quote:

---

Ma siamo sicuri che si tratti del mio PC? Per cortesia dai un' occhiata a questa discussione htt*://[www].ilsoftware.it/forum/topic.asp?TOPIC_ID=12844&whichpage=1 e, se vuoi, dimmi cosa ne pensi.

---

Per il 127.0.0.1 vedi ste (è il localhost ovvero TU!!!). Tutte quelle porte dovrebbero essere quelle dei Win32 Services. Setta bene Outpost Pro (magari al max delle sicurezza), blocca il servizio svchost.exe (UDP 1900), disattiva l'aggiornamento automatico dei prodotti Microsoft (Win, Office, Encarta, etc.) e in ogni caso non preoccuparti + di tanto perké, RIPETO, 127.0.0.1 sei TU!!! Ciao!

gibi

Edited by - gibi on 27/08/2003 21:54:02
[/quote]

quote:

---

C'era stata una discussione da qualche parte sull'IP spoofing del localhost, mi pare si fosse concluso che il pericolo è nullo. Appena mi disconnetto frugo tra i vecchi messaggi delle mailing list e aggiorno la discussione.
Ciao

Gimli

---

quote:

---

Trovato. C'è stata tempo fa una discussione sulla security basics ml, la puoi trovare cercando negli archivi, il topic è "Trusting localhost?". Il succo è che è possibile effettuare attacchi di tipo DOS, ma nulla di più: una vera connessione non è possibile, perché le risposte vanno a finire al tuo pc, non a quello dell'attaccante. Un pacchetto con source Ip 127.0.0.1 dovrebbe venire scartato dai router perché non valido, ma evidentemente ci sono casi in cui arriva. Un tizio su i.c.o.l.iniziare ha appena postato, pare gli sia arrivato un pacchetto con IP 127.0.0.1 spoofato. Linux glielo ha bloccato rilevandolo come un martian, pacchetto malformato. Sotto windows non so cosa succeda, boh?

Gimli

---

quote:

---

Curioso, guardando meglio i miei log vedo che ho anch'io dei martian. C'e' del traffico insensato, tipo pacchetti con flag RST in uscita dalla porta 80 di 127.0.0.1 e diretti a porte random del mio IP pubblico. Il log e' del tipo:
[output dello sniffer]
21:49:17.934505 127.0.0.1.htt* > 212.171.125.176.1854: R 0:0(0) ack
870383617 win 0
(212.171.etc. era il mio IP durante quella connessione).

[log]
Aug 29 21:49:17 localhost kernel: martian source 212.171.125.176 from 127.0.0.1, on dev ppp0

Pare il pacchetto venga lasciato passare dal firewall, ma venga poi scartato dal kernel, che lo riconosce come invalido.
Qualche utente linux può guardare se ha bizzarrie simili nei log?

Gimli

---

quote:

---

The DoS traffic has the following characteristics:

• Is a SYN flood on port 80 of kimble.org.


• Tries to send 50 htt* packets every second. Each packet is 40 bytes in length.


• If the worm cannot find a DNS entry for kimble.org, it uses a destination address of 255.255.255.255.

Some fixed characteristics of the TCP and IP headers are:

• IP identification = 256


• Time to Live = 128


• Source IP address = a.b.x.y, where a.b are from the host ip and x.y are random. In some cases, a.b are random.


• Destination IP address = dns resolution of "kimble.org"


• TCP Source port is between 1000 and 1999


• TCP Destination port = 80


• TCP Sequence number always has the two low bytes set to 0; the 2 high bytes are random.


• TCP Window size = 16384

---

Ecco spiegate le porte sorgenti...

Certo che puoi propagare queste info, anzi il motivo perche' le ho postate qui e' proprio la diffusione dell'informazione. Ho individuato il problema da alcuni giorni ma nessuno ne parla, mentre invece a mio avviso si dovrebbe sapere. Vi lascio immaginare la scena di me al telefono quando, dopo aver preso il coraggio ed essermi caricato con la pazienza di un santo, ho cercato di spiegare il problema alla signorina dell'helpdesk di Alice/Telecom : dopo 5 secondi di imbarazzato silenzio mi ha consigliato di inviare una mail dettagliata al Customer Care... L'ho mandata venerdi' mattina, ma pensate che mi risponderanno mai in maniera sensata? (Probabilmente mi chiederanno di verificare le impostazioni della mia connessione ADSL...)
Secondo me il problema non e' il virus in se' (a questo punto, se la mia ipotesi e' vera, questi pacchetti non rappresentano un pericolo per nessuno e danno solo fastidio perche' intasano le linee), ma il motivo per cui vediamo questi pacchetti: sembra che ci sia qualche grossolano errore di configurazione negli apparati che ci danno connettivita'.
Altro elemento da dare e' il seguente. Per il lavoro che faccio controllo diversi firewall su diverse reti italiane e non, percio' ho un discreto quadro della situazione: il 26 agosto il problema e' iniziato sulla rete Telecom Italia, il numero di questi pacchetti e' andato crescendo fino a circa 25/min in media, poi dalla sera del 27 agosto ho cominciato a vederne dalla rete Edison, ma con un tasso minimo (rari pacchetti), dal 31 agosto (oggi) ho visto qualche traccia anche sulla rete Wind (linee dedicate).
Questo quadro indica che c'e' un aumento di attivita' progressivo, tipico di un Worm/Virus, che comincia sulla rete italiana piu' popolata di utenti consumer per poi propagarsi. Il fatto che su altre reti (tipo Infostrada, Inet) non veda il fenomeno dipende probabilmente dal fatto che li' i router sono configurati un pochino meglio. Non ho dati invece sulla rete consumer di Fastweb.
Dunque diffondete tutti l'informazione piu' che potete e diffondete anche eventuali risposte o analisi che diano ulteriori elementi a capire e risolvere il problema.