PDA

View Full Version : router rileva tentativi di intrusione

Nemesi18
28-04-2010, 21:18
Da qualche giorno ho notato che il log del router (d-link DSL-2740B) ha diverse voci relativi a tentativi di intrusione, sembrerebbero piu' che altro dei portscanning, tuttavia non capisco come sia possibile che comincino appena acceso il router e senza che i pc di casa siano accesi...
In teoria se l'isp mi ha appena assegnato un ip all'accensione del router, questo dovrebbe essere sconosciuto a terzi se non ho effettuato alcun tipo di traffico verso internet, o mi sbaglio?

- Posso escludere che qualcuno usi la connessione wireless di straforo, perche' ho anche provato a disattivare il wireless e le segnalazioni continuavano.

- Posso escludere che i pc siano la causa in quanto, come dicevo, i messaggi di allert compaiono anche a router appena avviato e con tutti i pc spenti.

- Ho notato che la destination port piu' bersagliata e' la 1080 (protocollo TCP)

I logs dei firewall (iptables x linux e comodo x windows) non segnalano nulla, il che probabilmente significa che il router filtra gia' tutto.

Riporto un pezzo del log del router:


Apr 28 15:58:07 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=122.225.56.45 DST=82.84.167.212 LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1080 WINDOW=16384 RES=0x00 SYN URGP=0

Apr 28 16:11:25 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=123.64.193.238 DST=82.84.167.212 LEN=52 TOS=0x00 PREC=0x00 TTL=48 ID=4883 DF PROTO=TCP SPT=3172 DPT=32162 WINDOW=65535 RES=0x00 SYN URGP=0

Apr 28 16:11:28 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=123.64.193.238 DST=82.84.167.212 LEN=52 TOS=0x00 PREC=0x00 TTL=48 ID=4893 DF PROTO=TCP SPT=3172 DPT=32162 WINDOW=65535 RES=0x00 SYN URGP=0

Apr 28 16:45:30 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=202.238.91.96 DST=82.84.167.212 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=9501 DF PROTO=TCP SPT=46709 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

Apr 28 16:45:33 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=202.238.91.96 DST=82.84.167.212 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=9502 DF PROTO=TCP SPT=46709 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

Apr 28 17:27:21 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=122.225.56.45 DST=82.84.167.212 LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1080 WINDOW=16384 RES=0x00 SYN URGP=0

Apr 28 17:45:06 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=61.54.100.102 DST=82.84.167.212 LEN=40 TOS=0x00 PREC=0x00 TTL=108 ID=256 PROTO=TCP SPT=6000 DPT=2967 WINDOW=16384 RES=0x00 SYN URGP=0

Apr 28 17:49:05 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=61.54.100.102 DST=82.84.167.212 LEN=40 TOS=0x00 PREC=0x00 TTL=108 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0

Apr 28 18:42:19 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=202.106.62.33 DST=82.84.167.212 LEN=40 TOS=0x00 PREC=0x00 TTL=116 ID=36804 PROTO=TCP SPT=110 DPT=110 WINDOW=61551 RES=0x00 SYN URGP=0

Apr 28 18:54:38 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=122.225.56.45 DST=82.84.167.212 LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1080 WINDOW=16384 RES=0x00 SYN URGP=0

Apr 28 19:25:27 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=58.215.75.62 DST=82.84.167.212 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=26091 PROTO=TCP SPT=36843 DPT=10000 WINDOW=65535 RES=0x00 SYN URGP=0

Apr 28 19:45:57 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=222.73.205.9 DST=82.84.167.212 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=57717 DF PROTO=TCP SPT=60929 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

Apr 28 19:46:00 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=222.73.205.9 DST=82.84.167.212 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=57718 DF PROTO=TCP SPT=60929 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

Qualche idea??
bender8858
28-04-2010, 22:49
Da qualche giorno ho notato che il log del router (d-link DSL-2740B) ha diverse voci relativi a tentativi di intrusione, sembrerebbero piu' che altro dei portscanning
Già, da parte di ip cinesi :D

Qualche idea??

Non c'è molto da fare, l'importante è che non ci siano porte aperte ;)

Ciao
Nemesi18
28-04-2010, 23:15
gia' ma la mia domanda e': come?
bender8858
29-04-2010, 13:49
Cosa intendi con come :) ?

Ciao
Nemesi18
29-04-2010, 15:23
Mi riferisco al come sia possibile che ci siano tentativi di intrusione su ogni IP assegnatomi dall'isp.
Cosa fanno? Portscannano tutti gli ip assegnati a tiscali? In questo caso non riguarda solo me ma tutti gli utenti tiscali per lo meno.
Ignorante Informatico
29-04-2010, 21:20
Mi riferisco al come sia possibile che ci siano tentativi di intrusione su ogni IP assegnatomi dall'isp..
Essendo un IP dinamico, in effetti, è strana la costanza dei tentativi. Mi vien da chiederti se tu faccia uso di servizi particolari (giochi on-line, P2P, streaming) o se tu abbia installato qualcosa di nuovo sul tuo PC.

Non so, facci sapere :)
Romagnolo1973
29-04-2010, 22:26
Mi riferisco al come sia possibile che ci siano tentativi di intrusione su ogni IP assegnatomi dall'isp.
Cosa fanno? Portscannano tutti gli ip assegnati a tiscali? In questo caso non riguarda solo me ma tutti gli utenti tiscali per lo meno.

non vorrei che sul pc hai una "esca" che richiama gli squali, dicci un po' quali strumenti di difesa hai e comunque qualsiasi siano falli girare in scansione, giusto per stare sicuri che non ci sia nulla sul pc in stile malware / rootkit


Per Ignorante Informatico:
Aproveito tambèm p comprimentar o meu parçeiro I.I q era sumido faz tempo. Saudade amigo
Nemesi18
30-04-2010, 15:22
Su sistema linux ho: iptables e chkrootkit, su windows 7: comodo, avira, malwarebites, hijackthis.
Ma in ogni caso il problema non puo' essere dei pc... come spiegavo nel mio primo post, i tentativi di intrusione avvengono anche se accendo il router e tengo tutti i pc spenti. Quindi nessun host interno alla lan e' operativo e puo', anche ipoteticamente, aprire connessioni.
Cmq non ho servizi particolari attivi, non ho ps3 ne altri apparecchi wireless che utilizzino il router.

Sembrerebbe trattarsi di un portscanning a tappeto su range di ip di tiscali... ma altri che hanno tiscali rilevano questi tentativi di intrusione?
xcdegasp
07-05-2010, 14:13
bisogna anche capire cosa riporta il log di un firewall e non prenderlo semplicemente alla lettera :)
lui sta dicendo che ha bloccato connessioni provenienti da internet verso il tuo IP pubblico alla porta X

IP tuo pubblico -> DST=82.84.167.212

IP di chi ha inviato la richiesta di dialogo -> OUT= MAC= SRC=122.225.56.45

porta: PROTO=TCP SPT=6000
(TCP 6000)


traduzione: prima chi usava quel IP Pubblico, esendo assegnato dinamicamente può cambiare ad ogni accensione del router o per ogni riavvio della wlan ppp_0_8_35_1, stava sando emule o qualsiasi altro programma che stava dialogando sulla porta remota TCP 6000.
ereditando te quell'IP hai ereditato anche tutte le conessioni pendenti verso quel IP. stessa cosa dicasi per chi eredita l'IP che usavi te prima di spegnere il tuo router..

non ci vedo nulla di strano :)