Vi riporto qui i dati del Log ("http://Edit). Questo mi preoccupa parecchio.. Anche se non sono affatto un novizio per quanto riguarda i virus, spyware e compagnia bella.. In tutta la mia vita, ne ho rimossi a tonnellate da XP, a Vista, a Seven, fino all' attuale 8.

Quello che più mi preoccupa, è che non siano attacchi "meccanici" quindi da software. Ma possano esser fatti da qualche str*nzo che vuol entrare nel mio Router. Questo perché da più di 3 giorni che qualcuno tenta di disconnettermi dalla rete. A che pro? Non ne ho idea..

Non essendomene mai accertato prima di averne subito uno, la cosa mi coglie un po' sulle nuvole. Che cosa posso fare per proteggermi? Nelle ultime righe risultano dei login riusciti. Sono i miei o di chi è entrato? Intanto ho impostato diversi blocchi sulle porte TCP/UDP 0,19,25,68,135-139,445,520 e 1080 sul Firewall. Non so tuttavia come identificare l' attacco, ne la motivazione.

Ho cercato di tracciare gli indirizzi dei colpevoli, ma sembrano associati a gente ignara.

Potreste darmi un chiarimento su come comportarmi e cosa posso fare per proteggermi da questo tipo di attacchi? Innanzitutto c'è da ribadire che fino a poche settimane fa scaricavo a bomba, tutti i giorni. Ovviamente mi proteggevo al meglio possibile proprio perché so che generalmente sono esposto. Tuttavia in questi giorni ho notato dei forti rallentamenti durante la navigazione su alcuni siti specifici o su fb. Tipo come quando si usava la 64kbps, solo che ora ricevo la 17Mb/s stabile.

Sia chiaro, non sono uno che casca a cose di spam, ormai ho imparato già da anni. Avendoci rimesso un PC.

Ma il problema si manifesta solo su questo pc, o anche su altri?

Inoltre come prima cosa, cambierei la password d'accesso del modem/router e anche quella wifi.

Ma il problema si manifesta solo su questo pc, o anche su altri?

Inoltre come prima cosa, cambierei la password d'accesso del modem/router e anche quella wifi.

Ciao e grazie, il Wi-Fi è stato sempre disattivato proprio a tal proposito. Infatti uso solo la connessione LAN per avere una maggiore sicurezza.
Tuttavia utilizzo solo questo pc, non ne ho altri, dunque non posso sapere per certo.

La password di Login la cambierò a breve. Anzi, subito!

La maggioranza degli attacchi avvengono quando non sono al PC.

2015-04-19 06:22:34 [4] kernel: Detect remote echo chargen attack, ip addr:198.46.140.50
2015-04-19 07:29:53 [4] kernel: Detect remote echo chargen attack, ip addr:185.94.111.1
2015-04-19 08:17:39 [4] kernel: Detect remote fraggle attack, ip addr:188.138.9.50
2015-04-19 09:53:36 [4] kernel: Detect remote echo chargen attack, ip addr:74.82.47.9
2015-04-19 14:49:19 [4] kernel: Detect remote echo chargen attack, ip addr:104.255.71.251

Inoltre per il cambio di attacco, mi fa pensare che non sia qualcosa automatizzata. Ma ci sia proprio qualcuno dietro.

Mi sono dimenticato una cosa, giorni a dietro sono rimasto offline per 20-40 min. Non so se era un disservizio della rete oppure se ero già sotto attacco.

Credo che tu sappia ormai che sei sotto attacco DoS. Vai sul sito ShieldsUP! (https://www.grc.com/shieldsup) e controlla le varie vulnerabilità della tua rete. Di solito gli attacchi echo/charger sono su porta TCP-UDP 7 o 19 ma devi controllare.

Credo che tu sappia ormai che sei sotto attacco DoS. Vai sul sito ShieldsUP! (https://www.grc.com/shieldsup) e controlla le varie vulnerabilità della tua rete. Di solito gli attacchi echo/charger sono su porta TCP-UDP 7 o 19 ma devi controllare.

Ti ringrazio, ma gli attacchi sono mirati da qualche furbone oppure si tratta del classico virus?

Cmq le due porte che mi hai consigliato le avevo già bloccate col Firewall di Windows:

7 UDP (Inbound/Outbound)
19 TCP e UDP (Inbound/Outbound)

Inoltre grazie ad una lista trovata online, avevo bloccato altre porte:

25
67-68
135-139
161
162
445
520

e

1080

Mentre per proteggermi meglio ho anche impostato Comodo Firewall che a quanto pare lavora senza problemi. Il FW di Windows è comunque rimasto attivo da quel che vedo..

Il motivo per cui mi sto rodendo la testa è, c'è qualcuno che mi vuol rompere i cosidetti oppure trattasi di qualche virus che mi è entrato senza che me ne accorgessi?
Sono molto in guardia, sul Browser uso ADP, Ghostery, Flashblock, WOT e sul PC Avast e Comodo, oltre al Firewall di Win 8.1

OK, riporto i test che ho fatto:

1° caso - Linea normale:

http://postimg.org/image/kg0m2yqf1/

2° caso - Linea VPN:

http://postimg.org/image/qsfrcsth9/

Perché l' ho fatto anche con VPN? Mi sono ritrovato sotto attacco pur usanto la VPN, ovviamente è passata mezza giornata prima che gli attacchi apparissero. Infatti anziché 5-6 attacchi, mi ritrovo con un solo attacco per volta. Il problema è che non capisco se sono stato agganciato da qualche furbone oppure se è un virus che quindi sfrutta i parametri dall' interno e li trasferisce al destinatario, che poi provvede a fare il lavoro sporco.

Che altri accorgimenti potrei prendere?

Ho trovato questo (http://www.agnitum.com/support/kb/article.php?id=1000146&lang=en) articolo, che ne dite? E' sempre un aiuto in più!

Inoltre dovrei alzare il livello di protezione della Configurazione filtro IPv4 e IPv6, se utilizzo client P2P? E che mi dite della Tabella ACL? Il HTTP è disabilitato di default.
Purtroppo non ho ben presente l' utilità di quest' ultima.

Anche sulla Configurazione ALG non è spuntata la Pass-through SIP di default. E' un bene?

Dovresti provare a navigare per un pò su una live di Linux e controllare se sei sempre sotto attacco, così escludi un'infezione in Windows di qualche tipo. Magari re-installando il firmware del router, nel caso fosse stato modificato.

In ogni modo questi attacchi non credo siano fatti "manualmente" ma c'è sempre uno script dietro, sinceramente a meno che tu non abbia fatto arrabbiare qualcuno esperto in materia non vedo perchè prenderti di mira...potresti essere una vittima del tutto casuale.

Dovresti provare a navigare per un pò su una live di Linux e controllare se sei sempre sotto attacco, così escludi un'infezione in Windows di qualche tipo. Magari re-installando il firmware del router, nel caso fosse stato modificato.

In ogni modo questi attacchi non credo siano fatti "manualmente" ma c'è sempre uno script dietro, sinceramente a meno che tu non abbia fatto arrabbiare qualcuno esperto in materia non vedo perchè prenderti di mira...potresti essere una vittima del tutto casuale.

Uhm capisco, ma io di linux so proprio cose spicciole. Il Firmware nuovo l' ho ricevuto qui sul forum, presupponendo che sia l' autentico team della Sitecom.
Gli attacchi già c' erano. Conosci qualche software che rileva gli script?

Dai un'occhiata a queste pagine:
Distributed Denial-of-Service Attacks and You (https://msdn.microsoft.com/en-us/library/cc722931.aspx)

Con un distro linux non avresti dovuto fare altro che navigare ed analizzare il log del router, nulla di speciale ma serve per controllare di non essere infetto per escludere che il problema nasca effettivamente nel tuo OS. Preferisci formattare o fare un dual-boot di prova? Più semplice la soluzione "live".

Mah...

Se fanno un ddos, lo fanno ad un certo ip...
Se cambio ip con una riconnessione, come fanno a sapere quello nuovo per rifare il ddos lì ?

Qualche programma installato che gli informa ?

Dai un'occhiata a queste pagine:
Distributed Denial-of-Service Attacks and You (https://msdn.microsoft.com/en-us/library/cc722931.aspx)

Con un distro linux non avresti dovuto fare altro che navigare ed analizzare il log del router, nulla di speciale ma serve per controllare di non essere infetto per escludere che il problema nasca effettivamente nel tuo OS. Preferisci formattare o fare un dual-boot di prova? Più semplice la soluzione "live".

Va bene comunque con macchina virtuale?

Mah...

Se fanno un ddos, lo fanno ad un certo ip...
Se cambio ip con una riconnessione, come fanno a sapere quello nuovo per rifare il ddos lì ?

Qualche programma installato che gli informa ?

Si effettivamente dovrebbe essere così, solo che prima c' erano degli intervalli ad orari ben definiti. Ora invece avvengono più o meno a tutte le ore. :)

Si effettivamente dovrebbe essere così, solo che prima c' erano degli intervalli ad orari ben definiti. Ora invece avvengono più o meno a tutte le ore. :)

Potrei capire ddos indirizzato verso un sito, di una banca, di un partito o altro, ma ad un privato, non so a chi possa giovare...

Ma ammettiamo, che ci siano xx macchine in giro per il mondo che hanno ricevuto l'ordine di inviare ddos al 151.152.153.154...

Se tu lo cambi in 151.152.153.155, le suddette macchine non ti possono più "ddossare" ci vuole qualcosa che gli dica il nuovo ip !

Secondo me, hai qualche programma specialmente p2p che avvisa "non so chi" del tuo ip...

Io seguirei il consiglio di x_Master_x

Effettivamente scarico molto, sui client spesso mi vedo ridurre la banda di download in modo drastico. Ma non saprei a chi dare la colpa: pochi seed? trackers scaduti? gente che toglie subito i files? (in genere scelgo sempre i files migliori, con molti seed e carico i trackers aggiornati).

Mo ci mancano pure gli attacchi ddos che comunque non avvengono quando scarico. Ma quando navigo sul web. Possibile che sia qualcosa che ho installato, certo. In genere cmq sto molto attento a quello che installo proprio per evitare di avere rogne. Addirittura dopo la disinstallazione vado a cercarmi le voci di registro dei programmi rimossi.

Penso che l' alternativa sarà fare delle scansioni.

Di solito, per togliere Spyware e pappardella varia uso Combofix, Adwcleaner, OTL, JRT, Hitman Pro e Malwarebytes.. Però se non erro, fra questi c'è n'è uno che non era compatibile con l' ultima versione di Windows. Mi auguro l' abbiano aggiornato!

Ho l' estensione Hover Zoom ho sentito che è un virus, è vero? L' unica decente, doveva essere un virus. L' ho disabilitata cmq.
Sapevo che c' era un' estensione che toglieva completamente le app senza lasciare residui. Purtroppo non ricordo il nome.

PS. Ho letto nei commenti delle app, ma c'è un clone Hover Zoom+. Può darsi che si tratti di quella app? Mah

Va bene comunque con macchina virtuale?

No, il guest si appoggia sull'host.

No, il guest si appoggia sull'host.

Ho capito, uff. Se formattassi Windows ? La live di linux la considero come un' ultima spiaggia.

Di solito é la formattazione l'ultima spiaggia...fai come preferisci. L'importante é che il test avvenga in un ambiente pulito, aggiornato senza programmi installati o altro di terze parti.

Di solito é la formattazione l'ultima spiaggia...fai come preferisci. L'importante é che il test avvenga in un ambiente pulito, aggiornato senza programmi installati o altro di terze parti.

Ok, ho capito. Grazie, aggiornerò entro qualche giorno la discussione. Speriamo bene!

Che cosa strana, un po' dopo l' attacco ddos la data ed ora del modem router è cambiata:

2015-04-21 21:38:02 [4] kernel: Detect remote echo chargen attack, ip addr:23.95.2.34
1970-01-01 01:01:45 [6] syslog: Accessor:[CPE] Method:[NotiInform] Para:[type=2] Result:[0]
1970-01-01 01:01:45 [5] syslog: Accessor:[CPE] Method:[PPPoE] Para:[User=adsltelecom ip=xxxxxxxxxxx] Result:[0] Wan Link was Connected

E' un fattore correlato? Non l' ho mai notato nei log precedenti.

Che cosa strana, un po' dopo l' attacco ddos la data ed ora del modem router è cambiata:

più che altro la data è stata resettata. l'1/1/1970 è la "data zero" dei sistemi unix (la data/ora attuale viene calcolata e memorizzata come n° di secondi trascorsi dalle 00:00:00 dell'1/1/1970)

più che altro la data è stata resettata. l'1/1/1970 è la "data zero" dei sistemi unix (la data/ora attuale viene calcolata e memorizzata come n° di secondi trascorsi dalle 00:00:00 dell'1/1/1970)

Ma è un fatto automatico oppure dovuto all' attacco ddos?
Ora ho notato che quando sono sotto attacco le pagine non si aprono bene, ci mettono un' eternità oppure semplicemente terminano il processo come se fossi senza connessione.

Spulciando nel Log ho notato questa voce sotto l' attacco:

2015-04-22 18:27:11 [4] kernel: Detect remote echo chargen attack, ip addr:192.3.190.242
2015-04-22 18:32:46 [5] syslog: Accessor:[CPE] Method:[AUTH] Para:[] Result:[9007] Not found session 22edeb48, user login check failed

Viene spesso ripetuta dopo gli attacchi. E' un tentativo d' accesso esterno fallito, vero?

Ho provato a fare un login sbagliato per confrontarlo con l' altro:

2015-04-22 18:34:17 [5] syslog: Accessor:[CPE] Method:[AUTH] Para:[] Result:[9007] User admin login failed, because username or password is wrong

Questo è come accade a me se sbaglio password.

non saprei, il mio router non ha log consultabili nè data di sistema. :(
che router è?

non saprei, il mio router non ha log consultabili nè data di sistema. :(
che router è?

Sitecom 300N X2 WLM 2600/v1001 con fw 1.30

Chi usa Wireshark? C'è un modo per identificare la fonte e la direzione dell' attacco? Sto controllando tutto li.

Ok, ci sto smanettando. E più o meno s' intende quali indirizzi sono malevoli.
Ho bloccato due nuove tcp (inbound/outbound) la 54 e la 433. Generalmente le richieste sono fissate solo su quelle due porte. Deduco che sia qualche virus e farò tutte le verifiche.
Cmq è un buon indice se in "Win=0 Len=0" ottengo "0"?

Le info vengono descritte in questi vari modi. In rosso:

"[RST, ACK] Seq= Ack= Win=0 Len=0"

"[TCP Dup ACK 747#1] 64381→80 [ACK] Seq=1 Ack=1 Win=66560 Len=0 SLE=0 SRE=1"

"64379→80 [RST, ACK] Seq=1468 Ack=456 Win=0 Len=0"

In nero:

"64387→80 [RST, ACK] Seq=705 Ack=895 Win=0 Len=0"

Che vuol dire?

Chi usa Wireshark? C'è un modo per identificare la fonte e la direzione dell' attacco? Sto controllando tutto li.

Ok, ci sto smanettando. E più o meno s' intende quali indirizzi sono malevoli.
Ho bloccato due nuove tcp (inbound/outbound) la 54 e la 433. Generalmente le richieste sono fissate solo su quelle due porte. Deduco che sia qualche virus e farò tutte le verifiche.
Cmq è un buon indice se in "Win=0 Len=0" ottengo "0"?

Le info vengono descritte in questi vari modi. In rosso:

"[RST, ACK] Seq= Ack= Win=0 Len=0"

"[TCP Dup ACK 747#1] 64381→80 [ACK] Seq=1 Ack=1 Win=66560 Len=0 SLE=0 SRE=1"

"64379→80 [RST, ACK] Seq=1468 Ack=456 Win=0 Len=0"

In nero:

"64387→80 [RST, ACK] Seq=705 Ack=895 Win=0 Len=0"

Che vuol dire?

non ti so aiutare nello specifico. http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers qui trovi i numeri delle porte note.
64379→80 direi che è un tentativo di comunicazione dalla porta 64379 alla 80.