Originariamente inviato da axxaxxa3
Riuniamoci da qualche parte e poi fiondiamoci tutti insieme negli uffici telecom per distruggere gli uffici..!!:D ;)
ma no, non si fa così.....
dalle mie parti gli uffici sono al centro Direzionale di Napoli, basta un Boeing :D

Sarò stupido, però ho modificato un pò le impostazioni del sygate (bloccando tutto quello che windows voleva far uscire) e non mi segnala più gli attacci a svchost.exe?
Sarò stupido...

Originariamente inviato da mr.patata
Sarò stupido, però ho modificato un pò le impostazioni del sygate (bloccando tutto quello che windows voleva far uscire) e non mi segnala più gli attacci a svchost.exe?
Sarò stupido...

:confused: :D

Originariamente inviato da mr.patata
Sarò stupido, però ho modificato un pò le impostazioni del sygate (bloccando tutto quello che windows voleva far uscire) e non mi segnala più gli attacci a svchost.exe?
Sarò stupido...

Quella è la prima cosa che ho fatto:sofico:

Originariamente inviato da JENA PLISSKEN
Quella è la prima cosa che ho fatto:sofico:

Idem ;) :)

Originariamente inviato da axxaxxa3
Idem ;) :)

Cmq gli attacchi continuano...soprattutto quando sono in P2P:rolleyes:

Originariamente inviato da JENA PLISSKEN
Cmq gli attacchi continuano...soprattutto quando sono in P2P:rolleyes:

Anche a me purtroppo.....uff :muro:

Vabbè... io non l'ho fatto subito perchè avevo paura non mi facesse più navigare... :tapiro:

Comunque, la marea di attacchi che avevo in precedenza si è drasticamente ridotta; dalle 21 ho avuto SOLO 5 portscan...

:oink:



P.S.

Senza p2p...

Diciamo...che quasi esclusivamente quando sono in P2P...uhmmmmmmmmm:uh:

Originariamente inviato da JENA PLISSKEN
Diciamo...che quasi esclusivamente quando sono in P2P...uhmmmmmmmmm:uh:

Io non lo so usare P2P :( :cry:

Originariamente inviato da axxaxxa3
Io non lo so usare P2P :( :cry:

E che ci vuole...ti scarichi Kazaalite (se lo trovi) o Overnet , imposti la banda e...FFFfatto...scariachi quel che ti pare:D

Originariamente inviato da JENA PLISSKEN
E che ci vuole...ti scarichi Kazaalite (se lo trovi) o Overnet , imposti la banda e...FFFfatto...scariachi quel che ti pare:D


Io ho provato con emule....ma nulla...sono negato...:(

Originariamente inviato da axxaxxa3
Io ho provato con emule....ma nulla...sono negato...:(

Giustamente..proprio dal + complicato dovevi iniziare?? Vai con Kazaa ""Lite"" x iniziare;)

Originariamente inviato da mr.patata
Sarò stupido, però ho modificato un pò le impostazioni del sygate (bloccando tutto quello che windows voleva far uscire) e non mi segnala più gli attacci a svchost.exe?
Sarò stupido...
quali sarebbero queste impost???

Originariamente inviato da red_ka.it
quali sarebbero queste impost???
APPLICATIONS
In pratica ha bloccato tutte le applicazioni nella cartella:asd: :asd: :asd:

mmmm questa è paranoia xò:D , alla fine non cambia nulla o sbaglio? cmq quelle applicazioni ti avrebbero chiesto il permesso e mettiamo che uno bypassa il fw cmq non servono in quel caso + a nulla,
cmq sia ritorniamo tutti al piccione viaggiatore x comunicare, tanto ormai di sto passo la privacy è un optional che costa un bel pò :mad:

Originariamente inviato da red_ka.it
cmq sia ritorniamo tutti al piccione viaggiatore x comunicare, tanto ormai di sto passo la privacy è un optional che costa un bel pò :mad:


E se intercettano il piccione?

beh allora domani vado da "animal discount" e mi compro un falco :D

Appena connesso..me ne hanno fatti 4:confused: :confused:

Originariamente inviato da JENA PLISSKEN
Appena connesso..me ne hanno fatti 4:confused: :confused:


ho alice adsl flat e in quest momento mamma telecom sta dando il meglio di sè...25 port scan in 30 minuti!!! :muro: :rolleyes:

Io dalle 14:25 non ne ricevo alcuno...


sarà perchè ho cambiato le impostazioni del firewall?

Originariamente inviato da mr.patata
Io dalle 14:25 non ne ricevo alcuno...


sarà perchè ho cambiato le impostazioni del firewall?

quale fw usi? e quali impostazioni hai cambiato in particolare?

Originariamente inviato da sambapati
ho alice adsl flat e in quest momento mamma telecom sta dando il meglio di sè...25 port scan in 30 minuti!!! :muro: :rolleyes:

AZZ...un po' troppi:muro:

Originariamente inviato da JENA PLISSKEN
AZZ...un po' troppi:muro:


premesso che queste scansioni sono "normali" :D :(
la domanda è: il provider che ti fornisce la connessione ti può
fare un numero infinito di port scan ogni volta che ti connetti?
quando si configura in questi termini l'abuso?

Originariamente inviato da sambapati
quale fw usi? e quali impostazioni hai cambiato in particolare?


Come ho scritto in precedenza, ho impedito a tutte le applicazioni di WinXp di uscire sulla rete. Ora ricevo solo qualche portscan ogni tanto, ma è comprensibile: può essere qualche cretino o qualche pc infetto.


Per chi ha il Sygate, impostate alla voce "automatically block attackers IP for .... seconds" il numero più alto, ossia 999999 (se non l'avete già fatto)

:oink:

Originariamente inviato da mr.patata
Come ho scritto in precedenza, ho impedito a tutte le applicazioni di WinXp di uscire sulla rete. Ora ricevo solo qualche portscan ogni tanto, ma è comprensibile: può essere qualche cretino o qualche pc infetto.


Per chi ha il Sygate, impostate alla voce "automatically block attackers IP for .... seconds" il numero più alto, ossia 999999 (se non l'avete già fatto)

:oink:


ho la versione free del sygate...quella opzione non è attiva...
:cry:

ma grazie della dritta, cmq :)

Originariamente inviato da mr.patata
Per chi ha il Sygate, impostate alla voce "automatically block attackers IP for .... seconds" il numero più alto, ossia 999999 (se non l'avete già fatto)
saprai di certo che gli ip sono dinamici nella maggior parte dei casi e tutti i portscan non mi è mai capitato di riceverli dallo stesso ip quindi......???? serve a qualcosa mi chiedo?!? :D

Originariamente inviato da red_ka.it
saprai di certo che gli ip sono dinamici nella maggior parte dei casi e tutti i portscan non mi è mai capitato di riceverli dallo stesso ip quindi......???? serve a qualcosa mi chiedo?!? :D


azz...allora bisogna subirne (così) tanti e basta!? :cry:

Originariamente inviato da red_ka.it
saprai di certo che gli ip sono dinamici nella maggior parte dei casi e tutti i portscan non mi è mai capitato di riceverli dallo stesso ip quindi......???? serve a qualcosa mi chiedo?!? :D


Almeno chi fa i portscan è costretto a cambiare IP. Vediamo chi si stanca prima...

Originariamente inviato da mr.patata
Almeno chi fa i portscan è costretto a cambiare IP. Vediamo chi si stanca prima...
guarda che chi ti fa i portscan lo cambia già x se l'ip ma se ti rende + tranquillo .... :D

E' solo per rendergli la vita più difficile. A me no costa nulla, poi se lui ha tempo da perdere...

con 770 attacchi in 1 ora ( di cui la stragrande maggioranza da Telecom), credo di poter entrare a pieno titolo nel club..

:eek:

Originariamente inviato da svl2
con 770 attacchi in 1 ora ( di cui la stragrande maggioranza da Telecom), credo di poter entrare a pieno titolo nel club..

:eek:

Certo...ne hai diritto...sarai membro onorario ;)

ti sembrano tanti 770 in un ora?

allora vai a vedere nel mio registro cosa è successo alle 16.43..!
http://web.rossoalice.it/svl444/log.rar

Comunque oggi è una giornata al top.
Vedo scansioni di porta ogni 5/10 minuti massimo.

A me 12 in due ore
:)

beati voi.. mi merito un :tapiro:

Originariamente inviato da svl2
beati voi.. mi merito un :tapiro:

Ne meriti due...:tapiro: :tapiro:

mi serve un esorcismo! :eek:

tra le 18.58 e le 18.59 ho avuto un altro record di attacchi!
quanti? non so a circa 150 mi son scocciato di continuare a contarli!

http://web.rossoalice.it/svl444/REGISTRO.rar

Originariamente inviato da svl2
mi serve un esorcismo! :eek:

tra le 18.58 e le 18.59 ho avuto un altro record di attacchi!
quanti? non so a circa 150 mi son scocciato di continuare a contarli!

http://web.rossoalice.it/svl444/REGISTRO.rar


Siamo a tre tapiri :tapiro: :tapiro: :tapiro: :asd:

..ok al quarto tapiro ho il bonus per l' esorcismo!

http://web.rossoalice.it/svl444/exorcism.jpg

meno male che photoshop ancora mi funziona:D

Originariamente inviato da svl2
..ok al quarto tapiro ho il bonus per l' esorcismo!

http://web.rossoalice.it/svl444/exorcism.jpg

meno male che photoshop ancora mi funziona:D

Eccoti il 4° tapiro :tapiro: :tapiro: :tapiro: :tapiro:

X caso qualcuno di voi ha avuto gli stessi attacchi nonstante non faccia uso di p2p? Perchè se almeno 3-4 di noi subiscono questi attacchi e non usano p2p direi che si tratta di attacchi non legati allo scambio di files...
Ciao!
Sifr

Originariamente inviato da Sifr
X caso qualcuno di voi ha avuto gli stessi attacchi nonstante non faccia uso di p2p? Perchè se almeno 3-4 di noi subiscono questi attacchi e non usano p2p direi che si tratta di attacchi non legati allo scambio di files...
Ciao!
Sifr

Io non uso p2p e ricevo costantemente attacchi!!
:(

E se provassimo a chiamare qualche esperto in sicurezza informatica? Qualcuno che faccia di lavoro il consulente per le varie aziende.. Magari ci saprebbe spiegare qualcosa...
Ciao!
Sifr

EDIT:
ps.: E' quindi escluso che si tratti di attacchi contro il p2p? Dovrebbero essere quindi gli attacchi dei vari computer degli italiani con ADSL che si sono bekkati netsky e tutti gli altri worm?

Originariamente inviato da Sifr
E se provassimo a chiamare qualche esperto in sicurezza informatica? Qualcuno che faccia di lavoro il consulente per le varie aziende.. Magari ci saprebbe spiegare qualcosa...
Ciao!
Sifr

Non credo si scomoderebbe per noi!!:D ;)

Non rispondono alle email...
Non rispondono al telefono..

E se qualcuno di noi che abita vicino alla sede ufficiale andasse lì a parlargli di persona e a PRETENDERE spiegazioni?

Per caso siti tipo symantec o microsoft offrono gratuitamente un aiuto per cose di questo tipo?

Originariamente inviato da Sifr
Non rispondono alle email
Non rispondo al telefono

E

Infatti...il più completo menefreghismo...:(

Io non appiccio Overnet o WinMX da un sacco di tempo. Sta cosa dell'esperto in sicurezza però mi sembra una buona proposta. Vedo se riesco a rintracciare quello che conosco e vi dico cosa mi dice, se mi dice qualcosa...

:oink:

Originariamente inviato da mr.patata
Io non appiccio Overnet o WinMX da un sacco di tempo. Sta cosa dell'esperto in sicurezza però mi sembra una buona proposta. Vedo se riesco a rintracciare quello che conosco e vi dico cosa mi dice, se mi dice qualcosa...

:oink:


sì, tienici informati...

io non uso p2p da molto tempo e comunque non dall' ultima formattazzione

una cosa a mio avviso strana:

ad ogni attacco il modem prima riceve deimpacchetti e poi ne invia subito dopo...che li riceva ci sto'ma perche invia..e soprattutto cosa invia??

ps. appena acceso stamattina...e giu con gli attacchi!

E non c'è un modo per "emulare" questi attacchi, magari con 2 pc connessi in LAN? Intendo dire, si "installa" il worm su un computer e poi si vede se partono gli attacchi ai computer connessi tramite LAN al computer infetto...
Ciao!
Sifr

Voglio entrare anch'io nel club!!!
Sto cominciando a subire portscan da tutte le parti!!

Io da stamattina... niente!

:eek:

Poche ore fa ho mandato una mail a Telecom spiegando i fatti e chiedendo delucidazioni..mi hanno risposto dicendomi che avevo un numero insolitamente alto di intrusioni e mi chiedevano se avevo programmi particolari che potessero determinare cio...

gli ho risposto che non avevo nulla di sospetto mandandogli anche uno screenshot dei miei processi attivi.

Ho inoltre segnalato che c'erano tanti altri utenti col mio stesso problema segnalando questo tread.

Vi terro informati..

ciao

Bene, facci sapere...

ho appena ricevuto la risposta da Telecom...(che ringrazio per la celerita')

vi posto il testo integrale:


Salve,

abbiamo dato una scorsa ai messaggi presenti su quel forum e abbiamo notato
molta confusione. La maggior parte di quelle persone e' convinta che le
scansioni vengano effettuate da dipendenti Telecom, nulla di piu' sbagliato.
Gli indirizzi IP da cui partono le scansioni fanno parte di pool riservati e
assegnati ai clienti adsl o a dial-up analogici.
A parte questo stiamo cercando di capire se i tentativi di intrusione
possano essere ricondotti ad una sola causa, escludendo le scansioni fatte
su porte "canoniche" come 80, 135, 445 (causate solitamente dall'azione dei
virus). La informeremo quando avremo maggiori dettagli.

Cordiali saluti


ciao

Finalmente controllano.

Comunque oggi ho ricevuto solo uno portscan. Ci posso stare...


:oink:

Mi sono arrivati, stando a ciò che dice sygate, 7 portscan da 3 IP diversi;

4 da un 82.xx.101 etc...

2 portscan da un 207.33 etc...

1 da 82.xx.110 etc..

Dove xx si tratta di 2 cifre uguali che ho tolto per questioni di privacy (ho anche omesso le ultime cifre dell'IP).

Ho fatto il Whois, ed era la telecom a fare i portscan per gli IP che iniziavano con 82, un certi VERIO inc. per gli IP 207.

Questo VERIO inc. sembrerebbe una qualche società di Englewood (US). Sempre dal Whois mi è uscito:

Address: 8005 South Chester Street
Address: Suite 200

Ah, sygate mi da, dopo avergli chiesto il backtrace, una certa Trace Route con dei vari indirizzi IP... Cosa è?

Ciao!
Sifr

Altri 3 portscan, IP che iniziano con 82 ma leggermente diversi dagli altri.. Ne ho preso 1 a caso, ho fatto il portscan, altra volta mi è apparso telecom

ho gia mandato alla Telecom il risultato di Whois su uno degli ip bloccati dal mio firewall ( per altro uguale a quello presente in prima pagina)....dato che la Telecom risponde che :

"Gli indirizzi IP da cui partono le scansioni fanno parte di pool riservati e
assegnati ai clienti adsl o a dial-up analogici."

immagino che siamo noi ad aver interptretato male i risultati della ricerca ...

Scusa, non ho capito molto bene...
Cosa sono i pool?
In termini più semplici, cosa hanno detto?
Di quale ricerca parli?
Ciao!
Sifr

Originariamente inviato da svl2
ho gia mandato alla Telecom il risultato di Whois su uno degli ip bloccati dal mio firewall ( per altro uguale a quello presente in prima pagina)....dato che la Telecom risponde che :

"Gli indirizzi IP da cui partono le scansioni fanno parte di pool riservati e
assegnati ai clienti adsl o a dial-up analogici."

immagino che siamo noi ad aver interptretato male i risultati della ricerca ...

Scusa? :mbe:
Gli IP che abbiamo rilevato appartengono a computer collegati con l'ADSL e loro semplicemente ti dicono che gli indirizzi appartengolo a pool riservati ai clienti adsl... cosa c'è di strano?

(i pool... sono semplicemente intervalli di indirizzi)

volevo dire che se fai il "WHOIS" di un ip che ti ha bloccato il firewall la max parte delle volte esce un indirizzo TELECOM ( vedi post di apertura di questo tread).

Da perfetto ignorante in materia ho pensato che quindi l' attacco venisse dalla Telecom , se ora invece la Telecom afferma che non vengono da loro ma da utenti privati , dovremmo crederci ( a meno che qualcuno qui sul forum preparato in materia non abbia le conoscenze adeguate per smentire)


WHOIS:
http://www.ripe.net/db/whois/whois.html

Originariamente inviato da svl2
volevo dire che se fai il "WHOIS" di un ip che ti ha bloccato il firewall la max parte delle volte esce un indirizzo TELECOM ( vedi post di apertura di questo tread).

Da perfetto ignorante in materia ho pensato che quindi l' attacco venisse dalla Telecom , se ora invece la Telecom afferma che non vengono da loro ma da utenti privati , dovremmo crederci ( a meno che qualcuno qui sul forum preparato in materia non abbia le conoscenze adeguate per smentire)


WHOIS:
http://www.ripe.net/db/whois/whois.html

Non vorrei aver creato io confusione all'inizio... quando intendevo "ip della telecom" volevo solo dire che erano IP che appartenevano agli intervalli assegnati alla telecom... ;)

potresti spigarmi meglio?

quando sul WHOIS compare TELECOM significa semplicemente che l' utente che mi sta attaccando utilizza come provider la Telecom e nulla piu?

Quindi la ricerca a cui ti riferivi era la ricerca degli indirizzi IP? Se è davvero come dice la telecom, allora, si tratta veramente di worm che cercano di infiltrarsi in altri sistemi, sfruttando i computer infettati che fanno i portscan, giusto?
Sfortunatamente non ne so niente sulla sicurezza informatica, quindi chiedo scusa se molte delle mie domande sono stupide.
Ciao! :)
Sifr

Originariamente inviato da svl2
potresti spigarmi meglio?

quando sul WHOIS compare TELECOM significa semplicemente che l' utente che mi sta attaccando utilizza come provider la Telecom e nulla piu?

Ma è ovvio :eek:
Scusa la meraviglia ma dopo 12 pagine di discussione saltano fuori questi dubbi amletici? :D
Sì certo, se tu fai il whois sul tuo IP salterà fuori che è registrato dal tuo provider...
Ma tu pensavi che uscisse il tuo nome e cognome? :wtf:

Originariamente inviato da Sifr
Quindi la ricerca a cui ti riferivi era la ricerca degli indirizzi IP? Se è davvero come dice la telecom, allora, si tratta veramente di worm che cercano di infiltrarsi in altri sistemi, sfruttando i computer infettati che fanno i portscan, giusto?
Sfortunatamente non ne so niente sulla sicurezza informatica, quindi chiedo scusa se molte delle mie domande sono stupide.
Ciao! :)
Sifr

se tutti i post scan che ricevo derivano da altri pc infetti...allora di pc infetti ce ne sono una quantita abnorme!
ricevo non so quanti attacchi al minuto , suppergiu come ieri quando in un ora ne ho ricevuti 770 !

Originariamente inviato da svl2
se tutti i post scan che ricevo derivano da altri pc infetti...allora di pc infetti ce ne sono una quantita abnorme!
ricevo non so quanti attacchi al minuto , suppergiu come ieri quando in un ora ne ho ricevuti 770 !

Se pensi che ogni giorno mi arrivano quattro o cinque email con NetSky... :rolleyes: Però erano cose che erano state tutte dette lungo il thread, eh...

Il thread l'ho letto quasi tutto, solo che dopo un po' di pagine, fra la stanchezza e la completa ignoranza sull'argomento potrebbe essermi sfuggito qualcosa.. :rolleyes:
Cmq a questo punto mistero risolto... I worm ci vogliono attaccare... E se ne andassero pure affan(____|____)
Ciao!
Sifr


PS.: Carino lo smile del.. ehm... di dietro, vero? :)
(___|___)

infatti non me lo sono letto tutto il tread ..un anima pia mi aveva fatto un riassuntino:D

comunque visto ed appurato che Telecom non centra nulla..a sto punto che io sappia non c'è proprio nulla da fare se non difendersi con firewall e quant' altro..che tristezza ,non mi era mai capitata una cosa del genere..

ps. non so se è stato gia detto ..perche quando ricevo un attacco non solo il mio pc scarica dati da quell' ip ma ( soprattutto) perche gli invia altri dati come risposta invece di ignorarlo completamente quell' indirizzo ip? è normale?

Originariamente inviato da svl2
infatti non me lo sono letto tutto il tread ..un anima pia mi aveva fatto un riassuntino:D

comunque visto ed appurato che Telecom non centra nulla..a sto punto che io sappia non c'è proprio nulla da fare se non difendersi con firewall e quant' altro..che tristezza ,non mi era mai capitata una cosa del genere..


Eh a quanto pare no...
Certo che beccarsi un worm nel 90% dei casi vuol dire che l'utente non ha idea di cosa sia un computer... :rolleyes:


ps. non so se è stato gia detto ..


Ci pariamo le chiappe, eh, questa volta? :D :D :D


perche quando ricevo un attacco non solo il mio pc scarica dati da quell' ip ma ( soprattutto) perche gli invia altri dati come risposta invece di ignorarlo completamente quell' indirizzo ip? è normale?

In che senso?
Beh, per ricevere dovrà farlo per forza, perchè altrimenti come si accorge che lo stanno attaccando? ;)
Per inviare... non è detto che invii, il firewall può bloccare. Oppure se ti viene fatto, che so, un ping è normale che risponda, l'importante è che non entrino nelle mutande ;)

Originariamente inviato da gpc

Certo che beccarsi un worm nel 90% dei casi vuol dire che l'utente non ha idea di cosa sia un computer... :rolleyes:



..ovverosia la stragrande maggiornanza degli utenti pc..

ricordo ancora il titolare di un negozio che all acquisto di una confezione cd mi disse:

" ..e mi raccomando , quando metti il cd nel lettore lavati prima bene le mani senno rischi di prendere un virus nel computer..."

e un altro sempre a proposito di virus..

" ..quante ventole hai nel tuo case..mi raccomando appena arriva l' inverno spegnine alcuune senno il pc puo prendersi un virus.."



non sto mica scherzando..
:D


e se questi sono i preziosi consigli di 2 rivenditori di computer non oso immaginare l' utente medio ....

:p

Mentre facevo 2 passi mi sono venute in mente un paio di cose:

1)Perchè mi stanno arrivando portscan anche da indirizzi non telecom (vedi il mio post sopra in cui parlavo di un certo VERIO Inc di Englewood)?

2)Perchè gli attacchi a Pasqua si sono fermati?

Ciao!
Sifr

le risposte erano state date...

ma se ogni volta qualcuno aggiunge un "anche a me" si perdono nel mucchio...

cmq la telecom ve lo ha detto che state prendendo un granchio colossale quindi stop...

Originariamente inviato da Sifr
Mentre facevo 2 passi mi sono venute in mente un paio di cose:

1)Perchè mi stanno arrivando portscan anche da indirizzi non telecom (vedi il mio post sopra in cui parlavo di un certo VERIO Inc di Englewood)?

2)Perchè gli attacchi a Pasqua si sono fermati?

Ciao!
Sifr

1) perchè i virus sono in tutto il mondo
2) perchè i virus sono sui pc di utenti che evidentemente erano in vacanza. non tutti passano le feste sul forum controllando i portscan :D (comunque anche questo era già stato spiegato)

Proposta: perchè uno dei moderatori non fa un riassunto del 3D e mette su un bell'annuncio con tutte le spiegazioni?

Scusate non avevo letto :cry: :cry: :muro: :muro: :(

La proposta della guida non vi piace?:confused:

Originariamente inviato da mr.patata
La proposta della guida non vi piace?:confused:


a me me piace! :D :)

E allora che si fa? Che dicono i moderatori?

contattali e vedi che dicono..

Originariamente inviato da mr.patata
E allora che si fa? Che dicono i moderatori?

Allora scusa, se vuoi fare un riassunto lo scrivi, lo si mette qui e io edito il primo messaggio dicendo di leggere l'ultimo e poi chiediamo di chiudere ;)
Più facile che chiedere ad un mod... :)

infatti :) intanto fate il riassunto, poi valuto se è valido e lo metto in rilievo :)

Allora, qualcuno che è esperto può fare un bel riassunto?
Io non credo di essere in grado di farne uno preciso e completo...

:oink:

A febbraio ho seguito un corso Microsoft sulla sicurezza e nonostante sapevo praticamente quasi tutto, l'aspetto più interessante è venuto dagli aspetti legali.

IL PORTSCAN NON è ILLEGALE perchè non invasivo, è come passare davanti ad una porta aperta e vedere che è aperta, ma non entarci.

Sono illegali tutte le tecniche invasive, quindi se ad esempio noi utilizziamo un tool tipo SUPER SCAN non è illegale, Se utilizziamo SHADOW SECURITY SCANNER, lo è perchè cerchiamo di carpire informazioni, ad esempio gli utenti con password etc.

Quindi se vengono effettuati semplici portscan non si può far nulla.

raga ho notato una strana storia, un ip che mi aveva già fatto uno scan me ne ha fatto un altro proprio pochi minuti fa, un ip statico o è possibile che vengano assegnati gli stessi ip in giorni diversi?

Può essere un IP statico, tuttavia, un IP può essere anche riassegnato (sono sicuro al 99.9%) e soprattutto, l'utente potrebbe non aver spento il computer, quindi, anche se ha un Ip dinamico, l'IP non gli è cambiato in quanto non si è mai disconnesso finora.. ;)
Ciao!
Sifr

C'è qualcuno invece che sa che cos'è che fa lo scan dalla porta 1 alla porta 100 in sequenza e sulle porte UDP?

In che senso? Se fa lo scan dalla 1 alla 100 anche sulle UDP, non dovrebbe fare la scansione delle porte dalla 1 alla 100 comprese UDP? Oppure intendevi qual è il programma che fa questo scan?
Ciao!
Sifr

Originariamente inviato da Sifr
In che senso? Se fa lo scan dalla 1 alla 100 anche sulle UDP, non dovrebbe fare la scansione delle porte dalla 1 alla 100 comprese UDP? Oppure intendevi qual è il programma che fa questo scan?
Ciao!
Sifr

No no, sono due cose diverse...
Volevo sapere se c'era qualche virus conosciuto che faceva questo scan, per pura curiosità...
Un IP americano da qualche giorno, sempre quello, mi fa degli scan su 5 porte UDP (adesso non ho qui il log, è sull'altro pc...), mentre da altri italiani mi arrivano 'ste benedette scansioni delle porte TCP...

il problema è che sono passati giorni dallo scan con lo stesso ip anche se oggi mi ha rotto già 2-3 volte,
che siano virus etc magari posso pure starci ma non vi sembra strano st'aumento eagerato di tentativi di scansione? :confused:

Ma LOL:D :cry: Ho Alice....com'è che si mette a farmi lo scanning anche Tiscali?

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 82.84.0.0 - 82.84.255.255
netname: TISCALINET
descr: Tiscali SpA
descr: PROVIDER
country: IT
admin-c: RC524-RIPE
admin-c: FP1849-RIPE
admin-c: PC2538-RIPE
tech-c: TI335-RIPE
rev-srv: ns.tiscalinet.it
rev-srv: sns.tiscali.it
status: ASSIGNED PA
mnt-by: AS8612-MNT
mnt-lower: AS8612-MNT
mnt-routes: AS8612-MNT
remarks: ADSL dial-up customers (dynamic assignement)
changed: pau@it.tiscali.com 20030603
changed: pau@it.tiscali.com 20031209
source: RIPE

route: 82.84.0.0/15
descr: Tiscali SpA
origin: AS8612
mnt-by: AS8612-MNT
changed: pau@it.tiscali.com 20030603
source: RIPE

role: Tiscali IT
address: Tiscali S.p.A.
address: Via Dolcetta 16
address: 09122 - Cagliari
address: Italy
phone: +39 070 46011
fax-no: +39 070 4601400
e-mail: netadmin@it.tiscali.com
remarks: +------------------------------------------------------+
remarks: | |
remarks: | PLEASE CONTACT OUR ABUSE DIVISION (abuse@tiscali.it) |
remarks: | FOR ABUSE and-or SPAM COMPLAINTS. |
remarks: | |
remarks: | Please notice all complaints regarding abuse which |
remarks: | are sent to other email addresses WILL BE IGNORED! |
remarks: | |
remarks: +------------------------------------------------------+
admin-c: RC524-RIPE
tech-c: RC524-RIPE
tech-c: FB2233-RIPE
tech-c: FP1849-RIPE
nic-hdl: TI335-RIPE
remarks: hostmaster role account
notify: netadmin@it.tiscali.com
mnt-by: AS8612-MNT
changed: rcardella@it.tiscali.com 20010821
changed: rcardella@it.tiscali.com 20020226
changed: rcardella@it.tiscali.com 20020926
changed: pau@it.tiscali.com 20021007
source: RIPE

person: Ruben Cardella
address: Tiscali SpA
address: SS. 195 Km. 2,300
address: 09122 Cagliari
address: Sardinia - Italy
remarks: Network Engineer
phone: +39 070 46011
fax-no: +39 070 4609328
e-mail: rcardella@it.tiscali.com
nic-hdl: RC524-RIPE
changed: fboi@it.tiscali.com 20010808
changed: pau@it.tiscali.com 20030515
changed: pau@it.tiscali.com 20031209
source: RIPE

person: Francesco Pau
address: Tiscali SpA
address: SS. 195 Km. 2,300
address: 09122 Cagliari
address: Sardinia - Italy
remarks: Network Engineer
phone: +39 070 46011
fax-no: +39 070 4609251
e-mail: pau@it.tiscali.com
nic-hdl: FP1849-RIPE
changed: pau@tiscali.it 20010116
changed: rcardella@it.tiscali.com 20010821
changed: rcardella@it.tiscali.com 20010829
changed: pau@it.tiscali.com 20011219
changed: pau@it.tiscali.com 20030515
changed: pau@it.tiscali.com 20031209
source: RIPE

person: Paolo Caocci
address: Tiscali SpA
address: SS. 195 Km. 2,300
address: 09122 Cagliari
address: Sardinia - Italy
remarks: Tech-C
phone: +39 070 46011
fax-no: +39 070 4609115
e-mail: pcaocci@it.tiscali.com
nic-hdl: PC2538-RIPE
changed: pau@it.tiscali.com 20031209
source: RIPE

A me i portscan me li fa una società Americana di Englewood, la VERIO Inc.... LOL :p :p :p :p

I portscan ve li fanno dei computer infettati.


Un bel firewall e passa la paura...

Originariamente inviato da mr.patata
I portscan ve li fanno dei computer infettati.


Un bel firewall e passa la paura...

Io ho il sygate che spesso mi dice che sto subendo dei portscan...una domanda davvero da stupido (scusate):p : ma vuol dire che me li ha bloccati o è solo un'avviso così per sapere???

GRASSIE:D

Vuol dire che li ha bloccati

Originariamente inviato da PinHead
Ma LOL:D :cry: Ho Alice....com'è che si mette a farmi lo scanning anche Tiscali?

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 82.84.0.0 - 82.84.255.255
netname: TISCALINET
descr: Tiscali SpA
descr: PROVIDER
country: IT
admin-c: RC524-RIPE
admin-c: FP1849-RIPE
admin-c: PC2538-RIPE
tech-c: TI335-RIPE
rev-srv: ns.tiscalinet.it
rev-srv: sns.tiscali.it
status: ASSIGNED PA
mnt-by: AS8612-MNT
mnt-lower: AS8612-MNT
mnt-routes: AS8612-MNT
remarks: ADSL dial-up customers (dynamic assignement)
changed: pau@it.tiscali.com 20030603
changed: pau@it.tiscali.com 20031209
source: RIPE

route: 82.84.0.0/15
descr: Tiscali SpA
origin: AS8612
mnt-by: AS8612-MNT
changed: pau@it.tiscali.com 20030603
source: RIPE

role: Tiscali IT
address: Tiscali S.p.A.
address: Via Dolcetta 16
address: 09122 - Cagliari
address: Italy
phone: +39 070 46011
fax-no: +39 070 4601400
e-mail: netadmin@it.tiscali.com
remarks: +------------------------------------------------------+
remarks: | |
remarks: | PLEASE CONTACT OUR ABUSE DIVISION (abuse@tiscali.it) |
remarks: | FOR ABUSE and-or SPAM COMPLAINTS. |
remarks: | |
remarks: | Please notice all complaints regarding abuse which |
remarks: | are sent to other email addresses WILL BE IGNORED! |
remarks: | |
remarks: +------------------------------------------------------+
admin-c: RC524-RIPE
tech-c: RC524-RIPE
tech-c: FB2233-RIPE
tech-c: FP1849-RIPE
nic-hdl: TI335-RIPE
remarks: hostmaster role account
notify: netadmin@it.tiscali.com
mnt-by: AS8612-MNT
changed: rcardella@it.tiscali.com 20010821
changed: rcardella@it.tiscali.com 20020226
changed: rcardella@it.tiscali.com 20020926
changed: pau@it.tiscali.com 20021007
source: RIPE

person: Ruben Cardella
address: Tiscali SpA
address: SS. 195 Km. 2,300
address: 09122 Cagliari
address: Sardinia - Italy
remarks: Network Engineer
phone: +39 070 46011
fax-no: +39 070 4609328
e-mail: rcardella@it.tiscali.com
nic-hdl: RC524-RIPE
changed: fboi@it.tiscali.com 20010808
changed: pau@it.tiscali.com 20030515
changed: pau@it.tiscali.com 20031209
source: RIPE

person: Francesco Pau
address: Tiscali SpA
address: SS. 195 Km. 2,300
address: 09122 Cagliari
address: Sardinia - Italy
remarks: Network Engineer
phone: +39 070 46011
fax-no: +39 070 4609251
e-mail: pau@it.tiscali.com
nic-hdl: FP1849-RIPE
changed: pau@tiscali.it 20010116
changed: rcardella@it.tiscali.com 20010821
changed: rcardella@it.tiscali.com 20010829
changed: pau@it.tiscali.com 20011219
changed: pau@it.tiscali.com 20030515
changed: pau@it.tiscali.com 20031209
source: RIPE

person: Paolo Caocci
address: Tiscali SpA
address: SS. 195 Km. 2,300
address: 09122 Cagliari
address: Sardinia - Italy
remarks: Tech-C
phone: +39 070 46011
fax-no: +39 070 4609115
e-mail: pcaocci@it.tiscali.com
nic-hdl: PC2538-RIPE
changed: pau@it.tiscali.com 20031209
source: RIPE


la stessa identica cosa capita anche a me
:confused: :rolleyes:

Originariamente inviato da sambapati
la stessa identica cosa capita anche a me
:confused: :rolleyes:

Oh ragazzi, ma se è un virus, non è che infetti solo una parte di PC, andiamo...

Originariamente inviato da gpc
80 e 8080 sono porte standard, direi ftp e html, anche se non sono sicuro.
Le altre non le conosco...
Cosa usi per vedere quali porte di controllano?


Queste sono le porte standard:

TCP 20 and 21 (File Transfer Protocol, FTP)
TCP 22 (Secure Shell, SSH)
TCP 23 (Telnet)
TCP 25 (Simple Mail Transfer Protocol, SMTP)
TCP and UDP 53 (Domain Name System, DNS)
UDP 69 (Trivial File Transfer Protocol, tftp)
TCP 79 (finger)
TCP 80 (Hypertext Transfer Protocol, HTTP)
TCP 110 (Post Office Protocol v3, POP3)
TCP 119 (Network News Protocol, NNTP)
UDP 161 and 162 (Simple Network Management Protocol, SNMP)
UDP 443 (Secure Sockets Layer over HTTP, https)



byezzz

Faccio parte anche io del club dei portscan da parte di ip telecom. :muro:
Uso Sygate 5.5 e ho tutte le porte in modalità Stealth e ricevo anche una trentina di portscan in pochi minuti sempre dallo stesso indirizzo ip 80.181etc etc, poi segue un po' di tempo senza nessuna attività, poi riprendono da un ip diverso ma sempre telecom.
Quando apro il log del firewall e scelgo Backtrace, il whois non riesce a identificare l'ip, risponde in questo modo:
Unable to get whois information for this IP address.

Poi faccio il whois dal sito del ripe e risulta questo:

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.181.142.0 - 80.181.191.255
netname: TELECOM-ADSL-2
descr: Telecom Italia S.p.A.
descr: E@sy.ip service
descr: Wholesale service for ISP
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse@telecomitalia.it
notify: net_ti@telecomitalia.it
mnt-by: TIWS-MNT
changed: network@cgi.interbusiness.it 20030807
changed: net_ti@telecomitalia.it 20030807
source: RIPE

route: 80.181.0.0/16
descr: INTERBUSINESS
origin: AS3269
notify: network@cgi.interbusiness.it
mnt-by: TIWS-MNT
mnt-routes: INTERB-MNT
changed: net_ti@telecomitalia.it 20021001
source: RIPE

person: BBBEASYIP STAFF
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff@telecomitalia.it
nic-hdl: BS104-RIPE
notify: ripe-staff@telecomitalia.it
changed: net_ti@telecomitalia.it 20001019
source: RIPE

----------

Ma perchè il firewall non riesce invece ad identificarlo? :confused:

L'unica cosa di cui sono certo è che i portscan non vengono dalla Telecom stessa ma da utenti Telecom molto probabilmente con pc infetti da virus.
Tutto il resto è paranoia

Ma sì, questo l'ho capito, che non è la telecom direttamente, ma utenti. ;)
Mi chiedevo solo perchè Sygate dopo il backtrace non riesce ad effettuare il whois solo di questi ip telecom ma di tutti gli altri sì.

LEGGETE TUTTO IL 3D, LE RISPOSTE SONO LA'!

Guarda, ho letto tutte le 18 pagine, ma il perchè Sygate non riesce a fare il whois degli ip telecom non l'ho trovato, mi scuso se invece c'era scritto e mi è sfuggito.
Non volevo chiedere di nuovo "perchè si ricevono portscan bla bla bla" :)

Originariamente inviato da gpc
Oh ragazzi, ma se è un virus, non è che infetti solo una parte di PC, andiamo...

Sarà, allora i server Telecom sono delle ciofeche visto che dei centinaia di scanning che ho avuto nelle ultime settimane solo questo mi è arrivato da Tiscali....:rolleyes:

io invece che ho infostrada ricevo ogni tanto dei port scan da aruba.... :confused:

Originariamente inviato da PinHead
Sarà, allora i server Telecom sono delle ciofeche visto che dei centinaia di scanning che ho avuto nelle ultime settimane solo questo mi è arrivato da Tiscali....:rolleyes:

Ma chi ha parlato di server?? :confused:
Sono i PC degli utenti! Vuoi mettere la diffusione dell'ADSL telecom con quella Tiscali?
Se poi ,per giuta, si aggiunge l'ipotesi di cui si era discusso all'inizio secondo la quale un virus tentasse di diffondersi a IP simili, ecco spiegato il tutto...

Originariamente inviato da ScreamingFlower
Guarda, ho letto tutte le 18 pagine, ma il perchè Sygate non riesce a fare il whois degli ip telecom non l'ho trovato, mi scuso se invece c'era scritto e mi è sfuggito.
Non volevo chiedere di nuovo "perchè si ricevono portscan bla bla bla" :)

Non lo so, forse hai qualche problema col firewall... da me ha sempre fatto il whois praticamente di tutti gli IP...

Originariamente inviato da gpc
Ma chi ha parlato di server?? :confused:
Sono i PC degli utenti! Vuoi mettere la diffusione dell'ADSL telecom con quella Tiscali?
Se poi ,per giuta, si aggiunge l'ipotesi di cui si era discusso all'inizio secondo la quale un virus tentasse di diffondersi a IP simili, ecco spiegato il tutto...

E poi in questo periodo c'è anche il W32.sasser in giro...:( :( :(

Originariamente inviato da gpc
Non lo so, forse hai qualche problema col firewall... da me ha sempre fatto il whois praticamente di tutti gli IP...
non vorrà mica che esca il nome di chi fa lo scan??? :D
oh raga cmq sti scan sono una noia, ho una flat e quando ho una pagina da leggere chiudo la connessione xkè sti scan mi rompono, proprio non se ne può + :rolleyes:

Originariamente inviato da red_ka.it
non vorrà mica che esca il nome di chi fa lo scan??? :D
oh raga cmq sti scan sono una noia, ho una flat e quando ho una pagina da leggere chiudo la connessione xkè sti scan mi rompono, proprio non se ne può + :rolleyes:

A dire il vero la cosa più fastidiosa è vedere l'icona rossa che lampeggia nel systray :asd: :sofico:

Originariamente inviato da gpc
A dire il vero la cosa più fastidiosa è vedere l'icona rossa che lampeggia nel systray :asd: :sofico:

Già...cmq ultimamente sono diminuite;)

Originariamente inviato da JENA PLISSKEN
Già...cmq ultimamente sono diminuite;)
Diminuite??? Ti connetti di meno forse?!? :D
ps. cmq che cavolo se si tratta di worm la cosa mi fa rabbrividire ancora di +, cioè c'è tutta sta gente che manco s'accorge di avere un pc infetto? anzi a proposito vi dico una cosa che mi è capitata lo scorso mese: un amico di famiglia si fa assemblare un pc da un suo collega, niente da dire... hw ottimo ma attenzione attenzione... con una 56k non gli mette manco l'antivirus xkè dice che xp è così intelligente da riuscire a proteggersi da solo :eek: , non vi dico le mie risate,
morale della storia: ora questo mio amico mi reputa un genio del pc (se solo sapesse :D ), io glielo lascio credere :sofico:
voi che fareste???

Originariamente inviato da gpc
A dire il vero la cosa più fastidiosa è vedere l'icona rossa che lampeggia nel systray :asd: :sofico:

Confermo....anche se, paradossalmente, è rassicurante perchè vuol dire che Siggy va il suo dovere....:D

mah....io ne ricevo 5 nel giro di 5 minuti. Tutti interbusiness e telecom.....ho scritto mail che non hanno trovato risposta. Non c'è un hacker professionista fra di voi?? Io un'idea per farli smettere ce l'avrei.......:D

mah strano io non ricevo uno scan da un sacco di tempo.

Originariamente inviato da red_ka.it
mah strano io non ricevo uno scan da un sacco di tempo.

Quando c'è qualcuno che parte a nastro con i portscan e mi stufo faccio una regola e metto di bloccare tutto il traffico su quell'ip. :D

Originariamente inviato da red_ka.it
mah strano io non ricevo uno scan da un sacco di tempo.

Che c***....solo nell'ultimo minuto cinque....:mad:

E' strano.
Oggi mi sono connesso e per 3 ore non ho avuto nemeno un portscan.
Poi ho spento e riacceso e quindi ho cambiato IP ed ho avuto circa 5/6 scan al minuto fino ad arrivare alla soluzione di scollegarmi dalla linea, attendere 5 minuti e poi riattivarla e da allora, non un IP ancora diverso, non ho più avuto portscan.
Quindi questi scan sembrano dipendere molto dalindirizzo IP.
Ma non capisco il perchè.

Anch'io ricevo 1 sacco di portscan dalla Telecom al giorno, ho provato a chiamare il numero che mi dava Whois di Sygate e mi ha risposto 1 tizio che mi ha detto di essere all'oscuro di tutto:confused:e che la Telezzoz non c'entra niente .Tutto ciò confermerebbe la tesi secondo cui non è la Telecom stessa che tenta di entrare nel mio pc:fuck: ma utenti con i computer infettati che utilizzano il server della Telecom.

Originariamente inviato da J.Lennon
Anch'io ricevo 1 sacco di portscan dalla Telecom al giorno, ho provato a chiamare il numero che mi dava Whois di Sygate e mi ha risposto 1 tizio che mi ha detto di essere all'oscuro di tutto:confused:e che la Telezzoz non c'entra niente .Tutto ciò confermerebbe la tesi secondo cui non è la Telecom stessa che tenta di entrare nel mio pc:fuck: ma utenti con i computer infettati che utilizzano il server della Telecom.

Non stanno usando i server telecom.
Ma sono semplici utenti telecom con i PC infetti da virus/trojan.

Ma ripeto il fatto strano è che molto dipende dall' IP.
Alcune volte non ho nessuna scansione e poi cambiando IP cioè disconnettendosi e riconnentedosi ho decine di portscan.

Originariamente inviato da red_ka.it
mah strano io non ricevo uno scan da un sacco di tempo.
piccolo edit, mi stanno davvero rompendo i ....., mah ma quale virus vive x tanto tempo in tale massiccia entità?
:confused:

Originariamente inviato da red_ka.it
piccolo edit, mi stanno davvero rompendo i ....., mah ma quale virus vive x tanto tempo in tale massiccia entità?
:confused:


Forse i vari milioni di virus/trojan esisenti.
E tieni presente che il 90% degli utenti internet non sà quasi niente di sicurezza, virus e firewall.

Originariamente inviato da red_ka.it
piccolo edit, mi stanno davvero rompendo i ....., mah ma quale virus vive x tanto tempo in tale massiccia entità?
:confused:

Io ho una fila di Netsky in quarantena tutti arrivati con email che non ne hai un'idea...

Originariamente inviato da canapa
Forse i vari milioni di virus/trojan esisenti.
E tieni presente che il 90% degli utenti internet non sà quasi niente di sicurezza, virus e firewall.

Vero... tristemente vero...
La cosa assurda è che spesso anche chi gestisce grosse reti se ne frega di qualunque minima norma di sicurezza...

Originariamente inviato da gpc
Io ho una fila di Netsky in quarantena tutti arrivati con email che non ne hai un'idea...
si ma la maggior parte di quelli che arrivano via mail non scansionano porte x cercare di entrare in un altro sistema, o sbaglio?

Originariamente inviato da red_ka.it
si ma la maggior parte di quelli che arrivano via mail non scansionano porte x cercare di entrare in un altro sistema, o sbaglio?

Boh! :D
Era per dire comunque che di virus in giro ce ne sono un'esagerazione...
Se pensi che perchè si propaghino quelli via email ci dev'essere qualche pistolone che apre l'allegato, figurati che diffusione possono avere quelli che si propagano "in automatico"...