Ciao!

Visitereste questo sito:

http://www.gioganza.dnsalias.com


Non funziona .. non capisco dov'è il problema ?
Mi hanno hackerato : varie cose sono sballate ..

PS: Specificando l'indirizzo della LAN al server funziona, mentre digitando l'ip no ....

:confused:


Il problema dev'essere nel pc da cui lo guardo :stordita:

Io non riesco a vederlo o connettermi con FTP né usando il nome dominio né usando l'ip ..
Ma soltanto usando l'ip locale ...

Inoltre.. non riesco a visualizzare il logo in alto ... e non si apre il forum o il galaxytool : non riesco ad aprire nessuna immagine ...

Ma soltanto per quel sito ... voi riuscite a visualizzarle le immagini?

Anche al server IRC, non riesco a connettermi : viene visualizzato un MOTD parziale..

Come se ci fossero problemi nella trasmissione di pacchetti troppo grossi .. :master: (solo per quel sito però..)

Nel caso, dove può essere il problema? (si presenta sia con explorer sia con firefox) ..

Ciao!

Visitereste questo sito:

http://www.gioganza.dnsalias.com


Non funziona .. non capisco dov'è il problema ?
Mi hanno hackerato : varie cose sono sballate ..

PS: Specificando l'indirizzo della LAN al server funziona, mentre digitando l'ip no ....

:confused:


Il problema dev'essere nel pc da cui lo guardo :stordita:

Io non riesco a vederlo o connettermi con FTP né usando il nome dominio né usando l'ip ..
Ma soltanto usando l'ip locale ...

Inoltre.. non riesco a visualizzare il logo in alto ... e non si apre il forum o il galaxytool : non riesco ad aprire nessuna immagine ...

Ma soltanto per quel sito ... voi riuscite a visualizzarle le immagini?

Anche al server IRC, non riesco a connettermi : viene visualizzato un MOTD parziale..

Come se ci fossero problemi nella trasmissione di pacchetti troppo grossi .. :master: (solo per quel sito però..)

Nel caso, dove può essere il problema? (si presenta sia con explorer sia con firefox) ..

si, io vedo tutto senza problemi.
Mi viene un dubbio, utilizzi un firewall?

Indirizzo LAN? forse è meglio se spieghi come è configurata la rete, il server è nella tua LAN o è esterno? Sicuro che non sia un problema della tua connesione? A me va tutto...

Indirizzo LAN? forse è meglio se spieghi come è configurata la rete, il server è nella tua LAN o è esterno? Sicuro che non sia un problema della tua connesione? A me va tutto...

sono d'accordo, dacci qualke info in più, altrimenti arrivare alla fonte del problema che hai, perchè credo sia solamente tuo, risulterebbe un po' complesso ;)

sono d'accordo, dacci qualke info in più, altrimenti arrivare alla fonte del problema che hai, perchè credo sia solamente tuo, risulterebbe un po' complesso ;)
Vi dico la struttura della rete, comunque ripeto che mi hanno crackato il pc..


RETE -- ROUTER
| |
PC1 SERVER


Una classica LAN, del tipo 192.168.x.x

Il ping e tracert riesco ad eseguirli ..

Mando uno screen : resta su "trasferimento" finché va in timeout ..

http://www.gioganza.dnsalias.com/imgs/varie/problema1.jpg
Per esempio questo screen io non lo vedo .. e la pagina resta in trasferimento..

Non voglio sembrare scortese, ma comprendimi, non sono un telepate... come fai ad essere sicuro che ti abbiano bucato il pc? (ma il pc o il server?)

Comunque, il server lo raggiungi via LAN o ha un indirizzo pubblico?
Io installerei Ethereal sul PC1 e controllerei cosa non va nella connessione verso il server, in questo modo vedi se ti ritornano pacchetti da indirizzi che la tua macchina non si aspetta (magari tenti di instaurare una connessione con un ip esterno e ti risponde uno interno (NAT router corrotto)... o robe simili insomma)

Rimango fissato su problemi di connessione perchè non vedo che altro potrebbe essere, altrimenti non riusciremmo a vederlo nemmeno noi dall'esterno...

Facci sapere!

Me lo hanno bucato perché me lo ha detto su messenger, e per un giorno c'è stata attività continua del router anche se non facevo niente : dal log risultava che avessero spedito i dati ad un server web ( http://s15211406.onlinehome-server.info ), mischiato a vari spoofing .. probabilmente per camuffare la cosa..

etheral non riconosco qual'è la connessione al server ....

Ok, ti hanno bucato. Ma su Msn che era quello che l'ha fatto? Chiedi a lui no?

Cmq, come non riconosci la connesisone? :confused:

Stacca il server e attaccatici direttamente, cosi vedi se è un problema del router, hai controllato le regole del router? Il server è ok?

Me lo hanno bucato perché me lo ha detto su messenger, e per un giorno c'è stata attività continua del router anche se non facevo niente : dal log risultava che avessero spedito i dati ad un server web ( http://s15211406.onlinehome-server.info ), mischiato a vari spoofing .. probabilmente per camuffare la cosa..

etheral non riconosco qual'è la connessione al server ....

il sito a cui vengono spediti i dati non sembra molto affidabile... :(
Report mcafee site advisor : http://www.siteadvisor.com/sites/onlinehome-server.info?ref=safe&aff_id=0

Ok, ti hanno bucato. Ma su Msn che era quello che l'ha fatto? Chiedi a lui no?


Secondo te me lo viene a dire? :rollo: Non era propriamente una prova tra amici ..

Cmq, come non riconosci la connesisone? :confused:

Tra i pacchetti sniffati .. non capisco cosa non vada. La comunicazione c'è ..

Stacca il server e attaccatici direttamente, cosi vedi se è un problema del router, hai controllato le regole del router? Il server è ok?
non ho un cavo crossed.
Ad ogni modo la comunicazione col server funziona, visto che da locale ci accedo perfettamente

il sito a cui vengono spediti i dati non sembra molto affidabile... :(
Report mcafee site advisor : http://www.siteadvisor.com/sites/onlinehome-server.info?ref=safe&aff_id=0
Evvai! Comunuque è lui l'iscritto io i dati non glie li ho dati ...
Peccato che credo se li sia presi da solo ..



Aspettate tra poco posto novità. Forse ho trovato.

Non ho trovato niente:

c'era "driver di network monitor", ma lo ha installato etheral, giusto?


Dove posso andare a cercare robaccia in esecuzione? (i servizi sono ok, i servizi di rete anche e pure le esecuzioni automatiche ... )
L'antivirus (AVG) non segnala nulla ..

HiJackThis semmai lo posto .. ma sembra pulito ... :(

Non ho trovato niente:

c'era "driver di network monitor", ma lo ha installato etheral, giusto?


Dove posso andare a cercare robaccia in esecuzione? (i servizi sono ok, i servizi di rete anche e pure le esecuzioni automatiche ... )
L'antivirus (AVG) non segnala nulla ..

HiJackThis semmai lo posto .. ma sembra pulito ... :(

fai una scansione on-line con kaspersky o bitdefender. se trovano qualcosa, scarica il prodotto e scansiona da provvisoria. AVG in molti casi, soprattutto se free, non è assolutamente affidabile ;)

Spe, ricapitoliamo il problema, probabilmente son leso io (cenato pesante ;P)

Il server non si connette più a quel sito giusto? Il problema è che dal tuo pc non riesci a raggiungere il server se usi l'indirizzo pubblico ma ce la fai se usi quello privato giusto? Mi hai confuso con la storia della connessione che funziona...

Ma ethereal l'hai messo sul server?? Se si levalo appena hai finito di monitorare la rete!

Il server non si connette più a quel sito giusto?

Non era il server ma PC1 a connettersi al server spiatore.

E in effetti non ho fatto nulla per "farlo smettere" .. magari ora è solo latente ..


Il problema è che dal tuo pc non riesci a raggiungere il server se usi l'indirizzo pubblico ma ce la fai se usi quello privato giusto? Mi hai confuso con la storia della connessione che funziona...

All'incirca: con l'indirizzo privato è perfetto.
Con quello pubblico riesco a pingare e scaricare piccoli files ..
Credo che sia questa la discriminante, infatti semplici files html li posso scaricare, ma non riesco a scaricare immagini o a connettermi via FTP ..

Ma ethereal l'hai messo sul server?? Se si levalo appena hai finito di monitorare la rete![/QUOTE]
No l'ho messo sul client (PC1) ...
Vedo tanti pacchetti.. di strano, forse c'è:

casa sito HTTP GET /forum_27 HTTP/1.1
sito casa HTTP HTTP/1.1 301 Moved permanently (text-html)


e poi..


[TCP retransmission] [TCP Segment of a reassembled PDU]
[TCP Duk ACK 42#1] 1725 > http [ACK] Seq=1302 Ack=3482


:boh:

Ok, non avevo capito chi si connetteva a cosa :)

L'HTML 301 non dovrebbe esserci, ammenochè non lo preveda il server (ma se ti sembra strana la sua presenza immagino tu non abbia spostato/rediretto nulla)
Sicuro di connetterti proprio al tuo server? Il tracert non dava percorsi strani? Non vorrei che tu venga rediretto a qualche sito fasullo messo solo per fregarti passwd o robe simili...

Come non detto, ho controllato la mia connessione e pure a me da il 301 per entrambi i link, però mi redirige sempre verso l'indirizzo gusto (lo stesso del link)
Nsomma mi sa che è tutto ok... (ma come mai da ste 301? Son configurati come virtual host? separati?)

[TCP Duk ACK 42#1] 1725 > http [ACK] Seq=1302 Ack=3482
Questo è un "Dup ACK" giusto? Altrimenti non ho idea di cosa sia...

... bho ... se il router è a posto, la connessione abbiam visto che è ok, il server pure... come az fa a non andarti? Firewall/Proxy di mezzo?

Come non detto, ho controllato la mia connessione e pure a me da il 301 per entrambi i link, però mi redirige sempre verso l'indirizzo gusto (lo stesso del link)
Nsomma mi sa che è tutto ok... (ma come mai da ste 301? Son configurati come virtual host? separati?)

Per il 301, non uso virtual hosts, ma forse è perché ho impostato le wildcards quindi qualunquecosa.gioganza.dnsalias.com va a gioganza.dnsalias.com .. forse è questo non saprei..

Il tracert è apposto ..


... bho ... se il router è a posto,

Il router fa il suo forward alla porta 80 del server.. ed ha sempre funzionato..


la connessione abbiam visto che è ok,

Funziona tutto tranne quello .. e connettersi ci riesce anche al server..


il server pure...

Eh si.. anche dall'esterno è visibile..


Firewall/Proxy di mezzo?
Firewall no ..

Proxy no .. a meno che siano impostati da qualche malware..
Ad ogni modo NON visibile dal netstat ... :confused:

Ho fatto la scansione con KAV online e mi dice tutto OK ...

Anche HiJackThis è apposto il log..

Ho risolto ..

Firefox e thunderbird non volevano rimuoversi.

Li ho rimossi manualmente.. cercando anche le voci nel registro.

E li ho reinstallati.

Era lì il problema, non so come, avevano hackerato il file firefox.exe ...

Comunque è strano, mi piacerebbe capirci di più .. anche perché non posso più essere sicuro di aver debellato il problema... :confused:

Ho risolto ..

Firefox e thunderbird non volevano rimuoversi.

Li ho rimossi manualmente.. cercando anche le voci nel registro.

E li ho reinstallati.

Era lì il problema, non so come, avevano hackerato il file firefox.exe ...

Comunque è strano, mi piacerebbe capirci di più .. anche perché non posso più essere sicuro di aver debellato il problema... :confused:

mmm...per me non centra nulla. Cmnq, sei sicuro che magari non era un problema temporaneo di ieri o che so in qst giorni???? mi sembra strano. Poi comunque dovevi provare anke con IE

Hai tenuto una copia del file vecchio? Possiamo confrontarlo con quello originale e capire cosa fa

Hai tenuto una copia del file vecchio? Possiamo confrontarlo con quello originale e capire cosa fa
Ho fatto Shift+CANC .. :eek:


Comunque non era firefox di per sé ..
Aprendo quel "firefox" ho avviato qualche malware ..

Per questo anche FTP e internet explorer non funzionavano..

Stò lentamente cambiando tutte le password più importanti .. :rolleyes:

Ah no scusate!

Che bello sono ancora infetto! :rolleyes:


Allora c'è sto server s15211406.onlinehome-server.info che se apro un browser nel computer inizia a ricevere dati .. :rolleyes:

Vorrei capire che dati riceve ..

E come beccare sto programma che per me è nuovo e non viene per questo riconosciuto: stanotte ho fatto una scansione senza nessuna segnalazione :rolleyes:


edit: ecco il log del firewall outpost

Browser HTTP rule (nome regola)
FIREFOX.EXE (servizio interessato)
s15211406.onlinehome-server.info (destinazione)
HTTP (sulla porta)
Outbound (remota)
TCP (protocollo)


:mad:

Analizzando i moduli caricati all'avvio, sono riuscito ad ottenere questi dati, che mi sembrano strani ... a voi risultano?


ntbtlog.txt

Driver caricato \SystemRoot\System32\Drivers\agz8mj8p.SYS
Driver caricato \SystemRoot\System32\Drivers\ag4op49f.SYS


Sono andato a cercarli, ma nella cartella non sono presenti.

Piuttosto, ci sono dei files nascosti, di modifica che avviene a ogni avvio:

C:\WINDOWS\system32\drivers\fidbox2.idx
C:\WINDOWS\system32\drivers\fidbox.idx
C:\WINDOWS\system32\drivers\fidbox2.dat
C:\WINDOWS\system32\drivers\fidbox.dat

:mbe: