port scanning) dall'IP 212.131.214.195 e 151.99.125.2 (cinet.it con dns prim. e sec.)che è stato il provider fino allo scorso anno (cambiato per l'esasperante lentezza). Aggiorno il McAfee all'ultimo update, installo The cleaner e ripasso con adware (trovando i soliti doubleclick) niente virus, niente trojans, niente porte aperte facendo dei test ai soliti siti.

Ho aggiornato ZA dalla v 2.1.44 alla 2.6.362 e scopro che altri pc (che chiamo 1 e 3) sono soggetti a blocchi di ZA ma questa volta sono in uscita verso l'IP 212.216.172.162 e 212.216.112.222. Di quest'ultimi non riesco ad ottenere info, eccetto che dovrebbe essere l'ip della TIN, attuale ISP, infatti è l'IP impostato sul router Zyxel Prestige 100IH.
Tutto questo ieri 4 febb., oggi 5 dopo aver lasciato il router acceso per tutta la notte insieme ai succitati pc (con tutto quanto attivo per loggare i tentativi - ZA, The Cleaner, TCA e TCM) arriva una richiesta di accesso in uscita ogni ora circa, per raggiungere l'IP 212.216.172.162 e x.x.112.222!
FWOUT,2002/02/04,11:37:55 +1:00 GMT,192.168.0.1:137,212.216.172.162:53,UDP
FWOUT,2002/02/04,11:37:59 +1:00 GMT,192.168.0.1:137,212.216.112.222:53,UDP
FWOUT,2002/02/04,12:41:33 +1:00 GMT,192.168.0.1:137,212.216.172.162:53,UDP
FWOUT,2002/02/04,12:41:37 +1:00 GMT,192.168.0.1:137,212.216.112.222:53,UDP

sempre alla porta 53!
Tornando a ieri, al PC2 (quello delle porte scandite dall'IP 212.131.214.195) decido di smuovere le acque, cambio IP al prot TCP, nome macchina, rimuovo tutti i permessi di accesso di ZA (tutto questo con il cavo di rete scollegato) e riavvio. Avvio IE, ok, avvio Incredimail e sorpresa! ZA mi comunica che l'IP di destinazione è 212.131.214.195 (cinet.it) ???? cosa?? che vordì??? perchè mai un gestore di posta deve accedere ad un'IP che non è quello dell'ISP di connessione che è TIN (con IP 212.216.172.162)??? Anche altri sw fanno lo stesso, altri invece no! Rimuovo tutti i sw che richiedono la connessione a tale IP (c'è anche OE expr. tra questi, ma lo blocco). Cancello i file Hosts.sam e mi chiedo ancora come sti benedetti sw "sappiano" quale IP chiamare.

Altra cosa curiosa, accedendo attraverso risorse di rete al PC2, ZA mi segnala il bloccaggio di un tentativo di accesso ad internet al solito cinet.it. Perchè?????

Del port scanning non mi preoccupo + di tanto, ovviamente vigilo su ogni cambiamento, ma queste richieste mi preoccupano eccome. Ho notato inoltre che ZA ver. 2.6.362 mi rallenta la navigazione!
Sto preparando un report dettagliato che invierò alla Cinet.it ...vedremo cosa risponderanno.

Riassumendo ho 2 problemi: (1)Perchè i programmi in uscita chiedono l'IP di Cinet.it? (2) Perchè ogni ora circa c'è una richiesta in uscita per raggiungere l'IP 212.216.172.162?
Concludo con le configurazioni dei pc:
PC3 - win98se - IE5.5sp2 - Incredimail - McAfee 5.15 - ZA 2.6.362 - UD agent - Flashget
PC2 - win98se - IE5.5sp2 - OExpr. - McAfee 5.15 - ZA 2.6.362 - UD agent - Opera 6
PC1 - win98se - IE5.5sp2 - Incredimail - McAfee 5.15 - ZA 2.6.362 - UD agent - Opera 6 - MSmessenger

RIBADISCO, nè l'AV, nè Cleaner, nè ADware trovano qualcosa di sospetto, nè trovo qualcosa tramite regedit nelle chiavi RUN etc.

Domanda 1: Quale altra prova/controllo posso fare per identificare inequivocabilmente il problema ed risolverlo???

Domanda 2: dove "erudirsi" sulle tattiche di difesa????

...son sconsolato!!

e scusate il romanzo....
bye

Blade · 06-02-2002, 14.21.08

Quanto polverone, la questione è facilissima la porta 53 è quella del dns che è utilizzata sia in udp che tcp, è possibile che sul vecchio route, siano rimasti configurati i vecchi dns e i client per dns usano il gateway del router oppure su alcuni pc della rete sono rimasti configurati al suo interno vecchi dns è quindi i pc si collegano a lui per risolvere i nomi.
Tutto questo fa mettere in moto ZA che blocca questo traffico cmq tranquillo è tutto traffico che devi lasciar passare.
inoltre sappi che i dns sono ancora publici quindi puoi usare quelli di un provaider mentre sei collegato con un altro.

06-02-2002, 20.13.48

Quota:

Originariamente inviato da Blade
... inoltre sappi che i dns sono ancora publici quindi puoi usare quelli di un provider mentre sei collegato con un altro.

Questa questione mi ha sempre interessato molto...

Ma dimmi Blade, ci sono dei vantaggi tangibili ad effettuare una simile impostazione o no?
E se sì, qual'è un provider (o meglio un DNS) che varrebbe la pena di provare per un ADSL, oppure, qual'è in generale un buon un criterio di scelta?

Grazie infinite anticipate.

Lionsquid · 06-02-2002, 22.40.41

Quota:

Originariamente inviato da Blade
Quanto polverone, la questione è facilissima la porta 53 è quella del dns che è utilizzata sia in udp che tcp, è possibile che sul vecchio route, siano rimasti configurati i vecchi dns e i client per dns usano il gateway del router oppure su alcuni pc della rete sono rimasti configurati al suo interno vecchi dns è quindi i pc si collegano a lui per risolvere i nomi.
Tutto questo fa mettere in moto ZA che blocca questo traffico cmq tranquillo è tutto traffico che devi lasciar passare.
inoltre sappi che i dns sono ancora publici quindi puoi usare quelli di un provaider mentre sei collegato con un altro.

..per TE sarà anche un polverone....ma per me che non sono un'esperto.....ho passato 2 giorni..

, .....cmq, adesso ho un sorriso da un'orecchio all'altro

quindi tutto Ok!........maaaaa, perchè fino a 3 gg fa non segnalava questa chiamata in uscita?????

mi sento meglio....mai stato così felice nonostante la figura di 'gnorante

THX & bye

Blade · 07-02-2002, 11.47.31

Quota:

Originariamente inviato da Lionsquid

..per TE sarà anche un polverone....ma per me che non sono un'esperto.....ho passato 2 giorni.., .....cmq, adesso ho un sorriso da un'orecchio all'altro

quindi tutto Ok!........maaaaa, perchè fino a 3 gg fa non segnalava questa chiamata in uscita?????

mi sento meglio....mai stato così felice nonostante la figura di 'gnorante

THX & bye

Ovviamente si scherza cmq la questione è semplice, sicuramente il tutto è cominciato da quando hai aggiornato ZA, nell'ultima versione fino a quando non gli dici di far passare il traffico verso l'ip x.x.x.x sulla porta 53 (il dns) lui blocca tutto.

Lionsquid · 07-02-2002, 14.00.23

Quota:

Originariamente inviato da Blade

Ovviamente si scherza cmq la questione è semplice, sicuramente il tutto è cominciato da quando hai aggiornato ZA, nell'ultima versione fino a quando non gli dici di far passare il traffico verso l'ip x.x.x.x sulla porta 53 (il dns) lui blocca tutto.

capisco, ma posseggo ZA free non la versione Pro, e credo, che non ci sia l'opzione per far passare il traffico verso IP esterno sulla porta specificata......posso solo settare IP locali.... a meno che non mi sbagli.

mi sa che devo cambiare firewall a breve.... o aggiorno alla versione Pro oppure passare al tiny personal fw.... per mantenermi su sw free.....magari domani lo provo....

bye

06-02-2002, 00.33.36	#1
Lionsquid Gold Member Top Poster Registrato: 03-05-2001 Loc.: Trapani Messaggi: 11.639	Problemi di sicurezza. Attacchi da Lamer?? o ..... questo il resoconto degli eventi e dei miei tentativi di capire... Su una LAN di 19 PC solo 7 hanno accesso al web via router. Le configurazioni a fine pagina. Su uno di questi che chiamo PC2 da alcuni giorni ricevo sistematici attacchi (port scanning) dall'IP 212.131.214.195 e 151.99.125.2 (cinet.it con dns prim. e sec.)che è stato il provider fino allo scorso anno (cambiato per l'esasperante lentezza). Aggiorno il McAfee all'ultimo update, installo The cleaner e ripasso con adware (trovando i soliti doubleclick) niente virus, niente trojans, niente porte aperte facendo dei test ai soliti siti. Ho aggiornato ZA dalla v 2.1.44 alla 2.6.362 e scopro che altri pc (che chiamo 1 e 3) sono soggetti a blocchi di ZA ma questa volta sono in uscita verso l'IP 212.216.172.162 e 212.216.112.222. Di quest'ultimi non riesco ad ottenere info, eccetto che dovrebbe essere l'ip della TIN, attuale ISP, infatti è l'IP impostato sul router Zyxel Prestige 100IH. Tutto questo ieri 4 febb., oggi 5 dopo aver lasciato il router acceso per tutta la notte insieme ai succitati pc (con tutto quanto attivo per loggare i tentativi - ZA, The Cleaner, TCA e TCM) arriva una richiesta di accesso in uscita ogni ora circa, per raggiungere l'IP 212.216.172.162 e x.x.112.222! FWOUT,2002/02/04,11:37:55 +1:00 GMT,192.168.0.1:137,212.216.172.162:53,UDP FWOUT,2002/02/04,11:37:59 +1:00 GMT,192.168.0.1:137,212.216.112.222:53,UDP FWOUT,2002/02/04,12:41:33 +1:00 GMT,192.168.0.1:137,212.216.172.162:53,UDP FWOUT,2002/02/04,12:41:37 +1:00 GMT,192.168.0.1:137,212.216.112.222:53,UDP sempre alla porta 53! Tornando a ieri, al PC2 (quello delle porte scandite dall'IP 212.131.214.195) decido di smuovere le acque, cambio IP al prot TCP, nome macchina, rimuovo tutti i permessi di accesso di ZA (tutto questo con il cavo di rete scollegato) e riavvio. Avvio IE, ok, avvio Incredimail e sorpresa! ZA mi comunica che l'IP di destinazione è 212.131.214.195 (cinet.it) ???? cosa?? che vordì??? perchè mai un gestore di posta deve accedere ad un'IP che non è quello dell'ISP di connessione che è TIN (con IP 212.216.172.162)??? Anche altri sw fanno lo stesso, altri invece no! Rimuovo tutti i sw che richiedono la connessione a tale IP (c'è anche OE expr. tra questi, ma lo blocco). Cancello i file Hosts.sam e mi chiedo ancora come sti benedetti sw "sappiano" quale IP chiamare. Altra cosa curiosa, accedendo attraverso risorse di rete al PC2, ZA mi segnala il bloccaggio di un tentativo di accesso ad internet al solito cinet.it. Perchè????? Del port scanning non mi preoccupo + di tanto, ovviamente vigilo su ogni cambiamento, ma queste richieste mi preoccupano eccome. Ho notato inoltre che ZA ver. 2.6.362 mi rallenta la navigazione! Sto preparando un report dettagliato che invierò alla Cinet.it ...vedremo cosa risponderanno. Riassumendo ho 2 problemi: (1)Perchè i programmi in uscita chiedono l'IP di Cinet.it? (2) Perchè ogni ora circa c'è una richiesta in uscita per raggiungere l'IP 212.216.172.162? Concludo con le configurazioni dei pc: PC3 - win98se - IE5.5sp2 - Incredimail - McAfee 5.15 - ZA 2.6.362 - UD agent - Flashget PC2 - win98se - IE5.5sp2 - OExpr. - McAfee 5.15 - ZA 2.6.362 - UD agent - Opera 6 PC1 - win98se - IE5.5sp2 - Incredimail - McAfee 5.15 - ZA 2.6.362 - UD agent - Opera 6 - MSmessenger RIBADISCO, nè l'AV, nè Cleaner, nè ADware trovano qualcosa di sospetto, nè trovo qualcosa tramite regedit nelle chiavi RUN etc. Domanda 1: Quale altra prova/controllo posso fare per identificare inequivocabilmente il problema ed risolverlo??? Domanda 2: dove "erudirsi" sulle tattiche di difesa???? ...son sconsolato!! e scusate il romanzo.... bye ___________________________________ ... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica.... Beppe Grillo

06-02-2002, 14.21.08	#2
Blade Senior Member Registrato: 12-04-2000 Messaggi: 289	Quanto polverone, la questione è facilissima la porta 53 è quella del dns che è utilizzata sia in udp che tcp, è possibile che sul vecchio route, siano rimasti configurati i vecchi dns e i client per dns usano il gateway del router oppure su alcuni pc della rete sono rimasti configurati al suo interno vecchi dns è quindi i pc si collegano a lui per risolvere i nomi. Tutto questo fa mettere in moto ZA che blocca questo traffico cmq tranquillo è tutto traffico che devi lasciar passare. inoltre sappi che i dns sono ancora publici quindi puoi usare quelli di un provaider mentre sei collegato con un altro. ___________________________________ "Bacy Bacy per sempre" By Blade

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)