Ciao a tutti,
recentemente sono stato inserito in varie blacklist e di conseguenza bloccato dai server smtp Aruba, dopo varie peripezie sono riuscito a ritornare abile all'invio delle mail, ma comunque ancora sono listato in alcune blacklist, ho scansionato tutti i pc della ditta con vari programmi e mi aspettavo di trovare qualcosa di sospetto ma invece niente di niente.... quindi mi sto ancora chiedendo come possa essere successo tutto questo....

per curiosità ho aperto il log del firewall Zywall5 e trovo delle voci sospette in colore rosso...

ok che ne mastico di informatica e mi arrangio tutto io in ditta ma sempre fino ad un certo punto e dove non arrivo chiedo info e aiuto.

c'è quindi qualcuno che può darmi una mano e procedo con il caricamento o invio dello screen?

grazieeeee

Per poterti aiutare bisogna che tu fornisca i log:D

lo so :D
ma siccome spesso e volentieri in questo grande forum ho chiesto e postato senza mai ricevere risposte, stavolta prima mi son sincerato che ci fosse qualcuno disponibile ;)

ecco il log in .txt

grazie per la disponibilità

Immagino che i log evidenziati in rosso siano quelli che riportano la voce "ATTACK" giusto?

Potresti inoltre fornire l'intestazione delle coolonne? Nel file non è riportata

ecco qua, riallego il file con le intestazioni e aggiornato a stamattina.

tanto per cambiare oggi non rimando più le mail quindi sono stato messo nuovamente nelle blacklist...
e che caxxo .........
non so dove sbattere la testa se con 2 programmi non mi trova ne virus malware ecc ecc.... :muro: :muro: :muro:

ci dev'essere una sincronia tra gli orari (ammesso che centri e si veda qualcosa dal log del firewall) tra log del firewall e log della blacklist?

perchè se guardo quello non trovo orari coincidenti...

allego il report del sito sul quale sono listato...
la lista che da fastidio ad aruba e quindi mi blocca le mail in uscita è SBLCSS più che CBL, ma in ogni caso sono listato in entrambe.

che poi... in questi casi guardano il singolo indirizo ip o invece un range di ip e pur non centrando niente ed essendo pulito bloccano anche me?

Direi che qualche problema sulla configurazione c'è.
Prima cosa devi spiegare perché una parte dei tuoi PC si trovano in WAN (W1) e non in LAN (L).
Seconda cosa perché hai tutte quelle porte aperte (5900 VNC, 137-138-139 NETBIOS, 445 SMB) dalla WAN1 alla LAN.

I log pericolosi non sono quelli con la scritta ATTACK, bensì quelli con la scritta ACCESS PERMITTED:
2016-06-17 18:03:46 Firewall default policy: TCP (W1 to L) 37.187.120.236:39631 192.168.1.100:5900 ACCESS PERMITTED
2016-06-17 13:46:44 Firewall default policy: TCP (W1 to L) 223.4.174.30:55982 192.168.1.100:5900 ACCESS PERMITTED

allora, fisicamente le connessioni sono: Modem Alice > Firewall > Switch > Tutti i pc/dispositivi della ditta (con indirizzi ip fissi)

il firewall so che è impostato come Bridge

192.168.1.1 Router
192.168.1.2 Pc Contabilità
192.168.1.3 Pc Disegno
192.168.1.4 Pc Giuliano
192.168.1.5 Pc Tempo 1
192.168.1.6 Pc Tempo 2
192.168.1.7 Pc Tempo 3
192.168.1.8 Pc Morbidelli

192.168.1.9 Pc Robot
192.168.1.10 PLC
192.168.1.11 Robot
192.168.1.12 Laser
192.168.1.13 Libero x eventuali

192.168.1.50 Fotocopiatrice
192.168.1.99 Diskstation
192.168.1.100 Server
192.168.1.200 Firewall
192.168.1.254 Centralino

le uniche eccezioni sono per:
- 192.168.1.25 Data Logger Fotovoltaico che è connesso direttamente al modem bypassando il firewall, ma quello riguarda l'impianto fotovoltaico, per il quale sono state aperte solo verso di lui le porte sul modem 22 e 8001.
-n°2 smartphone connessi via wifi del modem, con ip dinamici
-n°1 portatile connesso via wifi del modem acceso raramente, con ip dinamico

perchè dici che parte dei pc sono in WAN?

la porta 5900 l'avevo aperta nel modem anni fa verso il server per collegarmi da casa tramite appunto vnc, ma settimana scorsa appunto vedendo lo strano traffico l'ho subito chiusa.
userò teamviewer per collegarmi da casa dato che quello non ha bisogno d'aprire porte....

le altre porte aperte (137-138-139 NETBIOS, 445 SMB) mmmm non ne ho idea, non sono aperte nel modem, mentre effettivamente guardando nel firewall sono impostate tramite regole, ma non le ho aperte io, o sono regole di default impostate nel firewall oppure chi me l'ha installato...



domanda.... come faccio ad allegare uno screen dato che si può solo max 24.4kb? limite assurdo per delle foto?? (volevo allegarti lo screen delle regole del firewall....)

Mettere un gateway in modalità bridge è da masochisti; basta una virgola fuori posto in una delle regole di firewall e ti salta per aria tutto. E' un tipo di configurazione che usa prettamente sulle LAN interne per funzioni di controllo particolari.
Quando hai a che fare con la rete pubblica è fortemente consigliata la modalità router che permette un controllo più semplice ed efficace.

Nella colonna source del log identifichi gli IP sorgenti del pacchetto. Ci sono parecchi IP 192.168.1.X con il messaggio (W1 to L) che indicano che il computer e/o altro device è in WAN e sta trasmettendo verso la LAN.

per il discorso W1 to L a parte i vari ip esterni che andavano verso il server tramite porta 5900 che ora ho chiuso e quindi non dovrebbero più essercene
quello più ricorrente è il 192.168.1.254 centralino telefonico (che comunque è in lan tramite lo switch come tutti gli altri pc, quindi non capisco perchè figuri in W1 oltre a non capire perchè punta verso dei pc.....)

quindi che faccio?

oggi ho provato a resettare il firewall ma già di base sono settate le regole sulle porte aperte 137-138-139 NETBIOS, 445 SMB .....

per dire dopo qualche ora ecco il log....

Dopo il reset hai praticamente solo log di traffico droppato.


Per quanto riguarda i log di tipo attack sono sempre verso lo stesso IP 207.46.194.14, che risulta essere il sito msn.com

Utilizzate per caso mail di outlook/live/hotmail? O semplicemente utilizzate msn.com come homepage?

ciao,
no, nessuna mail outlook/live/hotmail e nemmeno homepage diverse da google.it

una cosa osservavo... tutte le connessioni dropped dal modem/router alice ai due ip 192.168.1.5 e 192.168.1.7 ..... se vado sul menù lan del modem trovo questa cosa strana... vengono riconosciuti come windows phone mentre sono pc... come mai? c'è qualche correlazione tra log firewall e riconoscimento dal modem alice?

Non so se la cosa possa essere collegata a come il router vede i client.

La porta sul quale il router tenta le connessioni è standard per il protocollo UPnP. Sinceramente non so come mai il router tenti di fare queste connessioni verso dei client, mi aspetterei il contrario. Riusciresti a dirci il modello del router?

Inoltre, dato che non utilizzate il sito msn, direi di fare una scansione sugli host 192.168.1.3 e 192.168.1.4, magari utilizzando la versione di prova di Malwarebytes Anti-malware.

Prima di fare la scansione, apri il prompt dei comandi e salva l'output del comando netstat -anb, così proviamo a vedere se c'è qualche connessione sospetta.

Non so se la cosa possa essere collegata a come il router vede i client.

La porta sul quale il router tenta le connessioni è standard per il protocollo UPnP. Sinceramente non so come mai il router tenti di fare queste connessioni verso dei client, mi aspetterei il contrario. Riusciresti a dirci il modello del router?

Inoltre, dato che non utilizzate il sito msn, direi di fare una scansione sugli host 192.168.1.3 e 192.168.1.4, magari utilizzando la versione di prova di Malwarebytes Anti-malware.

Prima di fare la scansione, apri il prompt dei comandi e salva l'output del comando netstat -anb, così proviamo a vedere se c'è qualche connessione sospetta.

Malwarebytes Anti-malware è proprio uno tra i vari programmi che ho passato in tutti i pc della ditta e zero infezioni..
comunque domani riprovo e prima come dici tu salvo l'output da te richiesto.

comunque facendo 4 chiacchiere con conoscenti un pò più esperti di me in questo campo mi hanno detto che non sempre se si viene listati nelle blacklist si hanno i pc infettati, spesso e volentieri viene usato il proprio indirizzo IP a propria insaputa per spammare da chissà quale parte del mondo e poi ci rimettono gli ignari utenti... mi hanno consigliato di richiedere il reverse dns sull'IP....

sta di fatto che comunque voglio venirne a capo anche di sti comportamenti strani del log del firewall....

Buongiorno,
ecco qua in allegato quanto richiesto, stamp del netstat -anb su 192.168.1.3 e 192.168.1.4 più dettagli modem alice.

una cosa molto strana è che dopo aver eliminato sul modem alice la regola d'apertura porta 5900 verso il server, per caso dando un'occhiata oggi me la sono ritrovata aperta...
com'è possibile??? :mbe: :mbe:

altra domanda... dato che effettivamente in certi pc della ditta la connessione internet non mi serve se non per farci gli aggiornamenti ogni tanto... tramite modem alice oppure zywall5 è possibile escludergli la connessione internet pur mantenendo tutte le altre connessioni della lan? se si come?
così a mali estremi estremi rimedi....

Premettendo che non sono così esperto come i tuoi conoscenti, per quanto riguarda un'eventuale infezione dei tuoi PC ti conviene chiedere nella sezione apposita qui su hwupgrade. Dagli output che hai allegato non si nota nulla di strano

Sul router Telecom prova a controllare che non sia accessibile da WAN (a meno che non ti serva) e chiaramente se hai ancora la pwd di default modificala.

Potresti effettivamente bloccare il traffico verso internet, ma prima a mio avviso dovresti rivedere un po' la struttura della rete, ponendo come gateway lo ZyWall, in modo da avere la gestione delle policy di sicurezza su un unico apparato.

mmmm le password d'accesso al router tramite wifi e lan le ho cambiate qualche settimana fa, dopo che è iniziato tutto sto casino.
accessibile da wan intendi da remoto come fa telecom?
se lo fa telecom può farlo anche qualcun'altro con "mani esperte"?

per rivedere la struttura della lan... mi chiamo uno di mestiere oppure non è così difficile e quindi se tu mi spieghi io apprendo e applico?

mmmm le password d'accesso al router tramite wifi e lan le ho cambiate qualche settimana fa, dopo che è iniziato tutto sto casino.
accessibile da wan intendi da remoto come fa telecom?
se lo fa telecom può farlo anche qualcun'altro con "mani esperte"?

per rivedere la struttura della lan... mi chiamo uno di mestiere oppure non è così difficile e quindi se tu mi spieghi io apprendo e applico?

Accessibile da WAN intendo che l'interfaccia web di gestione è accessibile anche da internet. A me è capitato su un modem ADSL di Infostrada che qualcuno ha cambiato i DNS impostandoli statici, con il risultato che tutte le pagine venivano redirette in altre con un sacco di pubblicità.

Ora non so quanto tu sia esperto o comunque abile con il networking, la soluzione più veloce sarebbe quella di impostare il firewall come gateway e collegarlo in cascata al modem, configurato così com'è. In questo modo lo Zyxel avrebbe sulla WAN un IP privato della classe 192.168.1.x e sulla sua LAN dovresti impostare un indirizzamento diverso. Chiaramente non dovresti più utilizzare il WiFi del modem. Con questo configurazione dovresti impostare sul modem che l'IP wan del firewall sia in DMZ, in modo che venga girato tutto il traffico in ingresso ad esso.


Per una cosa più pulita invece, si dovrebbe impostare il Modem ADSL in modalità Bridge, in modo che la connessione PPPoE sia effettuata dal Firewall e dunque l'IP pubblico sia acquisito dal Firewall. In questo modo la gestione diventa molto più semplice a mio avviso, perchè puoi tranquillamente dimenticarti del modem e gestiresti tutto dallo Zyxel. Chiaramente il WiFi del modem sarebbe inutilizzabile.