Dopo i messaggi che ho lasciato ho fatto ulteriori indagini e verifiche.
Sono praticamente certo che si tratti dell'effetto della variante E del virus Blaster, cioe' quella che anziche' attaccare il sito Windowsupdate[.com] attacca kimble.org. Questo sito viene risolto con l'indirizzo 127.0.0.1 (e' stato fatto apposta per difendersi).
Il motivo per cui ci arrivano i pacchetti di ritorno risiede nel meccanismo con cui il virus stesso nasconde l'IP sorgente dell'attacco: cambia gli ultimi due ottetti dell'IP vero in maniera casuale. Il meccanismo e' quindi il seguente: - da un PC infetto parte un SYN al 127.0.0.1 che ha come sorgente un IP simile a quello reale, ma con l'ultimo numero o gli ultimi due cambiati in maniera casuale;
- il pacchetto va a finire sullo stesso PC, al localhost, da cui e' partito, dove pero' non c'e' un server web in ascolto sulla porta 80;
- il PC stesso quindi manda un pacchetto di risposta di tipo ACK + RST all'IP sorgente del pacchetto originale che pero' e' un altro PC e cosi' i pacchetti escono e viaggiano sulla rete Telecom
Noi riceviamo questi pacchetti perche' Telecom lascia passare pacchetti scorretti, cioe' con IP impossibili o di reti private, e perche' abbiamo indirizzi simili a quelli dei computer infetti, dato che ci troviamo nella stessa rete.
Il log Linux si riempie perche' nel file /etc/sysctl.conf e'impostata l'opzione: net.ipv4.conf.all.log_martians = 1
(al posto di "all" potrebbe esserci il nome di un'interfaccia di rete). Per non avere queste notifiche basta impostarla a 0.
Cio' non significa che il Kernel non scarta i pacchetti marziani, ma solo che non li logga. Il parametro che attiva il filtro per i pacchetti con IP sorgente scorretto e', sempre in /etc/sysctl.conf: net.ipv4.conf.default.rp_filter = 1
Questo conviene lasciarlo impostato a 1.
Impostare una regola di filtro in Iptables sarebbe inutile infatti la funzione "rp_filter" del kernel blocca i pacchetti prima che vengano processati da Iptables. Se volete che Iptables li intercetti e li gestisca (ma io lo sconsiglio) e' necessario impostare a 0 il parametro "rp_filter" e introdurre le opportune regole di blocco nella configurazione del firewall.
Personalmente preferisco agire ad un livello piu' basso, cioe' tramite il filtro del Kernel. Inoltre preferisco sapere come stanno le cose e come sta l'ambiente in cui mi muovo, quindi lascio attivo anche il logging.
In conclusione posso raccontare l'esito della mia segnalazione al Customer Care di Telecom. Dopo 10 giorni mi hanno risposto cosi':
quote:
con riferimento alla Sua segnalazione di abusi (login: xxxx), La invitiamo ad inoltrare il Suo messaggio alla casella abuse
tin.it a cui è possibile inviare reclami e segnalazioni relative ad eventuali casi di spamming o altri generi di abusi.
Rimanendo a Sua completa disposizione per ogni ulteriore comunicazione o chiarimento, La salutiamo cordialmente. ____________________________________________
Riccardo 23
Tin.it - Customer Care
htt*://help.virgilio.it
E-mail adsltin.it
Attacco?
Forum Bloccato
