| Autore |
 Discussione  |
|
|
ste
Moderatore
855 Messaggi |
Inserito il - 02/01/2003 : 19:06:52
|
ciao a tutti. da qualche giorno ricevo quotidianamente un attacco che il mio firewall (Norton internet security) blocca. l'ip in questione è il 212.171.217.123 e il firewall mi notifica con il seguente messaggio:
Visualizzato avviso di sicurezza per la regola Blocco predefinito Backdoor/SubSeven Trojan horse.
E' un trojan pericoloso?
Ma la domanda x cui ho scritto è questa:
cosa mi indicano rispettivamente le quattro sequenze di numeri dell ip ###.###.###.###?
mi sembra di aver letto da qualche parte che per esempio le prime tre indicano il provider ma le altre?
delucidatemi please.
ciao buon anno!
ste
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 02/01/2003 : 20:27:56
|
Per quanto riguarda il trojan, mi pare sia uno strumento di controllo remoto del PC, come Netbus. Per saperne di più puoi controllare la porta scansionata sul port database di pcflank [www].pcflank[.com] e vedere quali applicazioni commerciali e/o trojan la usano. Già che ci sei, controlla come si è comportato il tuo firewall con i leak test: magari non lascia entrare informazioni, ma le lascia uscire senza che tu te ne accorga.
Se pensi di essere infettato da un trojan, prova a scaricare uno scanner, purtroppo non ho indirizzi sottomano.
A proposito dell'IP, per quanto ne so (molto poco) identifica univocamente un PC o un server. I comuni mortali con una connessione dial-up come me ricevono un IP diverso ad ogni connessione. La maggior parte delle volte i primi due gruppi di cifre sono gli stessi, ma credo che ogni provider abbia un range di IP, che identificano i suoi server, di cui servirsi e da assegnare agli utenti.
Puoi sbizzarrirti a fare una lista dei più comuni spulciando nei log del tuo firewall e usando uno strumento di DNS lookup, che ti dirà a che provider appartiene l'IP dell'aspirante intruso.
Per esempio, poco fa un tizio ha bussato alla mia porta 12345, probabilmente cercando un server Netbus o simili, e ho curiosato trovando che all'IP (217.133.184.169) corrispondeva un utente Tiscali (il risultato del lookup è Official Name: ppp-217-133-184-169.dialup.tiscali.it).
E' un passatempo insulso, ma almeno mi dà qualcosa da fare mentre aspetto che si carichino le pagine web, visto che la mia connessione è di una lentezza abominevole. Se sono particolarmente annoiato faccio anche un traceroute, così so più o meno da dove si connette.
Una utility di lookup e traceroute facile da usare e gratuita è TJping [www].topjimmy.net/tjs/, se ti interessa.
Spero di eserti stato utile, ciao e buon anno. |
 |
|
|
ste
Moderatore
855 Messaggi |
Inserito il - 03/01/2003 : 16:35:11
|
grazie per le informazioni, mi sei stato più che utile!
su [www].pcflank[.com] ho fatto lo scanner test (il penultimo mi sembra) ma siccome ho il firewall, non è andato a buon fine. Premesso che ho il NIS 2002, come faccio a sapere quali porte sono comunemente usate da trojan, quali porte ho aperto e il loro stato?
hai detto di NetBus che è uno strumento di controllo remoto del pc, ma da parte di chi? netbus è un trojan, quindi è pericoloso e va bloccato giusto?non sono molto pratico, mi potresti "tradurre" questa parte:
quote:
A proposito dell'IP, per quanto ne so (molto poco) identifica univocamente un PC o un server. I comuni mortali con una connessione dial-up come me ricevono un IP diverso ad ogni connessione. La maggior parte delle volte i primi due gruppi di cifre sono gli stessi, ma credo che ogni provider abbia un range di IP, che identificano i suoi server, di cui servirsi e da assegnare agli utenti.
Puoi sbizzarrirti a fare una lista dei più comuni spulciando nei log del tuo firewall e usando uno strumento di DNS lookup, che ti dirà a che provider appartiene l'IP dell'aspirante intruso.
Per esempio, poco fa un tizio ha bussato alla mia porta 12345, probabilmente cercando un server Netbus o simili, e ho curiosato trovando che all'IP (217.133.184.169) corrispondeva un utente Tiscali (il risultato del lookup è Official Name: ppp-217-133-184-169.dialup.tiscali.it).
E' un passatempo insulso, ma almeno mi dà qualcosa da fare mentre aspetto che si carichino le pagine web, visto che la mia connessione è di una lentezza abominevole. Se sono particolarmente annoiato faccio anche un traceroute, così so più o meno da dove si connette.
Una utility di lookup e traceroute facile da usare e gratuita è TJping [www].topjimmy.net/tjs/, se ti interessa.
grazie e buon anno!
ste |
|
|
|
ste
Moderatore
855 Messaggi |
Inserito il - 03/01/2003 : 16:43:28
|
ho fatto un traceruote utilizzando tjping, e ho notato che ha la stessa funzione di un comando di dos: tracert.
mi escono una lista di ip, che sarebbero il percorso che i miei dati fanno dal mio ip all'ip del destinatario e viceversa. pero come faccio a capire da dove si connette l'ip in questione? che informazioni posso trarre da questa lista?
grazie ciao
ste |
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 03/01/2003 : 19:50:07
|
Ciao Ste.
Su NIS2002 non ti so dire nulla, non l'ho mai provato (anche perché dubito giri sul mio PC scarsissimo). Io uso Outpost, e ho trovato una funzione che visualizza le porte attive, con molte più informazioni di quelle che mi potranno mai servire; se ce l'ha Outpost che è gratis, credo ci sia qualcosa di simile in NIS, prova a guardare bene tra le opzioni e a cliccare col tasto destro qua e là, di solito è il modo migliore per trovare funzioni "nascoste": di sicuro è più veloce che leggersi tutto l'help. In genere comunque dovrebbero essere aperte solo le porte usate dai programmi che hai autorizzato.
Quanto a Netbus, è un programmino che si mimetizza all'interno di altri applicativi e che installa a tua insaputa un server sul tuo PC, creando di fatto una possibilità di accesso da remoto per chiunque sappia cosa cercare e abbia l'altra parte del programma, il client. Molti cracker si divertono a inserire questi trojan nei programmi che si possono scaricare dalla Rete e poi si limitano a fare portscanning su un vasto range di IP per vedere se su qulcuno c'è un server attivo (una backdoor). Se il tuo antivirus è aggiornato dovrebbe rivelare eventuali trojan, sennò esistono scanner appositi, per una maggiore sicurezza.
Per le porte usate da un trojan particolare puoi controllare il virus database di pcflank, che elenca anche i file e le voci del registro di configurazione installati da questi invadenti ospiti; non so se da qualche parte c'è un elenco delle porte usate da tutti i trojan, ma in ogni caso non sarebbe completo perché credo che ogni cracker che si rispetti possa modificarle e creare una sua personale versione di trojan.
Quanto a TJping, utilizza precisamente il comando tracert, solo che nelle opzioni di traceroute puoi spuntare la casella "Show DNS names". In questo modo di fianco ad ogni IP appare il nome corrispondente, se disponibile. I nomi dei server di passaggio sono del tipo "r-pd48-pd70.opb.interbusiness.it" (un router TIN di Padova, come si deduce dalla sigla pd); oppure "so-1-0-0.mp1.Washington1.Level3.net", che si trova a Washington evidentemente. La maggior parte dei router ha un nome che fornisce indizi sulla sua collocazione fisica. Quello più prossimo nella traccia sarà anche il più vicino fisicamente, con una certa approssimazione. Credo che questo sia più o meno lo stesso procedimento che fa lo spy test di NoTrace, ma con me sbaglia provincia perché dice che mi connetto da Padova o Vicenza, montre in realtà sono i provincia di Belluno (grosso modo 100 km più a Nord); ecco perché dico "con una certa approssimazione".
L'unica informazione utile che si può avere da tutto il procedimento è il nome di dominio del server che ospita uno spammer o un utente che ti crea problemi, a cui ti puoi rivolgere per protestare. Poi è anche curioso vedere che strani giri fanno i pacchetti sulla Rete, ovviamente.
Mi scuso per il post chilomatrico e spero di aver risposto a tutte le tue domande, altrimenti sono sempre disponibile negli intervalli dello studio.
Ciao. |
|
|
|
ste
Moderatore
855 Messaggi |
Inserito il - 04/01/2003 : 13:51:25
|
grazie gimli!
c'è qualcuno che ha nis 2002 e sa come trovare le porte che utilizza il mio pc e tutti i miei programmi? oltre alle porte che vengono utilizzate per gli attacchi di cui sopra?
ste |
|
|
| |
Discussione |
|
|
|
ip
Forum Bloccato
