| Autore |
 Discussione  |
|
|
mizio320
Average Member
Città: napoli
87 Messaggi |
Inserito il - 03/05/2004 : 16:46:16
|
Salve a tutti!
Vengo subito al punto. Ieri il mio firewall "outpost pro 2" mi ha avvisato con un messaggio di attacco che stavo subbendo delle scansioni alla porta "tcp microsoft_ds".
Uso outpost da circa un anno e mezzo e nn mi ha mai avvertito d un attakko...quindì gli ho dato una certa importanza.
Ho fatto una ricerca su "google" con la parola "microsoft_ds" e su quasi ttt i post
letti riportavano sempre la stessa cosa, ovvero ke questa scansione era data dall'apertura della porta di netbios.
X kiudere questa porta sn andato nei servizi di windows e ho disattivato la voce "Helper netbios" ho anke reinstallato la pacht ms03-034 di windows xp ke se nn rikordo male si riferiva ad un problema con la porta di netbios.
Riavviato il sistema e connesso ad internet il problema nn si è + ripresentato... anke adesso tutto ok...
La mia domanda è questa:
Secondo voi questa scansione da parte di ki era? Di qualke malintenzionato, oppure semplicemente delle rikieste di connessioni a quella determinata porta da parte d un programma?
La porta del netbios prima d ieri è sempre stata aperta senza darmi mai nessun problema...posso addottare qualke precauzione?
Questo è il rapporto allarmi:
4.29.41 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.117.94 (porte controllate: TCP (MICROSOFT_DS))
4.25.54 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.210.99 (porte controllate: TCP (MICROSOFT_DS))
4.22.29 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.134.159 (porte controllate: TCP (MICROSOFT_DS))
4.20.30 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.24.253 (porte controllate: TCP (MICROSOFT_DS))
4.19.52 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.19.242 (porte controllate: TCP (MICROSOFT_DS))
4.15.36 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.22.227 (porte controllate: TCP (MICROSOFT_DS))
4.14.42 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.83.93 (porte controllate: TCP (MICROSOFT_DS))
4.13.14 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.151.26 (porte controllate: TCP (MICROSOFT_DS))
4.11.50 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.136.118 (porte controllate: TCP (MICROSOFT_DS))
4.11.33 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.115.83 (porte controllate: TCP (MICROSOFT_DS))
4.09.30 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.182.25 (porte controllate: TCP (MICROSOFT_DS))
4.04.18 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.113.121 (porte controllate: TCP (MICROSOFT_DS))
4.03.23 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.28.244 (porte controllate: TCP (MICROSOFT_DS))
4.00.29 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.115.83 (porte controllate: TCP (MICROSOFT_DS))
3.59.04 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.162.53 (porte controllate: TCP (MICROSOFT_DS))
3.58.11 Rapporto Individuazione Attacchi E' stato individuato un port scanning da 82.49.205.103 (porte controllate: TCP (MICROSOFT_DS))
30/04/2004 23.41.44 Rapporto Individuazione Attacchi E' stato individuato un port scanning da localhost (porte controllate: TCP (1346, 1368, 1112, 1341, 1709, 1750))
30/04/2004 22.29.16 Rapporto Individuazione Attacchi E' stato individuato un port scanning da localhost (porte controllate: TCP (1236, 1020, 1476, 1619, 1353, 1607))
30/04/2004 21.15.24 Rapporto Individuazione Attacchi E' stato individuato un port scanning da localhost (porte controllate: TCP (1907, 1243, 1504, 1081, 1281))
30/04/2004 18.17.58 Rapporto Individuazione Attacchi E' stato individuato un port scanning da localhost (porte controllate: TCP (1012, 1854, 1474, 1991, 1930, 1020))
30/04/2004 17.03.42 Rapporto Individuazione Attacchi E' stato individuato un port scanning da localhost (porte controllate: TCP (1709, 1387, 1571, 1094, 1930, 1131))
30/04/2004 14.48.47 Rapporto Individuazione Attacchi E' stato individuato un port scanning da localhost (porte controllate: TCP (1709, 1012, 1236, 1707, 1020, 1476))
Ciao a tutti e grazie a tutti
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 03/05/2004 : 22:18:04
|
Immagino sia l'attività dell'ultimo worm, hai visto i telegiornali oggi?
Ciao 
--
Prima di postare, leggere:
htt*://[www].notrace.it/Forum2/FAQ.ASP
htt*://[www].catb.org/~esr/faqs/smart-questions.html |
 |
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 04/05/2004 : 08:30:09
|
Per quanto riguarda i tentativi di connessione alla porta MICROSOFT_DS potrebbe essere ancora Blaster oppure il nuovo Sasser, in quanto usa le porte TCP 445, 5554, 9996 (almeno secondo Symantec).
Per quelle da localhost, bella domanda. |
|
|
|
mizio320
Average Member
Città: napoli
87 Messaggi |
Inserito il - 04/05/2004 : 21:36:04
|
In molti a cui ho kiesto, hanno confermato ciò ke avete detto... e vi ringrazio!
La cosa strana (almeno x me) è ke avevo aggiornato il windows xp con la pacht ms04-011 già da + di 2 settimane o anke d +... mentre x l'antivirus (come mi avete insegnato voi) ogni giorno vado sul sito e mi scarico le definizioni è quel giorno c'erano anke quelle del Sasser... ciò nonostante mi sn state scansionate le porte! Azz!!
Ps
Grazie ankora a Gimli e Ori! Ciao!
|
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 04/05/2004 : 21:36:10
|
Potrebbero essere dei martians, come quelli causati da Blaster:
htt*://[www].notrace.it/Forum2/topic.asp?TOPIC_ID=1244&FORUM_ID=3&CAT_ID=1&Topic_Title=Attacco%3F&Forum_Title=FireWall+e+Protezioni
Le porte vengono scansionate comunque, perche' le macchine infettate dal worm tentano automaticamente di infettarne altre, creando gli "attacchi" segnalati dal firewall.
Ciao
--
Prima di postare, leggere:
htt*://[www].notrace.it/Forum2/FAQ.ASP
htt*://[www].catb.org/~esr/faqs/smart-questions.html
Edited by - Gimli on 04/05/2004 21:39:07 |
|
|
|
mizio320
Average Member
Città: napoli
87 Messaggi |
Inserito il - 06/05/2004 : 19:07:33
|
Oggi appena ho fatto una ricerca su google su "microsoft_ds" outpost mi ha d nuovo rilevato altri attakki!
Conclusione il mio pc nn è infetto da nessun tipo d virus... ho usato tutti i tool di rimozione di Blaster e dell'ultimo Sasser, xrò continuo ad avere queste scansioni.
La pacht ms04-011 è installata da tempo...
Cmq in porte aperte di outpost ho sempre la voce :
netbios localhost MICROSOFT_DS TCP
Come posso fare x kiuderla?
|
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 07/05/2004 : 00:12:23
|
quote:
Conclusione il mio pc nn è infetto da nessun tipo d virus... ho usato tutti i tool di rimozione di Blaster e dell'ultimo Sasser, xrò continuo ad avere queste scansioni.
NON è il tuo pc ad essere infetto! Sono i computer di migliaia di persone che sono stati stuprati dal worm e ora ad insaputa dei proprietari tentano di infettare automaticamente altri pc connessi ad Internet.
Se il firewall ti segnala la scansione allora l'ha anche bloccata: ignora queste scansioni, chissa' quante ne vedrai man mano che passa il tempo.
Per chiudere la porta credo tu debba disabilitare NetBios e un paio di altre cosette, ma qui passo...
Ciao
--
Prima di postare, leggere:
htt*://[www].notrace.it/Forum2/FAQ.ASP
htt*://[www].catb.org/~esr/faqs/smart-questions.html |
|
|
|
mizio320
Average Member
Città: napoli
87 Messaggi |
Inserito il - 07/05/2004 : 00:34:00
|
Ok ricevuto...grazie ankora gimli!
X kiudere la porta ho disabilitato in servizi la voce helper netbios... ma niente, in outpost c'e' ankora...
vabbè se qualkuno sa come kiudere questa porta io sn qui!
Ciao ciao!
|
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 07/05/2004 : 08:35:32
|
Non conosco outpost, pero` guardando la riga che hai riportato (netbios localhost MICROSOFT_DS TCP) non penso che ci siano problemi, sempre se il secondo valore (localhost) indica per quali indirizzi e` in ascolto la porta. Se cosi` e`, hai la porta aperta solo per richieste che provengono dal tuo stesso computer, mentre e` chiusa per richieste esterne.
Comunque, per essere sicuri, potresti impostare il firewall in modo che blocchi eventuali richieste di connessione alla porta. |
|
|
|
mizio320
Average Member
Città: napoli
87 Messaggi |
Inserito il - 07/05/2004 : 13:22:21
|
Ok ragazzi mi avete illuminato... ho capito ke in pratika ke l'outpost sta lavorando bene...
X la porta netbios c sn riuscito, ho trovato alcuni post su google ke riportavano al seguente indirizzo htt*://[www].hsc.fr/ressources/breves/min_srv_res_win.en.html.en
è in inglese ma si capisce benissimo quando parla di netbios.
Beh, se a qualkuno può essere utile...
Ciao e grazie d nuovo, alla prossima!
|
|
|
| |
Discussione |
|
port scanning - tcp microsoft_ds
Forum Bloccato
