| Autore |
 Discussione  |
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 06/09/2004 : 16:26:59
|
Ciao a tutti amici, spero di non aver sbagliato sezione, ho letto le altre discussioni e non mi sembra di averne trovato una uguale a questa quindi spero di non essere ripetitivo, vengo al dunque, da qualche tempo ho un problema e non so più cosa fare per risolverlo, ogni volta che stabilisco una connessione, in pratica dopo pochi secondi mi cominciano ad arrivare una marea di pacchetti, come se fossi sotto attacco smurf, (son un frequentatore di chat di tipo IRC) ma questo capita anche se non entro in IRC o se non navigo, questo rende impossibile la connessione a meno che io non usi un firewall del quale posto un estratto del log:
26/07/2004 14.11.20 Port scanned 62.69.97.67 TCP(445)
26/07/2004 14.11.20 Connection request 62.69.97.67 TCP(445)
26/07/2004 14.11.18 Port scanned 4.3.232.56 TCP(445)
26/07/2004 14.11.18 Connection request 4.3.232.56 TCP(445)
26/07/2004 14.11.04 Connection request 82.48.128.72 TCP(6129)
26/07/2004 14.10.48 Port scanned 67.8.138.181 TCP(445)
26/07/2004 14.10.48 Connection request 67.8.138.181 TCP(445)
26/07/2004 14.10.43 Connection request 82.48.13.150 TCP(6129)
questa è solo una parte, ma questo succede sempre, anche se riavvio (quindi anche cambiando IP), la situazione non cambia, il sistema operativo (Win XP) è aggiornato e ho fatte varie scanzioni con antivirus (Norton e AVG Antivirus) aggionati e con programmi del tipo Ad-Aware e Spy Bot anche'essi aggiornati.
Amici spero di non avervi annoiato e vi chiedo scusa se mi sono dilungato anche se avrei voluto aggiungere altri dettagli, resto comunque in attesa di risposte e disponibile per ogni tipo di chiarimento.
Complimenti per il sito e grazie a tutti.
CIAO AMICI
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 07/09/2004 : 08:42:38
|
Ma, la porta tcp 445 e` la preferita da Sasser (un po' come la tcp 135 per Blaster) mentre la tcp 6129 dovrebbe essere di agobot/gaobot (ma non ho trovato notizie certe), che bussa anche alla 445.
Quindi, non sei tu ad essere infetto, ma gli altri (almeno per quanto riportato dal log).
Edited by - ori on 07/09/2004 09:34:54 |
 |
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 07/09/2004 : 13:37:31
|
Grazie per l'interessamento che hai dimostrato, comunque forse è il caso che io aggiunga qualche chiarimento scusandomi fin da ora per la lunghezza, ma per essere chiaro non so in che altro modo fare. Allora, tutto è iniziato qualche tempo fa, io ho ADSL Alice 640 e lascio il computer connesso 24/24 ad una chat IRC (irc.tiscali.it), una notte (io non c'ero, ero a lavoro) mi si è disconnesso dal server alle 2.40 come se fossi stato smurfato, il mio pc continuava a ricevere attacchi smurf per cui il pc non riusciva più a stabilire la connessione col server e di questo me ne sono reso conto anche al mio rientro quando ho trovato il pc disconnesso dal server irc e non riuscivo ad utilizzare nulla a causa della banda intasata, la cosa strana è che altri presenti in chat mi hanno detto e ho potuto leggere i log che sebbene alle 2.40 io sia caduto, alle 2.42 sono rientrato. ma questo non è assolutamente vero, il mio pc era disconnesso e la cosa assurda che qualcuno è rientrato nella chat non solo col mio nick, ma aveva anche il mio stesso numero IP, ovvero lo stesso che avevo prima di disconnettermi dal server, in pratica mi avevano "rubato" l'indirizzo I.P., erano entrati negli stessi canali in cui mi trovavo prima di cadere e avevano anche ottenuto lo stato di operatore (premetto che in alcuni canali che frequento per essere operatore bisogna inserire una password). Alle 7 del mattino io ho spento il pc e il nick col numero IP che mi era stato "rubato" era rimastro in chat fino al pomeriggio successivo e peraltro ha combinato anche danni (ha takkato un canale). Da quella notte la mio connessione è diventata impossibile a meno che io non utilizzi un firewall (attualmente Sygate) e appena stabilisco una connessione il processo spoolsv32.exe cerca di stabilire una connessione con irc.irizon.net che però viene bloccata dal firewall. Le porte interessate sono anche altre oltre a quelle che ho postato sopra, sporadicamente sono coinvolte anche le porte 1581, 5554 e altre. Ripeto il pc è esente virus e vari, per il sasser ebbi problemi appena si diffuse questo worm, adesso il pc è pulito, aggiornato e ho fatto ripetuti controlli con antivirus vari e programmi vari tutti aggiornati, anche in modalità provvisoria.
Amici, scusatemi se mi sono dilungato così tanto, non voglio annoiare nessuno ma ormai non so più cosa fare.
Amici, ciao a tutti e grazie a tutti voi, spero anche io di poter essere di aiuto a qualcuno. Complimenti per il sito. A presto e di nuovo scusatemi.
|
|
|
|
clitocybe
Senior Member
219 Messaggi |
Inserito il - 09/09/2004 : 23:50:57
|
Aloha gentile pedrus, sei sicuro di non essere infetto ?
Da quello che descrivi e quale processo ti blocca il SPF, io proverei a controllare se non
c'è Mydoom, nelle sue varianti, con, ad esempio, i tool della Symantec
a questo indirizzo: htt*://[www].symantec[.com]/region/it/techsupp/avcenter/venc/data/it-w32.mydoom mm.removal.tool.html
Non ultimo, mi sembra di aver capito che hai due antivirus installati !
Se ho compreso bene, prima di fare qualsiasi altra operazione, disinstalla uno dei due ( io ti consiglio, per esperienza diretta, di tenere solo AVG ) prima di compromettere gravemente il registro di sistema.
I port scanning che ricevi non è detto siano attacchi dati da persone fisiche, ma, piu' probabilmente, da tentativi da parte dello script Mydoom di svolgere le proprie funzioni sulle porte trovate aperte.
Un consiglio che ti porgo inoltre, se sei utente xp, è quello di chiudere la porta 5000
( non puo' essere chiusa da SPF in quanto la porta viene aperta di default da un superfluo servizio SPDP ( atto a riconoscere gli elettrodomestici e governarli da remoto... )).
Questa enorme vulnerabilita' ( visti i simpatici script che vi possono entrare, tra i quali, il temibile Netbus ( x info su questa applicazione di backdoor , puoi andare a visitare ( adottando le dovute cautele e la sciando perdere alcune attribuzioni discutibili sulle figure che utilizzano tali programmi ( del resto interessa solo la parte tecnica! )) questo link: htt*://[www].jnetworld[.com]/netbus.htm ), risolvibile con un passaggio semplice, sembra, secondo le malelingue, che non sia stata prevista neanche dal service pack 2 di Win, ( ribattezzato goliardicamente: Service-pacco [..] )  !
Il procedimento per chiudere SPDP e di seguito la porta 5000, è il seguente:
Start/Avvio, Esegui/Run, services.msc, poi vai alla voce SPDP, con il tasto destro del mouse blocchi il servizio, poi lo disattivi; riavvia la macchina e la porta 5000 è chiusa.
A presto !
[www].clitocybe.tk
Edited by - clitocybe on 09/09/2004 23:57:31 |
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 10/09/2004 : 00:04:10
|
Grazie, ti faccio sapere come va a finire, cmq per il fatto dei due antivirus secondo me in questa caso specifico non serve disinstallarne uno, infatti quando ho iniziato ad avere il problema, e su ne ho discusso ampiamente e logorroicamente, avevo un solo antivirus installato, solo dopo varie scansioni ho deciso di installarne un altro per fare delle prove.
Comunque di nuovo grazie e vedo ciò che riesco a fare.
Ciao Amici
|
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 10/09/2004 : 00:07:30
|
Ah, a proposito, conosco NetBus e così come ho già detto in un altra discussione del forum, non sono gli strumenti che ti rendono criminale, ma l'uso che ne fai.
|
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 10/09/2004 : 00:16:12
|
Ho avviato services.msc, ma la voce SPDP non la trovo, trovo piuttosto la voce "Servizio di rilevamento SSDP", è ciò di cui parli? E poi ho visto che premendo il tasto destro ho la possibilità di arrestarlo, ma non esiste la voce disabilita. Vabbè, faccio qualche prova, poi si vedrà. Scusami se mi dilungo. Grazie per il tuo interessamento.
Edited by - pedrus on 10/09/2004 00:16:49 |
|
|
|
clitocybe
Senior Member
219 Messaggi |
Inserito il - 10/09/2004 : 22:18:40
|
Aloha pedrus, ti garantisco che 2 antivirus creano del danno, soprattutto, perchè quando non lo sapevo l'ho fatto anch'io ed il passaggio alla formattazione è stato meno breve
di quanto pensassi.
Si, scusami, c'è stato un'errore, è, come dici:
SSDP, prima lo blocchi, poi in un secondo tempo lo disabiliti ( dopo aver fermato il processo, sempre con il destro del mouse, lo puoi disattivare; naturalmente parlo per xp, in quanto non mi risulta che questo servizio sia presente di default per gli s.o. antecedenti ).
prima di eseguire la chiusura di SSDP, tuttavia, cercherei di scongiurare l'ipotesi di Mydoom.
Certamente ogni mezzo puo' essere utilizzato sia in una direzione che in un'altra; ad esempio, Backorifice è un'applicazione nata per controllare un pc da remoto ( funzione utile quando vuoi ad esempio controllare la box mail del tuo computer domiciliare e sei
fuori casa, ma è anche il programma che va' per la maggiore tra i Lamer e Cracker che vogliono forzare una macchina altrui, con l'unico scopo di danneggiarla ).
Netbus puo' essere usato per entrare in "casa" di terzi e la sua porta d'elezione è la 5000, oltre ad avere altre funzioni le cui applicazioni possono essere molto distanti dal prevaricare il rispetto del nostro prossimo; non sapevo se lo conoscevi, ergo, mi sono permesso di darti un link.
Mantienici aggiornati e buon lavoro !
[www].clitocybe.tk |
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 10/09/2004 : 22:47:45
|
Allora caro amico, ti ringrazio per la tua disponibilità, cmq mydoom non è presente, ho disabilitato il servizio ma il problema non è risolto. Proverò a fare delle prove disinstallando un antivirus, disinstallerò il norton. In ogni caso ci sono delle cose ancora poco chiare, ad esempio, sebbene il mio pc funzioni regolarmente, almeno quando non è in connessione, all'avvio, una volta terminato il caricamento del sistema operativo, del desktop e le sue icone, che peraltro sono pochissime (mi piace avere il desktop in ordine con pochi fronzoli), ovvero quando ormai il pc sembra non stia lavorando, se cerco di stabilire la connessione, prima che mi compaia la schermata tipica dove si inserisce user e password trascorrono parecchi secondi, se non ho visto male all'avvio del sistema viene caricato un processo che viene terminato dopo alcuni secondi (una trentina circa) non appena questo processo viene terminato si riesce ad aprire la schermata di connessione, questa è però una cosa che devo verificare, ti/vi aggiornerò specificando anche di quale processo si tratta.
Grazie davvero per l'interessamento, spero di poter, prima o poi, essere d'aiuto anche io.
Ciao a tutti.
|
|
|
|
clitocybe
Senior Member
219 Messaggi |
Inserito il - 11/09/2004 : 00:01:04
|
Aloha pedrus, sei sempre d'aiuto ! In seno al rallentamento dei trenta secondi circa, lo faceva e lo fa' tuttora con il mio xp, con il Norton ha iniziato, ma anche con il solo AVG ( credo tuttavia, che il responsabile è il Norton che mi ha lasciato una sorta di boot loader
( avevo installato system work ) nel registro; sempre da services.msc, nella mia macchina risulta presente un processo di Norton, sebbene la disinstallazione ).
La chiusura di SSDP con porta 5000 era un consiglio per risolvere un'altro bug di xp, ma non la vedo responsabile per il tuo problema iniziale.
Tienici al corrente e buon lavoro  !
[www].clitocybe.tk
Edited by - clitocybe on 11/09/2004 00:03:21 |
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 11/09/2004 : 00:13:30
|
Che casino amico caro, non ci sto capendo più niente (vabbè che ci stavo capendo poco anche prima) vedo un po' che riesco a fare, stasera io e te sembra che ci stiamo rincorrendo da una sezione all'altra del forum.
Ciao a tutti.
|
|
|
| |
Discussione |
|
|
|
Connessione Incasinata - AIUTOOOOOOOO
Forum Bloccato
