Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 16-10-2011, 21.16.20   #1
Heda
Newbie
 
Registrato: 19-06-2011
Messaggi: 38
Heda promette bene
[XP sp3] Porta 3389 aperta

Qualche giorno fa, controllando il log del firewall, ho visto 2 connessioni aperte dal mio pc (SO Xpsp3), porta 3389, verso la porta 80 dell'indirizzo 195.22.200.200 e, il giorno seguente, verso il 2.16.137.55, che non sembrano corrispondere a siti. La cosa mi sembra un pò strana, perchè ho chiuso il servizio Desktop remoto, che infatti controllando da sistema, avanzate... risulta disabilitato. Facendo un'ulteriore verifica col comando netsh firewall show config risulta un profilo Domain che ha come allowedprogram proprio tale servizio... A parte che non so che profilo sia, la configurazione attuale però è Standard, in cui tale porta è chiusa... E allora perchè partono connessioni? Sembra dal log fw vedo connessioni da varie porte verso l'ip 1.1.1.1 porte 80 e 443, che senso hanno?
Grazie per le risposte
Heda non è collegato   Rispondi citando
Vecchio 17-10-2011, 10.02.49   #2
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Il firewall di Windows, com'è noto, consente ogni connessione dall'interno verso l'esterno. Sono aperte per default i servizi NetBIOS e SMB sulla rete interna.
Aggiungere una ACL sul firewall indica sicuramente la possibilità di connettersi dall'esterno verso un servizio in ascolto nella rete interna, ma l'accesso può essere consentito da internet, solo dalla rete interna, oppure selettivamente basandosi sull'indirizzo IP. La porta TCP 3389 è quella relativa alla gestione desktop remoto.
Le informazioni che hai fornito non sono sufficienti ad identificare una possibile compromissione del sistema.
Per prima cosa dovresti dirci qual'è l'uso che fai del PC: Lo utilizzi solo per navigare su Internet o accedere alla posta entrambi solo da casa, oppure lo hai configurato per accedervi anche dall'esterno, ad esempio, attraverso servizi VPN ? Ti connetti attraverso modem-router o semplicemente col modem ?

La porta 80 è quella HTTP (Internet), la 443 è SSL (Internet -Secure Socket Layer)
LoryOne non è collegato   Rispondi citando
Vecchio 17-10-2011, 21.03.05   #3
Heda
Newbie
 
Registrato: 19-06-2011
Messaggi: 38
Heda promette bene
Intanto grazie per l'interessamento
Mi connetto solo da casa (Ethernet) con il modem-router adsl2+wifi n della Telecom
Conosco le well-known ports, è proprio questo che non capisco, se i servizi desktop remoto ed assistenza remota sono chiusi non dovrebbero partire richieste verso ip esterni, invece... Sono chiuse anche le porte del netbios, che infatti risultano tali e non appaiono mai nel log relativamente a connessioni esterne alla lan, ed ho chiuso anche il servizio server, dato che non uso programmi p2p, quanto al protocollo server messagge block, se uso net statistics workstation vedo sempre dei messaggi, solo in ingresso, ignoro se sia normale o meno
In passato ho subito l'infausto interessamento di qualche hacker, ecco perchè sono così attenta, se non vado fuori tema : posto di conoscere i miei dati, per esempio il numero di telefono, i clienti Telecom che si collegano alla stessa centrale, o addirittura i miei vicini, sono facilitati in un eventuale tentativo d'intrusione? Sempre considerato che tengo chiuso il wi-fi, uso solo ethernet. Inoltre le connessioni verso 1.1.1.1 hanno un senso con un solo pc collegato?

Ultima modifica di Heda : 17-10-2011 alle ore 22.13.56 Motivo: aggiornamento dato non corretto
Heda non è collegato   Rispondi citando
Vecchio 17-10-2011, 23.11.07   #4
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Figurati Heda.
Un telnet sull'IP 195.22.200.200 e sull' IP 2.16.137.55 fornisce il seguente risultato:

HTTP/1.0 400 Bad Request
Server: AkamaiGHost
Mime-Version: 1.0
Content-Type: text/html
Content-Length: 216
Expires: Mon, 17 Oct 2011 19:46:36 GMT
Date: Mon, 17 Oct 2011 19:46:36 GMT
Connection: close

Cerca info su AkamaiGHost e guarda se può essere illuminante quello che trovi. Per quanto riguarda le porte aperte, è quella di destinazione pari a 3389 che indica la connessione verso l'amministrazione desktop remota, mentre tu segnali una porta sorgente pari a 3389 verso la 80, cioè verso il server AkamaiGhost che in effetti esiste per entrambi gli IP.
* Le porte sorgenti sono sempre superiori a 1024 (per default), cioè superiori alle well-known alle quali tu accenni.
Il servizio server con il P2P non c'entra nulla, semmai ha maggior valenza il protocollo UPnP. Il servizio server è strettamente legato al workstation, cioè al connubio NetBIOS+Risorse di rete condivise. Server può fare a meno di workstation, ma entrambi i servizi sono alle dipendenze di RPC.

* Alcuni hackers piuttosto scaltri, sanno bene che porte sorgenti dal valore al di sotto dei 1024, ad esempio 7,13,20,53 possono bypassare alcuni packetfilter mal configurati e raggiungere comunque la destinazione, ma è storia antica (forse) e sono altri discorsi.

Ultima modifica di LoryOne : 17-10-2011 alle ore 23.25.18
LoryOne non è collegato   Rispondi citando
Vecchio 19-10-2011, 21.25.15   #5
Heda
Newbie
 
Registrato: 19-06-2011
Messaggi: 38
Heda promette bene
Akamai è legato a Telecom, io sono una cliente, ma francamente la cosa non mi illumina granchè.. Anzi, per nulla. Mi viene solo in mente che vedevo connessioni ad Akamai diverso tempo fa quando utilizzavo la mail di Alice, che ho abbandonato perchè di tutti i portali, sospetto, deve essere quello meno protetto insieme a Yahoo(ho detto che ho avuto problemi: uno di questi è stato con 2 miei indirizzi mail su Yahoo, troppe volte mi sono ritrovata con l'inconveniente della password "errata" quando posso garantire che non era nè tale ne crakkabile con un brute-force attack.) Ultimamente però non ho visitato nessun sito Telecom o Tim, quindi..
Non ho ancora ben chiaro il concetto della porta (sorry..), una connessione che parte dalla mia 3389 richiede od offre assistenza? Se ho capito bene la richiede, cosa che però non ho fatto, e nemmeno l'ho offerta.
Il servizio upnp è chiuso,almeno consapevolmente anche in uscita, ho trovato però fra le eccezioni del firewall un novello Webkit legato ad Apple, della quale ho solo il quick time player da 2 anni, mentre circa 3 mesi fa avevo trovato altre 2 "oscure" eccezioni, dal generico nome di Web. Queste sono in apparenza le uniche anomalie, ignoro se collegate o meno. Sai dirmi se c'è qualche controllo che potrei fare per scoprire eventuali intrusioni? Grazie ancora

Ultima modifica di Heda : 19-10-2011 alle ore 21.28.38
Heda non è collegato   Rispondi citando
Vecchio 19-10-2011, 23.10.04   #6
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Quota:
Inviato da Heda Visualizza messaggio
Akamai è legato a Telecom
Non solo, penso ce ne siano altri oltre a Telecom, poichè Akamai offre servizi di mirror.

Quota:
Inviato da Heda Visualizza messaggio
Mi viene solo in mente che vedevo connessioni ad Akamai diverso tempo fa quando utilizzavo la mail di Alice
Può essere, vedi sopra.
Magari non utilizzavi un client di posta e ti collegavi via web ...

Quota:
Inviato da Heda Visualizza messaggio
troppe volte mi sono ritrovata con l'inconveniente della password "errata" quando posso garantire che non era nè tale ne crakkabile con un brute-force attack
A volte basta solo abilitare i cookies quando sono disabilitati.

Quota:
Inviato da Heda Visualizza messaggio
una connessione che parte dalla mia 3389 richiede od offre assistenza?
Tu offri assistenza se hai aperta quella specifica porta in ascolto.
Ogni connessione TCP/IP generata possiede una porta locale ed una remota. La remota è quella del servizio al quale si vuole accedere. La porta locale viene incrementata ogni volta che si rende necessario crearla (è comunque aperta sebbene in locale).
Se apri una connessione da porta locale 3388 verso la 80 e poi questa si chiude (passando per i vari stati di connessione), la successiva avrà porta locale 3389. Windows incrementa di uno ogni volta; non avrai mai una seconda connessione dalla 3388 se questa è già stata usata, salvo che quella porta debba essere immutabile per specifiche di protocollo. (o per volontà di qualcuno...)

Quota:
Inviato da Heda Visualizza messaggio
Sai dirmi se c'è qualche controllo che potrei fare per scoprire eventuali intrusioni? Grazie ancora
- Il firewall di Windows ha un'opzione per visualizzare l'abilitazione di nuove ACL; appare un'avviso a video. Cancella quelle di cui non sei sicura e stai attenta agli avvisi.
- Scansiona le tue porte aperte con frequenza, soprattutto quando hai solo il sospetto che qualcosa non ti convinca; Dai retta all'istinto. Scanline di Foundstone è un buon scanner per windows che funziona anche in locale senza pacchetti aggiuntivi.
- Ogni tanto sniffa le connessioni per te ritenute a rischio e visionane il contenuto.
- Mantieni aggiornate le definizioni dei virus (possibilmente giornalmente e più volte), ed esegui una scansione ogni 2 settimane o una volta al mese.

Ultima modifica di LoryOne : 19-10-2011 alle ore 23.20.38
LoryOne non è collegato   Rispondi citando
Vecchio 21-10-2011, 21.46.15   #7
Heda
Newbie
 
Registrato: 19-06-2011
Messaggi: 38
Heda promette bene
Bene, scaricherò lo scanner e suppongo dovrebbe bastare, quantomeno a capire...
Per i cookies è vero, li tengo disabilitati ed infatti tra le altre cose, non posso quotare, però i 2 indirizzi su Yahoo hanno avuto problemi in successione, non in concomitanza, quindi potevo ancora accedere ad uno e non all' altro, inoltre ho avuto certamente un accesso abusivo anche alla mail di Libero o Virgilio(non so quale perchè erano collegate, se Libero poteva essere solo un utente infostrada), ma è accaduto più di un anno fa
Solo un' ultima precisazione : è vero quello che dici, vedo un incremento nel numero di porta anche se non sempre di 1 (forse perchè alcune sono già utilizzate) ma certe porte come appunto la 3389 non dovrebbero essere adibite come standard ad un solo servizio, e quindi essere escluse dal meccanismo di incremento?
Heda non è collegato   Rispondi citando
Vecchio 22-10-2011, 12.40.12   #8
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Le differenti connessioni lato server sono identificate dalle altre grazie alla porta locale sul PC remoto: Per tale motivo, sulla stessa porta adibita ad un servizio può essere presente un altro servizio, grazie al fatto che le sessioni sono differenti e non è detto che appartengano allo stesso servizio.
Il log del firewall di Windows non è così affidabile quanto uno sniffer, questo perchè logga le connessioni bloccate, oppure quelle libere, non tutte insieme.
Inoltre, non tiene traccia del contenuto della connessione,ma solo dello stato.
Su una stessa porta possono essere attivi diversi servizi, non è la porta ad indentificare il tipo di servizio a lato pratico; E' uno standard, una convenzione.
Sulla porta 3389 può essere attivo RDP come da convenzione, ma cio non toglie che io possa mettere in ascolto un servizio del tutto differente sulla stessa porta, addirittura agganciato allo stesso data-stream; sarà infatti il daemon a scartare il contenuto che non appartiene al protocollo per il quale è stato creato. Pensa ad un semplice sniffer: Esso intercetta tutte le connessioni indipendentemente dall'applicativo che le ha generate e/o prese in carico, pertanto ... Può capitare che, a volte, il contenuto presente su un data-stream non ricalchi le specifiche del protocollo che ci si aspetterebbe di trovare.
Per tale motivo, l'evoluzione dei firewall è passata da semplici packet-sniffer (solo porte e protocolli in uso) a stateful-firewall (porte, protocolli, stato della connessione) ad application-firewall che possono appoggiarsi alle prime due funzionalità svolte da altri firewall per verificare la coerenza del servizio in uso con le specifiche del protocollo, oppure integrarle essi stessi.
Poichè le funzionalità di stateful-firewall sono ampiamente svolte dai router (ormai anche quelli casalinghi), l'application-firewall è spesso presente sul proxy aziendale, dove il traffico in transito su internet è indirizzato dai router esclusivamente su di lui. Gli application firewall possono essere presenti anche sui client casalinghi, quale ad esempio l'ottimo C.O.M.O.D.O., pratica che dovrebbe essere ormai consolidata, ma troppo spesso evitata a causa della complessità di configurazione del firewall stesso da parte di utenti come dire ... non proprio "smaliziati"
Cos'altro dire Helen...
Devi possedere una buona conoscenza dei protocolli, una certa dimestichezza con i servizi in uso e delle dipendenze ai quali essi sono sottoposti sulla stessa macchina, una buona conoscenza del registro di sistema, delle API di sistema e delle librerie nelle quali esse sono incluse e richiamate all'uopo dal PC ed infine una certa dimestichezza con la programmazione in diversi linguaggi che non guasta mai.

Quando scrivi "Bene, scaricherò lo scanner e suppongo dovrebbe bastare, quantomeno a capire.." posso dirti che non basta affatto, è solo un buon punto di partenza. Non so quanto tu sia "smaliziata", in fondo non è mio interesse, mentre lo è fornirti indicazioni o aiuto, così come tutti gli altri utenti sul forum fanno, me compreso quando non so e mi trovo "dall'altra parte".

Ultima modifica di LoryOne : 22-10-2011 alle ore 12.51.24
LoryOne non è collegato   Rispondi citando
Vecchio 24-10-2011, 21.08.52   #9
Heda
Newbie
 
Registrato: 19-06-2011
Messaggi: 38
Heda promette bene
C'è un equivoco : non intendevo dire che uno scanner risolve tutto, ma almeno può permettermi di capire cosa sta succedendo se ricapita questo
problema, ossia se devo sospettare un'intrusione maligna o no...
Ho usato l'ottimo Comodo, configurarlo non è stato un problema, infatti l'ho tenuto per mesi, ma rallenta la connessione(ovviamente) per cuil'ho disinstallato.
Heda non è collegato   Rispondi citando
Vecchio 25-10-2011, 09.22.59   #10
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Non ho mai ritenuto che rallentasse la connessione, ma che fosse parecchio invasivo sicuramente.
Ad ogni modo, se sei una tipa frettolosa e non vuoi far con c.o.m.o.d.o è una tua scelta che rispetto
LoryOne non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
[xp sp3], porta Usb molto lenta fisiologohifi Hardware e Overclock 5 22-07-2011 15.40.20
[XP Home sp3] Porta Com malfunzionante Anto57 Windows 7/Vista/XP/ 2003 5 28-01-2009 03.31.22
Download FTP LoryOne Sicurezza&Privacy 0 31-12-2008 14.07.00
aprire la porta 3389 su router fillet Internet e Reti locali 3 23-01-2006 12.08.27
help porta aperta sgarragagarru Internet e Reti locali 4 08-03-2004 10.19.39

Orario GMT +2. Ora sono le: 08.07.20.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.