PDA

View Full Version : Traffico NET BIOS su porta 137 in uscita, come mai?

Perseverance
19-04-2010, 17:08
Da 1 settimana il firewall ha incominciato ad avvisarmi con gli altert che SYSTEM desidera connettersi in netbios. Questo è un log di qualche giorno fà:


Date/Time App Action Source IP Port Destination IP Port Protocol
4/13/2010 9:25:29 PM System Blocked 192.168.1.3 137 79.107.207.159 137 UDP
4/13/2010 10:04:54 PM System Blocked 192.168.1.3 137 79.98.0.57 137 UDP
4/13/2010 10:04:56 PM System Blocked 192.168.1.3 137 93.48.36.238 137 UDP
4/13/2010 10:04:58 PM System Blocked 192.168.1.3 137 93.48.36.238 137 UDP
4/13/2010 10:05:00 PM System Blocked 192.168.1.3 137 188.218.146.244 137 UDP
4/13/2010 10:05:01 PM System Blocked 192.168.1.3 137 188.218.146.244 137 UDP
4/13/2010 10:05:03 PM System Blocked 192.168.1.3 137 188.218.146.244 137 UDP
4/13/2010 10:05:08 PM System Blocked 192.168.1.3 137 151.66.33.25 137 UDP
4/13/2010 10:05:09 PM System Blocked 192.168.1.3 137 151.66.33.25 137 UDP
4/13/2010 10:05:11 PM System Blocked 192.168.1.3 137 151.66.33.25 137 UDP
4/13/2010 10:05:13 PM System Blocked 192.168.1.3 137 151.65.247.195 137 UDP
4/13/2010 10:05:14 PM System Blocked 192.168.1.3 137 151.65.247.195 137 UDP
4/13/2010 10:05:16 PM System Blocked 192.168.1.3 137 151.65.247.195 137 UDP
4/13/2010 10:05:18 PM System Blocked 192.168.1.3 137 93.37.54.190 137 UDP
4/13/2010 10:05:19 PM System Blocked 192.168.1.3 137 93.37.54.190 137 UDP
4/13/2010 10:05:22 PM System Blocked 192.168.1.3 137 93.37.54.190 137 UDP
4/13/2010 10:05:40 PM System Blocked 192.168.1.3 137 217.203.184.105 137 UDP
4/13/2010 10:05:42 PM System Blocked 192.168.1.3 137 217.203.184.105 137 UDP
4/13/2010 10:05:43 PM System Blocked 192.168.1.3 137 217.203.184.105 137 UDP
4/13/2010 10:08:23 PM System Blocked 192.168.1.3 137 151.53.75.19 137 UDP
4/13/2010 10:08:24 PM System Blocked 192.168.1.3 137 151.53.75.19 137 UDP
4/13/2010 10:08:26 PM System Blocked 192.168.1.3 137 151.53.75.19 137 UDP
4/13/2010 10:15:46 PM System Blocked 192.168.1.3 137 109.52.150.108 137 UDP
4/13/2010 10:15:47 PM System Blocked 192.168.1.3 137 109.52.150.108 137 UDP
4/13/2010 10:15:49 PM System Blocked 192.168.1.3 137 109.52.150.108 137 UDP
4/13/2010 10:42:37 PM System Blocked 192.168.1.3 137 151.53.241.96 137 UDP
4/13/2010 10:42:38 PM System Blocked 192.168.1.3 137 151.53.241.96 137 UDP
4/13/2010 10:42:40 PM System Blocked 192.168.1.3 137 151.53.241.96 137 UDP
4/13/2010 11:33:26 PM System Blocked 192.168.1.3 137 151.71.214.171 137 UDP
4/13/2010 11:33:27 PM System Blocked 192.168.1.3 137 151.71.214.171 137 UDP
4/13/2010 11:33:29 PM System Blocked 192.168.1.3 137 151.71.214.171 137 UDP
4/13/2010 11:34:02 PM System Blocked 192.168.1.3 137 151.23.13.220 137 UDP
4/13/2010 11:34:03 PM System Blocked 192.168.1.3 137 151.23.13.220 137 UDP
4/13/2010 11:34:05 PM System Blocked 192.168.1.3 137 151.23.13.220 137 UDP
4/14/2010 10:13:09 AM System Blocked 192.168.1.3 137 151.66.33.25 137 UDP
4/14/2010 10:13:11 AM System Blocked 192.168.1.3 137 151.66.33.25 137 UDP
4/14/2010 10:13:12 AM System Blocked 192.168.1.3 137 151.66.33.25 137 UDP
4/14/2010 10:13:19 AM System Blocked 192.168.1.3 137 151.53.75.19 137 UDP
4/14/2010 10:13:20 AM System Blocked 192.168.1.3 137 151.53.75.19 137 UDP
4/14/2010 10:13:22 AM System Blocked 192.168.1.3 137 151.53.75.19 137 UDP
4/14/2010 10:13:24 AM System Blocked 192.168.1.3 137 79.98.0.57 137 UDP
4/14/2010 10:13:25 AM System Blocked 192.168.1.3 137 79.98.0.57 137 UDP
4/14/2010 10:13:27 AM System Blocked 192.168.1.3 137 79.98.0.57 137 UDP
4/14/2010 10:13:29 AM System Blocked 192.168.1.3 137 94.162.40.175 137 UDP
4/14/2010 10:13:30 AM System Blocked 192.168.1.3 137 94.162.40.175 137 UDP
4/14/2010 10:13:32 AM System Blocked 192.168.1.3 137 94.162.40.175 137 UDP
4/14/2010 10:27:20 AM System Blocked 192.168.1.3 137 151.23.39.104 137 UDP
4/14/2010 10:27:21 AM System Blocked 192.168.1.3 137 151.23.39.104 137 UDP
4/14/2010 10:27:23 AM System Blocked 192.168.1.3 137 151.23.39.104 137 UDP
4/14/2010 10:35:26 AM System Blocked 192.168.1.3 137 151.54.79.194 137 UDP
4/14/2010 10:35:28 AM System Blocked 192.168.1.3 137 151.54.79.194 137 UDP
4/14/2010 10:35:29 AM System Blocked 192.168.1.3 137 151.54.79.194 137 UDP
4/14/2010 10:52:16 AM System Blocked 192.168.1.3 137 93.37.54.190 137 UDP
4/14/2010 10:52:17 AM System Blocked 192.168.1.3 137 93.37.54.190 137 UDP
4/14/2010 10:52:19 AM System Blocked 192.168.1.3 137 93.37.54.190 137 UDP
4/14/2010 10:52:20 AM System Blocked 192.168.1.3 137 217.201.133.63 137 UDP
4/14/2010 10:52:22 AM System Blocked 192.168.1.3 137 217.201.133.63 137 UDP
4/14/2010 10:52:23 AM System Blocked 192.168.1.3 137 217.201.133.63 137 UDP
4/14/2010 10:52:25 AM System Blocked 192.168.1.3 137 151.65.62.20 137 UDP
4/14/2010 10:52:27 AM System Blocked 192.168.1.3 137 151.65.62.20 137 UDP
4/14/2010 10:52:28 AM System Blocked 192.168.1.3 137 151.65.62.20 137 UDP
4/14/2010 11:03:55 AM System Blocked 192.168.1.3 137 151.66.88.229 137 UDP
4/14/2010 11:03:57 AM System Blocked 192.168.1.3 137 151.66.88.229 137 UDP
4/14/2010 11:03:58 AM System Blocked 192.168.1.3 137 151.66.88.229 137 UDP
4/14/2010 12:15:53 PM System Blocked 192.168.1.3 137 151.60.78.233 137 UDP
4/14/2010 12:15:56 PM System Blocked 192.168.1.3 137 151.60.78.233 137 UDP
4/14/2010 7:22:07 PM System Blocked 192.168.1.3 137 94.166.80.54 137 UDP
4/14/2010 7:22:08 PM System Blocked 192.168.1.3 137 94.166.80.54 137 UDP
4/14/2010 7:22:10 PM System Blocked 192.168.1.3 137 94.166.80.54 137 UDP
4/14/2010 7:22:12 PM System Blocked 192.168.1.3 137 151.61.21.230 137 UDP
4/14/2010 7:22:13 PM System Blocked 192.168.1.3 137 151.61.21.230 137 UDP
4/14/2010 7:22:15 PM System Blocked 192.168.1.3 137 151.61.21.230 137 UDP
4/14/2010 7:22:18 PM System Blocked 192.168.1.3 137 151.53.75.19 137 UDP
4/14/2010 7:22:20 PM System Blocked 192.168.1.3 137 151.53.75.19 137 UDP
4/14/2010 7:22:21 PM System Blocked 192.168.1.3 137 151.53.75.19 137 UDP
4/18/2010 11:11:01 AM System Blocked 192.168.1.3 137 83.147.86.93 137 UDP
4/18/2010 11:11:02 AM System Blocked 192.168.1.3 137 83.147.86.93 137 UDP
4/18/2010 11:11:04 AM System Blocked 192.168.1.3 137 83.147.86.93 137 UDP


Facendo un WHOIS ho scoperto che tutti gli indirizzi provegono da Amsterdam, com'è possibile?

Ho fatto scansioni da boot cd con avira, kaspersky, avg, bitdefender. Il sistema è pulito. Che può essere? E xkè proprio in OUT? Xkè il mio pc si vuol connettere?

Non sono sicuro di essere pulito...
K1CK
19-04-2010, 18:04
A parte il firewall, dietro il router ed il provider e' difficile che ti passa il traffico su quella porta.
Puoi comunque provare a disabilitare i servizi netbios,wins ect se non utilizzi una rete microsoft. Anche alcuni firewall possono generare quel tipo di traffico, fanno un analisi attiva sugli host. Che firewall usi?
Può essere anche un worm, verifica in primis che applicazione/servizio genera quei pacchetti, con Sw tipo tcpview etc etc... Ma può anche essere che il worm usi tecniche più sofisticate, in quel caso ti serve un' anti rootkit, perche' se no non vedi nulla.
Comunque molti degli indirizzi che vedo sono italiani, usa Ripe (Amsterdam) per il whois.
ciao
bender8858
19-04-2010, 19:08
Non sono sicuro di essere pulito...

Fai girare Hitman Pro (http://www.surfright.nl/en)
Perseverance
19-04-2010, 19:25
A parte il firewall, dietro il router ed il provider e' difficile che ti passa il traffico su quella porta.
Puoi comunque provare a disabilitare i servizi netbios,wins ect se non utilizzi una rete microsoft. Anche alcuni firewall possono generare quel tipo di traffico, fanno un analisi attiva sugli host. Che firewall usi?
Può essere anche un worm, verifica in primis che applicazione/servizio genera quei pacchetti, con Sw tipo tcpview etc etc... Ma può anche essere che il worm usi tecniche più sofisticate, in quel caso ti serve un' anti rootkit, perche' se no non vedi nulla.
Comunque molti degli indirizzi che vedo sono italiani, usa Ripe (Amsterdam) per il whois.
ciao

Uso Comodo, ma anche quando avevo il 56K me lo faceva. In una suite cd bootable (bitdefender mi pare) c'era uno script per verificare la presenza di rootkit conosciuti. Come faccio a vedere se ho un rootkit?
bender8858
19-04-2010, 20:16
Fai girare Hitman Pro (http://www.surfright.nl/en)
In più...http://www.hwupgrade.it/forum/showthread.php?t=2138966
Perseverance
19-04-2010, 22:11
Oggi è il primo giorno che non ci sono richieste, mmm...forse era una cosa passeggera.

-Edit-

Risultati software scansione ("SI" quando hanno trovato qualcosa):
Hitman Pro NO
GMER NO
SpyDLLRemover NO
RootRepeal NO
Perseverance
20-04-2010, 09:24
A questo punto penso che era solo una cosa passeggera, ma resto cmq in allarme!
maxime
20-04-2010, 10:14
Fai girare Hitman Pro (http://www.surfright.nl/en)

La versione Free individua soltanto, o permette anche la rimozione?
Roby_P
21-04-2010, 13:53
Ha ragione K1CK, sono tutti IP italiani.
Secondo me è il tuo ISP, credo che la tua linea sia telecom.
Guarda qua
http://whois.domaintools.com/217.203.184.105
http://whois.domaintools.com/109.52.150.108
Non ti fermare alle prime informazioni, scendi giù e va a guardare a chi RIPE ha assegnato quegli IP.

Ciao ciao ;)
Chill-Out
21-04-2010, 15:35
La versione Free individua soltanto, o permette anche la rimozione?

In caso di infezione hai 30GG di licenza gratuita.
Chill-Out
21-04-2010, 15:38
Non ti fermare alle prime informazioni, scendi giù e va a guardare a chi RIPE ha assegnato quegli IP.

Ciao ciao ;)

Ma anche si, IP Location:

;)
Roby_P
21-04-2010, 17:16
Ho imparato, visto!!! :D