firewall x w2k

[eymerich]

Quota:

Originally posted by nonnobit

Quindi ogni scansione da parte di un lamer HA UN NOME,che il firewall riconosce come Backdoor,sub seven ecc.?
Usando sub seven ad esempio,il computer infetto da quel troian gli risponde "Sììì? Son qua"?

Il firewall mi direbbe,se il computer fosse infetto,che parte una risposta alla scansione da parte di un'applicazione? L'importante è questo,poi,me la posso anche dormire

Beh in larga parte ti sei già risposto da solo
Non è la scansione ad avere un nome,NIS ti avvisa dello scanning contro una determinata porta che generalmente è usata da quel particolare trojan.
Ad es. se il firewall ti avvisa che stai ricevendo uno scanning da Donald Dick,significa che il lamer di turno sta usando il client per tentare l'accesso al tuo pc tramite la porta 23476 o 23477 e agganciare il rispettivo server,quindi prendere il controllo del tuo pc.
La porta invece è chiusa,il pc non ha il server in questione e quindi sei "salvo".
Anzi,quand'anche il pc contenesse il server in questione come potrebbe rispondere alla chiamata?

Nel caso invece di un trojan per il quale il tuo firewall non ha una regola predefinita,lo scanning dovrebbe essere ugualmente rilevato.

NIS infine ti avvisa senz'altro se un'applicazione residente vuole accedere alla rete senza il tuo esplicito permesso.E'chiaro che se il trojan fosse camuffato col nome di un applicazione a cui hai concesso ampia libertà non ti accorgeresti di nulla.

Come ho già detto e ripetuto,tranquillizzati:ma ricorda che i personal firewall sono solo un tool anti-lamer e sono e restano sempre vulnerabili.

[Ghandalf]

Quello che posso dirti e' che puoi pensare di controllare le porte attive durante la tua connessione, non che sia un modo assolutamente sicuro, ma se sospetti d'avere un trojan e' uno dei passi da fare. Per farlo apri il Prompt di MS-DOS e digita:
netstat -na
Se vuoi una lista dei comandi:
netstat\?
Netstat e' un'applicazione di win che ti da informazione sulle porte utilizzate in quel momento nella tua connessione. Se le porte aperte (per esempio 1026,135,1025,1027) sono entro le 2000 o poco oltre dovrebbe essere tutto ok, numeri molto alti nell'ordine di 10000, 20000, 30000 dovrebbero farti sospettare. Un'altra cosa che puoi fare per essere piu' sicuro della veridicita' delle info di netstat e' controllare che in C:\Windows ci sia il file:
INETMIB1.dll
Se ci sono file con nome uguale ma con estensione differente potresti insospettirti.
Bhe' mi sono mooolto dilungato ...
Se hai bisogno di informazioni in +, fai una semplicissima ricerca in rete, (port scan, sicurezza...)dai anche un'occhiata a C:\Windows\Services (elenco di porte).
Per quanto mi riguarda utilizzo BlackIce e zone alarm contemporaneamente (Ho 256 di RAM ed un AMD 850).
Un'altra cosa importante...con un po' di "testa" si puo' evitare di beccarsi i trojan. E se l'hacker e' bravo fara' in ogni caso quello che vuole, e se e' bravo, sicuramente non si occupa di un semplice computerozzo...

[nonnobit]

[QUOTE]Originally posted by eymerich
[B]

Quota:

Originally posted by nonnobit



NIS infine ti avvisa senz'altro se un'applicazione residente vuole accedere alla rete senza il tuo esplicito permesso.E'chiaro che se il trojan fosse camuffato col nome di un applicazione a cui hai concesso ampia libertà non ti accorgeresti di nulla.

Come ho già detto e ripetuto,tranquillizzati:ma ricorda che i personal firewall sono solo un tool anti-lamer e sono e restano sempre vulnerabili.

Spero di essere riuscito a quotare,perchè prima non ero autorizzato..
Per esempio,da quando ho tolto TUTTO quello che riguardava Babylon (noto e fam.spyware,lo so),gli avvisi sono scemati,però sere fa qualcuno cercava di accedere senza permesso, e lo ha fatto per 6 volte a intervalli di 30 secondi l'una,e il NIS mi riferiva ciò,senza però fare riferimento a tentativi di intrusione mediante sistemi chiaramente specificati nelle regole,mi dava solo il nome del remoto,che ho cercato in Whois/Ripe,ottenendo il nome di un provider di Minsk in Bielorussia,poi in Corea...
Ho mandato una mail (per quello che serve...)
Ah! non sono per niente proccupato,solo che la cosa mi affascina di brutto,e tu mi sembri ferrato sull'argomento

[nonnobit]

Un'altra cosa importante...con un po' di "testa" si puo' evitare di beccarsi i trojan. E se l'hacker e' bravo fara' in ogni caso quello che vuole, e se e' bravo, sicuramente non si occupa di un semplice computerozzo...


Grazie per il consiglio.Sono andato a vedere il prompt e sembra tutto a posto,poi + tardi farò quello che mi hai detto
Sai che se il pc non avesse una conn. con l'esterno,non ci perderei il cranio ,sono MALATO della comunicazione!!!

[eymerich]

No non sono affatto ferrato in materia;molto affascinato dall'argomento sì.

Se si parla invece di vera competenza circa la sicurezza in rete bisogna senz'altro rivolgersi al nostro guru in questa materia e non solo,ovvero Casper (vedi ad esempio http://www.wintricks.it/faq/protezione_web.html )

A proposito di mail:spero che tu non ne stia inviando in lungo e largo per segnalare intrusioni che invece sono semplici ping da siti che hai visitato

Circa l'utilità dei fw nei riguardi degli hacker se ne è parlato abbondantemente su http://forum.wintricks.it/showthread.php?threadid=10923

ps:I 7 giorni sono passati e quindi dovresti ormai averci fatto l'abitudine...

[nonnobit]

Quota:

Originally posted by eymerich
No non sono affatto ferrato in materia;molto affascinato dall'argomento sì.

Se si parla invece di vera competenza circa la sicurezza in rete bisogna senz'altro rivolgersi al nostro guru in questa materia e non solo,ovvero Casper (vedi ad esempio http://www.wintricks.it/faq/protezione_web.html )

A proposito di mail:spero che tu non ne stia inviando in lungo e largo per segnalare intrusioni che invece sono semplici ping da siti che hai visitato

Circa l'utilità dei fw nei riguardi degli hacker se ne è parlato abbondantemente su http://forum.wintricks.it/showthread.php?threadid=10923

ps:I 7 giorni sono passati e quindi dovresti ormai averci fatto l'abitudine...

Spiegati meglio sui ping, e poi,altro che 7 giorni di avvisi di sicurezza....

[eymerich]

Ping

[nonnobit]

Ho letto adesso il thread sugli hacker,giorni fa,quando mi hai consigliato di cercarlo,non l'avevo trovato perchè si chiama in altro modo,comunque risponde in parte alla mia curiosità,perfetto
Ora saluto tutti quanti e vado a vedere il mondo reale....
Ci vediamo domani!!

[eymerich]

[Vitoz]

Quota:

Originally posted by Ghandalf
Quello che posso dirti e' che puoi pensare di controllare le porte attive durante la tua connessione, non che sia un modo assolutamente sicuro... netstat -na

infatti, non del tutto sicuro
esempio: sono in ICQ, sto scambiando messaggi con un amico, l' amico e' sotto firewall, e il firewall gli consente la navigazione stealth; il netstat puo' non accorgersi delle porte utilizzate da ICQ e quindi non segnalare alcuna connessione in corso con altro utente (mentre il mio firewall se ne accorge e segnala spesso la comunicazione ICQ come un tentativo di port probe; e' successo sia con Zone che con Black)

francamente non so se le difficolta' del netstat possano essere plausibili anche con altre modalita' di connessione esterna, trojans compresi, in caso di firewalls nella controparte: appena mi becco un trojan vi so dire

p.s: quasi tutte le scansioni random che mi vengono fatte, provengono da utenti firewallati o sotto proxy (o entrambe le cose), poiche' i vari tentativi di traceroute nei loro confronti, quando li faccio, cioe' molto raramente per non "scoprirmi" e per pura curiosita', si risolvono quasi sempre con un bel "request timed out" (la stessa risposta ottenuta da chi traccia, pinga, o scanna me )

[nonnobit]

Scusa scusa,non ho ben capito:
se traccio una connessione con visual route,oppure Neo trace,il destinatario a cui appartiene l'IP tracciato può ricevere un'avviso,SE E'SOTTO FIREWALL,e di che tipo?

[Ghandalf]

Di fatto utilizzo anche IP-tools per monitorare le porte...ma come saggia conclusione..."se qualcosa puo' andar male lo fara'", murphy insegna...

[Vitoz]

Quota:

Originally posted by nonnobit
Scusa scusa,non ho ben capito:
se traccio una connessione con visual route,oppure Neo trace,il destinatario a cui appartiene l'IP tracciato può ricevere un'avviso,SE E'SOTTO FIREWALL,e di che tipo?

se si e' sotto firewall, viene ovviamente segnalato cio' che sta' accadendo, siano tracciamenti, ping, o quant' altro; insomma, se qualcuno suona al tuo citofono, dentro casa si sente "beep"...

X Ghandalf: direi che ci siamo capiti

[nonnobit]

Insomma qua ci si diverte a scannare le porte?...
E' per quello che...

[Vitoz]

qua stiamo facendo un filo di confusione, che cerchero' di chiarire:

- no, qua non ci si diverte a scannare le porte, se viene inteso "da parte di utenti del forum" (come tu citi anche QUI); ora, mica posso mettere la mano sul fuoco che nessun utente WT forum passi il tempo a scannare le porte altrui, ma difficilmente puo' sapere il tuo IP, a meno di non essere in grado di forzare le password del sistema stesso e avere diritti da amministratore o moderatore (e stai pur tranquillo che ne' Billow ne' i moderatori scannano le tue porte )
- se il tuo "E' per quello che..." sta a significare "E' per quello che traccio chi mi sta scannando", ok, cmq un traceroute o un ping non sono azioni illegali
- come dicevo prima, se qualcuno scanna le tue porte e tu sei sotto firewall, non conosce nemmeno l' esistenza del tuo pc, poiche' si tratta solo di scansioni random su un range di IP, che sfortunatamente comprende anche il tuo; quindi, lecito rispondere con un ping o simili, tanto per far capire che "tu sai", ovvio che in questo modo, se il tizio che sta scannando te usa anch'esso un firewall o simili, o anche un banale packet sniffer, viene messo a conoscenza del tuo ping (o altro), e sa quindi che l' indirizzo IP scannato nell' ambito del range random precedentemente nominato, e' attivo; peraltro nel 100% dei casi una volta arrivato il tuo "avvertimento", non si ripetono piu' scansioni, almeno non nella stessa sera. Ma ripeto, tu sei invisibile, quindi e' assolutamente inutile rispondere ad una banale scansione, se non per pura curiosita'

spero di essere stato esaustivo