Tiziano R.
18-06-2006, 13:12
Ciao ragazzi :), vi spiego il mio problema :
Uso :
-Un normale pc desktop
-WinXp ver. Pro.
-Firefox (ultima versione)
-Un client torrent per i download
-Il pc mi serve solo per navigare e scaricare, non uso altro (video, audio, posta, ftp,etc..)
Dopo aver ripartizionato e formattato il disco fisso e istallato il sistema operativo (inserito pass da admin complessa), e prima di accedere alla rete, eseguo il seguente scan usando i pattern aggiornati :
sysclean.com + pattern lpt511 (l'ultimo a quel che vedo)
Non vengono riscontrati problemi.
Risultando pulito il pc, provvedo ad istallare e configurare :
(i file seguenti sono stati scaricati dal portatile che utilizza Knoppix per navigare, e sottoposti a scan successivamente, risultando puliti)
-F-Secure Blacklight e Rootkit Revealer (per i rootkit)
-AVG Free Edition (per i virus)
-Jetico Personal Firewall con le impostazioni Optimal Protection dopo aver consultato questa (http://www.hwupgrade.it/forum/showthread.php?t=1056724) e altre guide in rete (lascio passare solo firefox come browser e il client torrent come TCP/IP).
-Copio HijackThis.exe in c:\
-RegSeeker.
-Spybot - Search & Destroy.
-CCleaner
-copio WindowsWormsDoorCleaner in c:\
Lancio quindi AVG per primo, che non rileva problemi.
Lancio F-Secure Blacklight e Rootkit Revealer che non rilevano minacce.
Lancio HijackThis che non rileva problemi :
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Documents and Settings\Tiziano\Desktop\HijackThis.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
Lancio Spybot che non rileva problemi (solo alexa integrato in xp, che provvedo a rimuovere).
Lancio CCleaner che non rileva problemi, pulendo tutto il possibile.
Lancio ReegSeeker che non rileva problemi, anche qui pulisco le voci non pericolose indicate.
Lancio WindowsWormsDoorCleaner e provvedo alla chiusura delle porte.
Fatte le pulizie, provvedo a disabilitare i servizi inutili come elencato in questa tabella (http://www.harrrdito.it/faq/search.asp?id=552) .
Tutto sembra ok, e' arrivato il momento di riavviare il sistema.
Riavvio...e iniziano i problemi :
1-Appena carico i driver per il modem usb fastrate di Alice (sia che carico i driver ufficiali forniti con il kit-Cd di AliceAdsl sia che carico i driver della casa madre, ovvero i Bewan) e stabilisco la prima connessione, subito il processo SVCHOST apre un sacco di porte UDP (a caso).
Le porte le apre quando sono loggato come user normale e quando mi loggo come admin, non c'e' differenza.
Le porte aperte le vedo con netstat -[opzioni] oppure con Tcp/View e Jetico.
2-Dal log di Jetico risultano un sacco di tentativi per connessioni in entrata, piccoli pacchetti da 40-70k con protocolli TCP, UDP e IGMP, vengono rilevati a cadenza regolare (uno ogni 30-50 secondi) anche se non navigo.
La cosa curiosa sta nel fatto che l'ip sorgente e' nel mio stesso range (sempre e comunque).
Esempio :
se il mio Ip e' 60.30.100.150 l'attaccante sara' 60.30.xxx.xxx
se il mio IP e' 88.130.100.150 l'attaccante sara' 88.130.xxx.xxx
Le porte attaccate sono in genere la 445, la 135 e la 1026.
Da premettere che queste porte facendo un test su pc-flank risultano in stealth.
3-Premendo CTRL+ALT+CANC ho accesso al taskmanager, ma nella colonna centrale (dove si riporta il Nome Utente) non appare piu' nessun nome, mentre di regola dovrebbe apparire il nome che ho scelto, il nome Admin oppure il nome SYSTEM.
4-Compaiono sempre nel task manager i processi SVCHOST.EXE aggiuntivi, spuntati da non si sa dove.
Anche terminandoli ricompaiono dopo poco.
La procedura che ho descritto e' stata ripetuta con diversi firewall e diversi antivirus, il risultato non cambia.
Avrei bisogno di sapere :
-E' possibile istallare un rootkit nel bios, e se si, come lo rintraccio e rimuovo ?(eventualmente eliminando e/o aggiornando il bios stesso)
-I programmi standard non rilevano problemi o intrusioni, pero' risulta palese che ci siano problemi di sicurezza, conoscete alternative a quelle sopra esposte ?
-Ipotizzando che siano determinati file o script lanciati durante l'istallazione di windows a causare il problema, come posso controllare passo passo l'istallazione ?
Ho provato a ridurre il sistema usando Nlite, falcidiando tutti i servizi non essenziali, ma il risultato non cambia, il problema si ripresenta.
-Se i miei file di sistema sono corrotti, dove trovo dei file affidabili ?
-Puo' essere che qualcuno all'interno del mio ISP si stia divertendo a mie spese ?...come faccio a tracciare questi abusi ?
-Infine ringrazio chiunque abbia avuto la pazienza anche solo di leggere fino a qui :) sono 2 mesi che cerco risposta al problema, quindi non scrivetemi cose tipo "cambia pc" o "cambia ISP", non credo siano soluzioni adatte.
Soprattutto non contattatemi in privato chiedendo di loggarvi al mio pc per controllare... la ritengo una misura poco utile e lesiva per la privacy.
Uso :
-Un normale pc desktop
-WinXp ver. Pro.
-Firefox (ultima versione)
-Un client torrent per i download
-Il pc mi serve solo per navigare e scaricare, non uso altro (video, audio, posta, ftp,etc..)
Dopo aver ripartizionato e formattato il disco fisso e istallato il sistema operativo (inserito pass da admin complessa), e prima di accedere alla rete, eseguo il seguente scan usando i pattern aggiornati :
sysclean.com + pattern lpt511 (l'ultimo a quel che vedo)
Non vengono riscontrati problemi.
Risultando pulito il pc, provvedo ad istallare e configurare :
(i file seguenti sono stati scaricati dal portatile che utilizza Knoppix per navigare, e sottoposti a scan successivamente, risultando puliti)
-F-Secure Blacklight e Rootkit Revealer (per i rootkit)
-AVG Free Edition (per i virus)
-Jetico Personal Firewall con le impostazioni Optimal Protection dopo aver consultato questa (http://www.hwupgrade.it/forum/showthread.php?t=1056724) e altre guide in rete (lascio passare solo firefox come browser e il client torrent come TCP/IP).
-Copio HijackThis.exe in c:\
-RegSeeker.
-Spybot - Search & Destroy.
-CCleaner
-copio WindowsWormsDoorCleaner in c:\
Lancio quindi AVG per primo, che non rileva problemi.
Lancio F-Secure Blacklight e Rootkit Revealer che non rilevano minacce.
Lancio HijackThis che non rileva problemi :
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Documents and Settings\Tiziano\Desktop\HijackThis.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
Lancio Spybot che non rileva problemi (solo alexa integrato in xp, che provvedo a rimuovere).
Lancio CCleaner che non rileva problemi, pulendo tutto il possibile.
Lancio ReegSeeker che non rileva problemi, anche qui pulisco le voci non pericolose indicate.
Lancio WindowsWormsDoorCleaner e provvedo alla chiusura delle porte.
Fatte le pulizie, provvedo a disabilitare i servizi inutili come elencato in questa tabella (http://www.harrrdito.it/faq/search.asp?id=552) .
Tutto sembra ok, e' arrivato il momento di riavviare il sistema.
Riavvio...e iniziano i problemi :
1-Appena carico i driver per il modem usb fastrate di Alice (sia che carico i driver ufficiali forniti con il kit-Cd di AliceAdsl sia che carico i driver della casa madre, ovvero i Bewan) e stabilisco la prima connessione, subito il processo SVCHOST apre un sacco di porte UDP (a caso).
Le porte le apre quando sono loggato come user normale e quando mi loggo come admin, non c'e' differenza.
Le porte aperte le vedo con netstat -[opzioni] oppure con Tcp/View e Jetico.
2-Dal log di Jetico risultano un sacco di tentativi per connessioni in entrata, piccoli pacchetti da 40-70k con protocolli TCP, UDP e IGMP, vengono rilevati a cadenza regolare (uno ogni 30-50 secondi) anche se non navigo.
La cosa curiosa sta nel fatto che l'ip sorgente e' nel mio stesso range (sempre e comunque).
Esempio :
se il mio Ip e' 60.30.100.150 l'attaccante sara' 60.30.xxx.xxx
se il mio IP e' 88.130.100.150 l'attaccante sara' 88.130.xxx.xxx
Le porte attaccate sono in genere la 445, la 135 e la 1026.
Da premettere che queste porte facendo un test su pc-flank risultano in stealth.
3-Premendo CTRL+ALT+CANC ho accesso al taskmanager, ma nella colonna centrale (dove si riporta il Nome Utente) non appare piu' nessun nome, mentre di regola dovrebbe apparire il nome che ho scelto, il nome Admin oppure il nome SYSTEM.
4-Compaiono sempre nel task manager i processi SVCHOST.EXE aggiuntivi, spuntati da non si sa dove.
Anche terminandoli ricompaiono dopo poco.
La procedura che ho descritto e' stata ripetuta con diversi firewall e diversi antivirus, il risultato non cambia.
Avrei bisogno di sapere :
-E' possibile istallare un rootkit nel bios, e se si, come lo rintraccio e rimuovo ?(eventualmente eliminando e/o aggiornando il bios stesso)
-I programmi standard non rilevano problemi o intrusioni, pero' risulta palese che ci siano problemi di sicurezza, conoscete alternative a quelle sopra esposte ?
-Ipotizzando che siano determinati file o script lanciati durante l'istallazione di windows a causare il problema, come posso controllare passo passo l'istallazione ?
Ho provato a ridurre il sistema usando Nlite, falcidiando tutti i servizi non essenziali, ma il risultato non cambia, il problema si ripresenta.
-Se i miei file di sistema sono corrotti, dove trovo dei file affidabili ?
-Puo' essere che qualcuno all'interno del mio ISP si stia divertendo a mie spese ?...come faccio a tracciare questi abusi ?
-Infine ringrazio chiunque abbia avuto la pazienza anche solo di leggere fino a qui :) sono 2 mesi che cerco risposta al problema, quindi non scrivetemi cose tipo "cambia pc" o "cambia ISP", non credo siano soluzioni adatte.
Soprattutto non contattatemi in privato chiedendo di loggarvi al mio pc per controllare... la ritengo una misura poco utile e lesiva per la privacy.