| Autore |
 Discussione  |
|
|
pab66
New Member
44 Messaggi |
 Inserito il - 05/01/2007 : 14:36:49
|
Innanzitutto visto che questo è il mio primo post vorrei salutare tutto il forum.
Vi espongo il problema: è da qualche giorno che quando riavvio tutti i computer della rete automaticamente mi si mettono in condivisione gli Hd, penso sia la conseguenza di un'intrusione nella quale qualcuno è riuscito a mettere un'istruzione all'avvio. Mel registro sotto i vari run e run once non ho trovato niente, ho fatto scansioni con i più disparati antivirus e antimalware ma senza risultato. qui c'è il log hijackthis di questo portatile (anche lui colpito) che mi sembra non presenti niente di particolare: htt*://freefilehosting.net/download/NTAyNzg=
Ho un router USRobotics con firewall interno che manda il segnale ad un pc con installata la distribuzione Linux IpCop 1.4.11 come firewall
|
|
|
pab66
New Member
44 Messaggi |
Inserito il - 05/01/2007 : 17:28:29
|
Vi tengo aggiornati sugli sviluppi: allora su uno dei pc della rete ho Windows Vista (Versione Beta RC1 rilasciata regolarmente da Microsoft) e pensando a tutte le dichiarazioni di sicurezza di Microsoft pensavo fosse rimasto immune, invece sembra che i dischi non siano condivisi accedendo tramite le normali finestre di win, ma digitando "net share" nel prompt dei comandi con sorpresa appare condiviso, con l'unica differenza che se qui digito "net share c:\ /delete" che sugli altri pc raggiunge esito positivo qui mi dice "access denied" azz la nuova sicurezza!!!
Comunque penso che qualcuno abbia approfittato della condivisione nascosta IPC$ per penetrare all'interno dei vari computer, qualcuno ha nozioni al riguardo su come possa essere accaduto? |
 |
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 05/01/2007 : 20:22:29
|
Benvenuto nel forum.
Ti confermo che il log è pulito, per il tuo problema attendi altri pareri.
Ciao. |
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 06/01/2007 : 11:51:48
|
| Nei log di ipcop hai notato qualcosa di anomalo? |
|
|
|
pab66
New Member
44 Messaggi |
Inserito il - 06/01/2007 : 15:50:11
|
In effetti due piccole preoccupazioni in due giorni diversi le ho avute su queste due voci nel log del'IDS:
Data: 01/06 05:34:24 Nome: DNS SPOOF query response with TTL of 1 min. and no authority
Priorità: 2 Tipo: Potentially Bad Traffic
IP info: 85.xx.xx.xx:53 -> 192.xxx.xxx.xxx:1315
Riferimenti: vuoto SID: 254
Data: 01/05 14:26:41 Nome: WEB-CLIENT ShockwaveFlash.ShockwaveFlash ActiveX CLSID access
Priorità: 1 Tipo: Attempted User Privilege Gain
IP info: 74.xx.xxx.xxx:80 -> 192.xxx.xxx.xxx:61370
Riferimenti: vuoto SID: 7978 |
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 06/01/2007 : 19:45:59
|
La prima sembra un interrogazione dei dns all ip 85.xx.xx.xx:53 usi qualche servizio tipo dyndns? Per il secondo non ho idee :( sembra una richiesta di accesso ad un servizio ShockwaveFlash O_o
|
|
|
|
pab66
New Member
44 Messaggi |
Inserito il - 06/01/2007 : 21:53:33
|
| Non uso alcun servizio tipo dyndns, la seconda sembra sfruttare un controllo activex di shockwave per tentare di guadagnare i privilegi di utente... |
|
|
|
pab66
New Member
44 Messaggi |
Inserito il - 06/01/2007 : 21:57:51
|
| Comunque ho controllato: allora il primo è probabilmente dovuto al fatto che il servizio DNS dinamico è attivato su Ipcop, anche se non aveva dati di login attivi, comunque adesso l'ho disabilitato |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 07/01/2007 : 00:07:42
|
Ciao Pab e benvenuto.
In che senso "si mettono in condivisione gli HD"? da un qualsiasi PC riesci a vedere e magari modificare il contenuto di un altro PC?
Normalmente quali sono le risorse che condividi sulla rete interna? |
|
|
|
pab66
New Member
44 Messaggi |
Inserito il - 07/01/2007 : 07:07:35
|
|
Sulla rete interna ho un server che ha un hd (non quello di sistema) condiviso in cui tengo tutto ciò che serve per i vari pc, tre stampanti in rete tramite altrettanti pc, poi, per comodità, ho la cartella shareddocs condivisa su ogni pc, però non tutti avevano il permesso di accedere uno sull'altro mentre adesso tutti possono accedere su ognuno. Per quanto riguarda i vari dischi facendo proprietà/condivisione dalle risorse di computer di ogni pc mi risultano tutti condivisi per ogni macchina e ogni volta che avvio devo annullare le condivisioni disco per disco su tutti i computer (bel lavoro) mi basterebbe al limite un comando da inserire in qualche ini di avvio tipo quello che uso per annullare la condivisione nel prompt dei comandi (es. net share c:\ /delete ) per smplificare il lavoro o capire che genere e dove è stato inserito il comando che mette tutto in condivisione. Premetto che riformattare e reinstallare tutti i sistemi sarebbe un lavoro titanico e vorrei evitarlo. |
Modificato da - pab66 in data 07/01/2007 07:10:18 |
|
|
| |
Discussione |
|
Condivisioni indesiderate
Forum Bloccato
