| Autore |
 Discussione  |
|
volley_3
Advanced Member
Nota:
672 Messaggi |
 Inserito il - 28/04/2010 : 21:41:27
|
ragazzi dopo aver installato malwarebytes in verionne comleta ha anche il realtima con il blocca web ed ogni tanto escono questi avvisi
IP-BLOCK 95.168.183.41
IP-BLOCK 94.96.32.122
non riesco mica a capire che ip sono e perkè il mio pc tenta di collegarsi?
idee?
IP: 94.96.32.122 [Ripe.Net] - [DNS] - [Tracert]
Domain: 94.96.32.122.dynamic.saudi.net.sa [Whois]
Country: SA - Saudi Arabia State/Region: Ar Riyad
City: Riyadh
IP: 95.168.183.41 [Ripe.Net] - [DNS] - [Tracert]
Domain: 95.168.183.41 [Whois]
Country: DE - Germany Flag
State/Region: Hessen
City: Frankfurt Am Main
cosa ne pensate?
|
Modificato da - in Data
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 29/04/2010 : 22:03:53
|
| Ciao, probabilmente tentativi di accesso.. individua la porta tramite log dal firewall o syn sent da terminale (cmd.exe > netstat -b / -n ) e chiudi la porta |
 |
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 30/04/2010 : 13:25:55
|
allora ho firewall software ma non mi segnala niente di pericoloso (comodo firewall) e malwarebytes mi dice solo l'ip... ma penso che il mio pc si voglia collegare a quegli ip ... non so... non penso di avere porte aperte pericolose... (sono anche dietro un router-modem) e non penso di avere il pc infetto... sono ip troppo svariegati nel mondo... mmm non so
Nmap Options: -p1-5000 -T4 -sS 84.223.***.***
Starting Nmap 4.75 ( htt*://nmap.org ) at 2010-04-30 12:32 Central Europe Daylight Time
Interesting ports on dynamic-adsl-84-***.***.it (84.223.***.***):
Not shown: 4990 closed ports
PORT STATE SERVICE
22/tcp open ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp open htt*
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
2525/tcp filtered unknown
Nmap done: 1 IP address (1 host up) scanned in 24.45 seconds
cosa ne pensate? |
Modificato da - volley_3 in data 30/04/2010 13:29:19 |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 30/04/2010 : 13:31:57
|
questo ne è un altro
218.10.58.190 - Geo Information
IP Address 218.10.58.190
Host 218.10.58.190
Location CN CN, China
City Harbin, 08 -
Organization China Unicom Heilongjiang province network
ISP China Unicom Heilongjiang province network
AS Number AS4837 CNCGROUP China169 Backbone
Latitude 45°75'00" North
Longitude 126°65'00" East
Distance 7610.89 km (4729.19 miles)
.... |
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 30/04/2010 : 15:44:30
|
Chiudi rpc e netbios in sntrata, quindi nel firewall imposta una regola che nega in ingresso 135,137,139,445 e spunta la casella log. Fai un giro sul web poi guarda il report del firewall, probabilmente vedrai una lista di ip bloccati.
Quando utilizzi una di queste porte, riapri la configurazione del firewall e cambi la regola da nega a autorizza. |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 30/04/2010 : 15:46:01
|
| li chiudo anche in uscita? |
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 30/04/2010 : 15:49:30
|
| Non è fondamentale a tuo piacimento, l' importante è negarne l' ingresso |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 30/04/2010 : 15:52:33
|
| ok ho bloccato in entrata e in uscita... sia tcp e upd con comodo firewall... ora? |
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 30/04/2010 : 15:55:53
|
Hai limitato i punti di ingresso non dovresti ricevere ulteriori avvisi.. nel caso aggiorna questa discussione  |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 30/04/2010 : 15:56:55
|
| perkè non mi hai fatto bloccare anche la 138? |
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 30/04/2010 : 16:01:22
|
| Chiusa la 139 e 445 il netbios è disattivato, per sicurezza puoi chiudere la 138 udp in entrata. |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 30/04/2010 : 16:09:27
|
ok tutto chiuso... è normale questo? (ho chiuso anche la 23 da firewall)
Scanning 192.168.1.1 [1 port]
Completed ARP Ping Scan at 16:05, 0.53s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 16:05
Completed Parallel DNS resolution of 1 host. at 16:05, 0.09s elapsed
Initiating SYN Stealth Scan at 16:05
Scanning 192.168.1.1 [65535 ports]
Discovered open port 23/tcp on 192.168.1.1
Discovered open port 80/tcp on 192.168.1.1
Discovered open port 22/tcp on 192.168.1.1
23/tcp open telnet BusyBox telnetd
che da dentro la 23 sia aperta?
###
ora però nei log del firewall la porta 137 e 138
richiedono a 192.168.56.255 e 192.168.1.255
ovviamente viene bloccata ogni richiesta... possono servire queste connessioni? |
Modificato da - volley_3 in data 30/04/2010 16:23:48 |
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 30/04/2010 : 16:23:08
|
Ovviamente le porte che non utilizzi puoi chiuderle, ma i sevizi che dipendono da esse sono disabilitati.
Per esempio se chiudi la porta 80 tcp, il browser non apre la home impostata in quanto fai una richiesta che interessa questa porta.
Telnet non è un servizio essenziale per il sistema quindi puoi disabilitarlo chiudendo la 23 |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 30/04/2010 : 16:24:15
|
ora però nei log del firewall la porta 137 e 138
richiedono a 192.168.56.255 e 192.168.1.255
ovviamente viene bloccata ogni richiesta... possono servire queste connessioni? ip di origne e destizaione son sempre quelli più o meno...
ma se con il firewall software chiudo la porta 23 e con router la apro cmq dall'esterno non possono connettersi giusto? |
Modificato da - volley_3 in data 30/04/2010 16:25:57 |
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 30/04/2010 : 16:32:36
|
Non modificare le discussioni altrimenti si fa troppa confusione
Chiudendo una porta ne blocchi l' utilizzo, quindi non preoccuparti se vedi log infiniti, sono tentativi che non sono andati a buon fine.
Chiudendo la 23 in entrata non neghi l' utilizzo in uscita quindi puoi utilizzarla
La 137,138 non sono essenziali |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 30/04/2010 : 16:34:35
|
|
si ok ma se io nego l'utilizzo in-out della 23 dal software ma la apro nel router cosa succede? |
|
|
|
Discussione |
|
tantativo collegamento a ip sconosciuti
Forum Bloccato
