[win XP] SYN Flood e Microsoft.com

[bruno1968]

Buongiorno a tutti. Spero che qualcuno possa aiutarmi.
Per molti giorni sono stato besaglio di una serie infinita di attacchi SYN Flood e Smurf. L'unica difesa che ho adottato è stata quella di monitorare continuamente il mio desktop con antivirus e antispyware e, in effetti, trovavo sempre qualche "corpo estraneo".
A un certo punto ho smesso di essereil bersaglio, ma ho scoperto dal mio router di essere io l'intruso !
Dal mio indirizzo ip partono sempre degli attacchi ai siti più vari, sempre SYN Flood. Più traffico genero, più partono attacchi e, se mi connetto al sito Microsoft, parte un syn flood anche verso di loro !!!
Ecco un esempio del security log che genero, roba di stamattina:
02/07/2008 08:38:18 sending ACK to 192.168.2.4
02/07/2008 08:31:07 sending ACK to 192.168.2.3
02/07/2008 08:31:07 sending OFFER to 192.168.2.3
02/07/2008 08:25:32 SMTP> Succeed in sending alert mail.
02/07/2008 08:25:31 **SYN Flood to Host** 192.168.2.2, 2684->> 151.1.244.2, 80 (from ATM1 Outbound)
02/07/2008 08:08:07 SMTP> Succeed in sending alert mail.
02/07/2008 08:08:06 **SYN Flood to Host** 192.168.2.2, 2426->> 151.1.244.2, 80 (from ATM1 Outbound)
02/07/2008 07:54:51 SMTP> Succeed in sending alert mail.
02/07/2008 07:54:50 **SYN Flood to Host** 192.168.2.2, 1782->> 207.46.211.119, 80 (from ATM1 Outbound)
02/07/2008 07:43:07 NTP Date/Time updated.
08/01/2003 00:06:22 If(ATM1) PPP connection ok !
08/01/2003 00:06:21 ATM1 get IP:87.17.227.9
08/01/2003 00:06:21 Username and Password: OK
08/01/2003 00:06:18 ATM1 start PPP
08/01/2003 00:06:18 Dial On Demand(ATM1)
08/01/2003 00:02:47 sending ACK to 192.168.2.2
08/01/2003 00:00:16 ADSL Media Up !

Come sapranno bene i più esperti, questo vuol dire che mi trovo la connessione a terra, in particolare sul desktop. Notate che abbiamo 3 portatili che sviluppano molto meno traffico e comunque risentono molto meno dell'abbassamento di banda disponibile, navigano normalmente.
Il desktop ha il mulo sempre connesso e il router è un Philips SNA6500.
Il mio ISP è Alice/Telecom Italia che ho interpellato ma, come sempre, mi ha risposto arrangiati.
Avete qualche idea su come procedere ?
I software di difesa sono zonealarm, avast, spybot, adaware e avg antispyware.
Potete aiutarmi ?
Grazie per l'attenzione.

[W.S.]

Se ho capito bene credo che la soluzione più rapida sia la formattazione del client.
Soluzione più complessa ma meno invasiva è la pulizia del client (posta su "aiuto sono infetto").

Prima di capire come intervenire in altri modi va identificato il problema, bisogna capire se è il browser ad essere infetto oppure altre componenti del sistema. Sei sicuro che l'infezione sia su un'unica macchina? Se la spegni e lasci lavorare le altre cosa succede?

[xcdegasp]

Ho spostato il thread nell'area del "pronto soccorso"

Per capire però che situazione esiste nel pc si potrebbe seguire la Guida alla Disinfezione per Infetti, ma vista la problematica della connessione direi di partire con la versione trial di Prevx2.0 .
E' un cips quindi dovrebbe poter monitorare gli eventi interni al sistema sia tramite scansioni di file e servizi sia tramite modelli comportamentali.
lo scarichi da: http://info.prevx.com/downloadprevx2.asp
(scegli la versione corretta di prevx2.0)

inoltre sostituisci ZA con il più efficace OnlineArmor che integra un hips ed è facilissimo da usare

già così mi attenderei di ottenere info, poi vediamo di procedere con nuova analisi

[bruno1968]

Quote:

Originariamente inviato da xcdegasp

Ho spostato il thread nell'area del "pronto soccorso"

Per capire però che situazione esiste nel pc si potrebbe seguire la Guida alla Disinfezione per Infetti, ma vista la problematica della connessione direi di partire con la versione trial di Prevx2.0 .
E' un cips quindi dovrebbe poter monitorare gli eventi interni al sistema sia tramite scansioni di file e servizi sia tramite modelli comportamentali.
lo scarichi da: http://info.prevx.com/downloadprevx2.asp
(scegli la versione corretta di prevx2.0)

inoltre sostituisci ZA con il più efficace OnlineArmor che integra un hips ed è facilissimo da usare

già così mi attenderei di ottenere info, poi vediamo di procedere con nuova analisi

Allora....prevx ha rilevato powerregscheduler come maligno. Rimosso, riavviato, non c'è più (hijackthis non lo rileva fra i processi attivi) ma il problema rimane....nelle ore di punta DIVENTO IO L'ATTACCANTE Syn Flood, sette-otto volte ogni ora, e attacco il sito che sto visitando in quel momento.
Ora sto monitorando Iexplorer con prevx, e qui penso proprio che avrò bisogno di una mano.
Gli altri computer navigano senza problemi.
Proverò ora una pulizia con CCleaner.
Vi terrò aggiornati, ma se aveste altri suggerimenti, non esitate a postare !
Grazie.

[xcdegasp]

intanto sforna i log richiesti da quella guida così abbiamo dei dati su cui concentrarci
è strana la cosa...
se installi OnlineArmor queste deve per forza di cose mostrare qualche interazione di processo, cosa che ZA non potrà mai fare non avendo un hisp al suo interno.

[bruno1968]

Quali log vorresti vedere ?
Perchè dici che la cosa è strana ?
CCleaner, come al solito, ha eliminato un pò di sporcizia nel registro, ma il problema persiste.
Proverò a veder questo onearmor.

[bruno1968]

Allora...quando il router mi avvisa che sto attaccando con il metodo syn flood un altro sito, bè...online armor mi mostra il processo ashWebSv.exe che apre un casino di porte per farmi accedere ad un sito.
E' normale ?
Se lo fosse (e fino ad un mese fa, non succedeva che explorermi si piantasse così...) come posso risolvere ?
Aspetto sempre qualche notiziola da voi.
Grazie.

[murack83pa]

x capire se sei infetto oppure no, devi seguire la guida indicata da deg:
http://www.hwupgrade.it/forum/showthread.php?t=1599737

e postare tutti i log richiesti nel rispetto delle regole di sezione

in questo modo abbiamo uno screen completo del tuo pc

[Riverside]

Quote:

Originariamente inviato da murack83pa

x capire se sei infetto oppure no, devi seguire la guida .......

La guida, in questo caso, servirà davvero poco.

Quote:

Originariamente inviato da bruno1968

Buongiorno a tutti. Spero che qualcuno possa aiutarmi.
Per molti giorni sono stato besaglio di una serie infinita di attacchi SYN Flood e Smurf. L'unica difesa che ho adottato è stata quella di monitorare continuamente il mio desktop con antivirus e antispyware e, in effetti, trovavo sempre qualche "corpo estraneo".
A un certo punto ho smesso di essere il bersaglio, ma ho scoperto dal mio router di essere io l'intruso

Vediamo di cosa si tratta (bastava una semplice ricerca sul web):

Quote:

Syn-Flood: Il più banale, e storicamente il primo, si chiama Syn-Flood o Syn-Flooding, letteralmente "inondazione di pacchetti di tipo Syn". Tutte le volte che un utente fa click su di un link di una pagina web richiede l'apertura di una connessione (di tipo TCP) verso quel sito; questo avviene seguendo una serie di passi, il primo dei quali consiste nell'invio di un pacchetto TCP che richiede l'apertura di una connessione.
Le regole di funzionamento del protocollo TCP esigono che il sistema risponda allocando alcune risorse (in pratica memoria) per la connessione. Se si programma opportunamente un semplice PC, è possibile richiedere l'apertura di diverse migliaia di connessioni al secondo, che "inondando" il server, ne consumano rapidamente tutta la memoria, bloccandolo o mandandolo in crash.
Il problema di questo tipo di attacco è che il computer attaccante deve poter mandare il flusso di pacchetti attraverso la connessione ad Internet fino al server attaccato.
L'utente malintenzionato deve poter fornire delle "credenziali" di accesso valide per usufruire della vulnerabilità insorta nel sistema operativo e portare a termine, efficacemente, l'attacco al sito bersaglio.
I pacchetti dannosi predisposti con un Indirizzo IP, falsificato rispetto all'originale, procureranno al computer "vulnerabile" una situazione, temporanea, di Denial of Service' poiché le connessioni che sono normalmente disponibili, sia per i buoni che per i cattivi, sono lente, questo diventa impossibile.
L'attacco Syn-Flood usa strumenti che rientrano nella categoria Tribe Flood Network (TFN) ed agisce creando delle connessioni che si rivelano aperte a metà.
Il protocollo classico usato nei DoS è il Ping, inviandone a milioni si riuscirà a bloccare l'operatività di qualunque sito Internet, ma trattandosi di un modello di attacco "uno a uno", ad un pacchetto in uscita corrisponderà la ricezione di un solo pacchetto al sistema attaccato.
Occorrerà quindi che i cracker possano disporre di un gran numero di PC client, "controllati", ma non è così facile "inoculare" il codice maligno in un numero tanto elevato di macchine grazie all'azione specifica di antivirus, patch di sicurezza e tecnici informatici.

Quote:

Smurf: una modalità di attacco più sofisticata, detta Smurf attack, utilizza un flusso di pacchetti modesto, in grado di passare attraverso una normale connessione via modem, ed una rete esterna, che sia stata mal configurata, che agisce da moltiplicatore di pacchetti, i quali si dirigono infine verso il bersaglio finale lungo linee di comunicazione ad alta velocità.
Tecnicamente, viene mandato uno o più pacchetti di broadcast verso una rete esterna composta da un numero maggiore possibile di host e con l'indirizzo mittente che punta al bersaglio (broadcast storm).
Ad esempio può venir usata una richiesta echo ICMP (Internet Control Message Protocol) precedentemente falsificata da chi attua materialmente l'attacco informatico.
Si noti che questo tipo di attacco è possibile solo in presenza di reti che abbiano grossolani errori di configurazione dei sistemi (detti router) che le collegano tra loro e con Internet.

Fonte: http://it.wikipedia.org/wiki/Denial_of_service

Fin qui, la descrizione tecnica.

C’è una cosa che sarebbe interessante conoscere: per caso chatti su canali IRC?.
Te lo chiedo perché Syn flood e Smurf, assieme a Ping Pattern, WinNuke, ICMP Flood, Ssping, ed altri ancora, sono tra i più classici degli attacchi che vengono portati e si ricevono all’interno dei canali IRC.

Quote:

Avete qualche idea su come procedere ?
I software di difesa sono zonealarm, avast, spybot, adaware e avg antispyware.
Potete aiutarmi ?

A parte l’ultima osservazione, comincerei con il riverificare le impostazioni del router.
Poi, prendedre in considerazione di rivedere la configurazione di sicurezza, sembrerebbe una soluzione più che opportuna.

[xcdegasp]

i log sono utili e tutti per fare una screenning del pc in questione, solo bruno ce lo ha sotyto gli occhi quindi dobbiamo procedere scartando ipotesi.
infatti grazie a OnlineArmor ora abbiamo un ulteriore dato e finalmente un file incriminato!

credo proprio che la guida non sia inutile...

[Riverside]

Quote:

Originariamente inviato da bruno1968

Allora...quando il router mi avvisa che sto attaccando con il metodo syn flood un altro sito, bè...online armor mi mostra il processo ashWebSv.exe che apre un casino di porte per farmi accedere ad un sito.

Quote:

Originariamente inviato da xcdegasp

…….. infatti grazie a OnlineArmor ora abbiamo un ulteriore dato e finalmente un file incriminato!

Se il file incriminato è ashWebSv.exe, direi che andiamo alla grande: è un processo di Avast

[xcdegasp]

e allora diventa essenziale capire cosa c'è in quel pc con delle belle scansioni.. tutte quelle della guida ma con questa piccola accortezza che ti chiedo:

per prevx CSI io tendenderei a chiederti di scansionare prima con questo:
http://in.solit.us/archives/download/126992
è la versione precedente che sforna un log molto chiaro, salva il log in modo da non sovrascriverlo e poi scansionare con la versione prevxCSI scaricabile dalla guida e posta anche quel log

[xcdegasp]

e cmq se avast analizza il traffico è evidente che sia una cosa che si sviluppa internamente al pc

[Riverside]

Quote:

Originariamente inviato da xcdegasp

e cmq se avast analizza il traffico è evidente che sia una cosa che si sviluppa internamente al pc

Eh si: il genere di analisi del traffico al quale fai riferimento, se non ricordo male, potrebbe chiamarsi aggiornamenti delle firme dell'antivirus
C'è un'altra, non remota possibilità, a dire il vero: che si tratti di Avast Security Suite (antivirus + firewall) e che, quindi, il traffico venga monitorato dal firewall integrato nella Suite.
Risultato? firewall del router + firewall della eventuale Suite + un terzo firewall (ora Amor, prima Zone Alarm): direi un tantino esagerato.
Sempre convinto che si tratti di una infezione e non di un problema che nasce dalla configurazione di sicurezza?
In ogni caso, procedete pure con tutte le scansioni che ritenete opportune: installare qualche software in più non fa mai male

[Chill-Out]

Senti mi indichi il percorso di questo file ashWebSv.exe. thx.

[bruno1968]

Eccoci qua, e voglio ringraziarvi per l'attenzione. Ho fatto una sola scansione online con nanoscan e non ha trovato nulla. Solo a-squared ha trovato dei cookie traccianti, credo...comincio a pensare che non si tratti di un'infezione, almeno non ora; credo che vada configurato meglio il router in coppia con zone alarm.

Ho quattro log, ma sono troppo lunghi per metterli come allegati.
Lascio tutto nei quattro messaggi successivi.

Riverside chiedeva della versione di avast, ed è quella gratuita solo antivirus; poi non chatto su canali irc ma uso solo il windows messenger, anche se ho installato icq e miranda.
Chill-out vuol conoscere il percorso dell'exe di avast ed è c-programmi-alwil software-avast 4-ashWebSv.exe .

Comincio a pensare che dovrò cambiare antivirus, se ce n'è uno che funziona diversamente da avast: se ilproblema è (come sembra) il tipo di controllo che avast esercita sulle pagine in caricamento.....beh allora posso buttarlo perchè mai mi ha rilevato nulla !!!
Comunque, vediamo cosa mi dite.



Forse un problema ads ? Lascio a voi la sentenza !

[Riverside]

Quote:

Ho fatto una sola scansione online con nanoscan e non ha trovato nulla ....... Solo a-squared ha trovato dei cookie traccianti, credo...comincio a pensare che non si tratti di un'infezione, almeno non ora; credo che vada configurato meglio il router in coppia con zone alarm.

Intanto devi rieditare i post dove hai copiato ed incollato i log.
I log vanno allegati con una precisa modalità (tra l’altro, descritta in Guida):

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Quote:

...... non chatto su canali irc ....

E questo esclude una delle due possibilità che avevo prospettato.

Quote:

Chill-out vuol conoscere il percorso dell'exe di avast ed è c-programmi-alwil software-avast 4-ashWebSv.exe .

Conferma ciò che facevo notare prima: ashWebSv.exe, è un processo legittimo di Avast (indipendentemente che sia free o Suite).

Quote:

Comincio a pensare che dovrò cambiare antivirus, se ce n'è uno che funziona diversamente da avast: se ilproblema è (come sembra) il tipo di controllo che avast esercita sulle pagine in caricamento.....beh allora posso buttarlo perchè mai mi ha rilevato nulla

E' inutile ripetermi: il tuo è un problema che deriva da una parte dalla configurazione del router e, dall’altra, dal tipo di configurazione di sicurezza.
Ti avevo già suggerito di prendere in considerazione di rivedere, per intero, la configurazione di sicurezza, sostituendo, principalmente, l'antivirus (cosa che Avast non è).

[xcdegasp]

@ bruno1968:
dovresti aver letto le Regole di Sezione come appunto richiesto dalla Guida che hai seguito.
potrei anche essere meno tollerante in futuro

e comunque continui a fare orecchie da mercante sul fatto che gli oggetti rilevato debbano finire in quarantena.
apparivano molte tracce di qualcosa che è stato rimosso in modo molto parziale non mi sono soffermato nella questione perchè risultava poco fruibile.

hosta i log sul sito consigliato e linka i log, te l'ho già detto precedentemente!

aggiungo che sono concorde a sostituire al più presto quell'antivirus che usi con uno migliore.

[bruno1968]

Scusatemi, provvedo subito.

[bruno1968]

Eccoci qui...

HThis http://www.fileup.itadib.com/downloa...fnkzhPMnjXUhY9

Gmer http://www.fileup.itadib.com/downloa...gyi1ojFeUq0c9Q

In arrivo il resto.