Mentre ero via nessuno mi ha mai fatto nessun portscan, adesso sono collegato da casa da alcune ore e... puf! iniziano i portscan, esattamente come prima che me ne andassi.
Questo qui:

[code]
GeekTools Whois Proxy v5.0.3 Ready.
Checking access for 80.180.19.222... ok.
Final results obtained from whois.ripe.net.
Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.117.0.0 - 80.117.255.255
netname: TINIT-ADSL-LITE
descr: Telecom Italia
descr: Accesso ADSL BBB
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse@telecomitalia.it
notify: ripe-staff@telecomitalia.it
mnt-by: TIWS-MNT
changed: net_ti@telecomitalia.it 20020927
source: RIPE

route: 80.117.0.0/16
descr: INTERBUSINESS
origin: AS3269
notify: network@cgi.interbusiness.it
mnt-by: INTERB-MNT
changed: net_ti@telecomitalia.it 20011210
source: RIPE

person: BBBEASYIP STAFF
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff@telecomitalia.it
nic-hdl: BS104-RIPE
notify: ripe-staff@telecomitalia.it
changed: net_ti@telecomitalia.it 20001019
source: RIPE



Results brought to you by the GeekTools WHOIS Proxy
Server results may be copyrighted and are used with permission.
Your host (80.180.19.222) has visited 1 times today.
[/quote]

è il whois fatto con il firewall... adesso non ricordo se sono sempre gli stessi IP che mi fanno il portscan, ma sono sempre della rete della telecom... che può essere?
Comunque mi sa tanto che domani vada a mettere il firewall anche sui computer dei miei, non mi piace 'sta cosa... :rolleyes:

bhe , ci sono dei momenti in cui il contatore degli allarmi di ZA corre più dei secondi dell'orologio....

.....è un pò che ci lotto.....ho provato a stargli dietro murando tutto....e sistematicamente da interbusiness cambiavano gli indirizzi....insomma una guerra di pazienza :incazzed: . A questo punto mi chiedo se sia legale. Se qualcuno sà qualcosa ci illumini.

spostato in antivirus e sicurezza ;)

Originariamente inviato da Ciaba
.....è un pò che ci lotto.....ho provato a stargli dietro murando tutto....e sistematicamente da interbusiness cambiavano gli indirizzi....insomma una guerra di pazienza :incazzed: . A questo punto mi chiedo se sia legale. Se qualcuno sà qualcosa ci illumini.

A me la cosa che pare molto strana è che capiti solo da IP della telecom... :rolleyes: Secondo me c'è qualcuno che controlla...

Originariamente inviato da eraser
spostato in antivirus e sicurezza ;)

Grazie ;) scusa, non avevo pensato di postarlo qui...

Toh che caso...

Un portscan alle due e 16 da:


GeekTools Whois Proxy v5.0.3 Ready.
Checking access for 80.180.19.222... ok.
Final results obtained from whois.ripe.net.
Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.180.128.0 - 80.180.255.255
netname: TINIT-ADSL
descr: Telecom Italia
descr: Accesso ADSL BBB
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse@telecomitalia.it
notify: ripe-staff@telecomitalia.it
mnt-by: TIWS-MNT
changed: net_ti@telecomitalia.it 20020905
source: RIPE

route: 80.180.0.0/16
descr: INTERBUSINESS
origin: AS3269
notify: network@cgi.interbusiness.it
mnt-by: TIWS-MNT
mnt-routes: INTERB-MNT
changed: net_ti@telecomitalia.it 20020930
source: RIPE

person: BBBEASYIP STAFF
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff@telecomitalia.it
nic-hdl: BS104-RIPE
notify: ripe-staff@telecomitalia.it
changed: net_ti@telecomitalia.it 20001019
source: RIPE


e ben 6 alle 16.03 da questo IP:


GeekTools Whois Proxy v5.0.3 Ready.
Checking access for 80.180.19.222... ok.
Final results obtained from whois.ripe.net.
Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.180.0.0 - 80.180.127.255
netname: TELECOM-ADSL
descr: Telecom Italia S.p.A.
descr: E@sy.ip service
descr: Wholesale service for ISP
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse@telecomitalia.it
notify: net_ti@telecomitalia.it
mnt-by: TIWS-MNT
changed: network@cgi.interbusiness.it 20020924
changed: net_ti@telecomitalia.it 20021111
source: RIPE

route: 80.180.0.0/16
descr: INTERBUSINESS
origin: AS3269
notify: network@cgi.interbusiness.it
mnt-by: TIWS-MNT
mnt-routes: INTERB-MNT
changed: net_ti@telecomitalia.it 20020930
source: RIPE

person: BBBEASYIP STAFF
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff@telecomitalia.it
nic-hdl: BS104-RIPE
notify: ripe-staff@telecomitalia.it
changed: net_ti@telecomitalia.it 20001019
source: RIPE



Results brought to you by the GeekTools WHOIS Proxy
Server results may be copyrighted and are used with permission.
Your host (80.180.19.222) has visited 2 times today.


e casualmente alle 16.04 ricevo una telefonata da una impiegata della Tin.it che mi chiede se sono interessato alle loro offerte per l'adsl.
Sarà un caso questo?

Succedono anche a me ogni tanto : stessa via e provider.

Nessuno ne sa qualcosa?

Succedeva anche a me.....moltissime volte al giorno....adeso ho il Firewall e si attaccano....io però ho visionato l'ip e i numeri di telefono degli operatori(tramite ripe search) e li ho chiamati.....mi hanno attaccato il telefono mentre parlavo.....che disonesti....mah!!!

Originariamente inviato da axxaxxa3
Succedeva anche a me.....moltissime volte al giorno....adeso ho il Firewall e si attaccano....io però ho visionato l'ip e i numeri di telefono degli operatori(tramite ripe search) e li ho chiamati.....mi hanno attaccato il telefono mentre parlavo.....che disonesti....mah!!!

Aspetta aspetta, com'è che hai fatto ad avere i numeri di telefono?
Io volevo mandare una email ad abuse@quellocheè e segnalare la cosa... ma una telefonata è sempre migliore...

Originariamente inviato da gpc
Aspetta aspetta, com'è che hai fatto ad avere i numeri di telefono?
Io volevo mandare una email ad abuse@quellocheè e segnalare la cosa... ma una telefonata è sempre migliore...
Non posso dirtelo.......:ops2: :Perfido: :Perfido: ..........:D ti dico soltanto che se ti impegni......riesci a farlo...

A me accade lo stesso, e un amico ingegnere in telecom mi ha spiegato che quello che viene visualizzato dal whois del firewall non è l'autore dello "scan" ma solo il canale attraverso il quale passa l'interrogazione del nostro ip (a me interroga addirittura il kernel). Mi chiedevo se con un programmino tipo Stealther o Jap che nascondono l'ip accadrebbe ugualmente...qualcuno sa dirmi qualcosa?

Originariamente inviato da bob
A me accade lo stesso, e un amico ingegnere in telecom mi ha spiegato che quello che viene visualizzato dal whois del firewall non è l'autore dello "scan" ma solo il canale attraverso il quale passa l'interrogazione del nostro ip (a me interroga addirittura il kernel). Mi chiedevo se con un programmino tipo Stealther o Jap che nascondono l'ip accadrebbe ugualmente...qualcuno sa dirmi qualcosa?

Mi pare strano... il firewall mi dice "attacco dall'IP xxx", io gli faccio il backtrace (che è quello di cui parla quel tuo amico, se non ho capito male) che ti ricostruisce la strada per raggiungere quell'ip, poi se tu fai il whois dell'indirizzo che ti ha fatto lo scan vedi le informazioni di quello, non di altri...

Originariamente inviato da gpc
Aspetta aspetta, com'è che hai fatto ad avere i numeri di telefono?
Io volevo mandare una email ad abuse@quellocheè e segnalare la cosa... ma una telefonata è sempre migliore...
Manda la mail all'indirizzo abuse di competenza che è quello che consigliano i provider in questi casi specificando:
Il motivo (port scan); l'ip; e postando tutte le info che Geektools ti ha dato.

Originariamente inviato da raceman
Manda la mail all'indirizzo abuse di competenza che è quello che consigliano i provider in questi casi specificando:
Il motivo (port scan); l'ip; e postando tutte le info che Geektools ti ha dato.

Sì, farò così... ;)

Scusate, ma i geektools sono free?

A questo indirizzo si può scaricare un programma che si chiama GeekTools Win32 Whois Client 5.4.1 , cosa fa? Ci dice da dove è partito l' ip che ci interessa?

http://www.geektools.com/tools.php

Grazie, MC

Il backtrace ricostruisce i nodi per arrivare ad un IP e il whois ti dà tutte le informazioni su un indirizzo.
I resoconti che ho postato io sono stati fatto con un whois... fatto col firewall.

Io utilizzo Sygate Firewall 5.1 e relativo whois. Nella maschera del Backtrace Information in corrispondenza di questi attacchi appare quasi sempre un nome di comodo tipo Alex, Tania, Emma, e raramente interbusiness ecc. ecc. Inoltre nel mio caso sui dettagli personali del "presunto attentatore" (whois) compare spesso un identità BBB easyIPstaff, (l'adsl precursore dell'attuale Alice) con un riferimento telefonico identico a quello segnalato da qualcuno in questo thread. La spiegazione del mio amico credo sia convincente, anche se mi ha consigliato di segnalare quanto accade all'abuse di Telecom. Dalla padella alla brace insomma....

Qual'era la spiegazione del tuo amico?
Comunque io ho mandato già due email a abuse@telecomitalia.it...

Accessi nei server di interbusiness non monitorati ma comunque assegnati a persone di cui leggiamo le identità attraverso il backtrace. A pensarci bene sembra una specie di controsenso, ma considerando come lavorano in Telecom c'è da prenderlo sul serio (purtroppo). Hai avuto qualche risposta dopo le tue segnalazioni?

Qualcuno per caso sa dirmi se con un programmino di invisibilità dell'ip questi eventi si verificherebbero ugualmente?

Qualcuo è così gentile da parlarmi di geektools? :)

Grazie,Mc

Originariamente inviato da bob
Accessi nei server di interbusiness non monitorati ma comunque assegnati a persone di cui leggiamo le identità attraverso il backtrace. A pensarci bene sembra una specie di controsenso, ma considerando come lavorano in Telecom c'è da prenderlo sul serio (purtroppo). Hai avuto qualche risposta dopo le tue segnalazioni?

Qualcuno per caso sa dirmi se con un programmino di invisibilità dell'ip questi eventi si verificherebbero ugualmente?

Nessuna risposta per ora...
Ne ho appena segnalati altri 11 da uno stesso IP.
Non ho capito però che intendi quando parli di accessi nei server di interbusiness non monitorati ma comunque assegnati a persone di cui leggiamo le identità attraverso il backtrace...

Come prima cosa:
-Gli attacchi che riceviamo sono fatti dalla Telecom, anche se c'è una remota possibilità che una persona riesca a compiere un attacco nascondendosi dietro ad un IP Telecom(dovrebbe essere un professionista, e sul mio computer o sui nostri computer credo non ci sia niente di importante)
Secondo:
-Ho la netta impressione che il loro scopo sia quello di far lievitare il costo delle bollette telefoniche.
Terzo e dultimo:
-Sulla bolletta telefonica di febbraio, la telecom mi aveva addebitato circa 45 euro di telefonate fatte a Palau(Indonesia).
Ovviamente erano telefonate che non avevo mai fatte, ma ho dovuto cmq pagare lo stesso.
La cosa strana è che il periodo precedente all'arrivo della bolletta, la telecom non mi dava tregua(attacchi multipli tutti i giorni).
P.s. in quel periodo non ero protetto da niente, nè Firewall, ne route, niente di niente.
La cosa che mi chiedo e che vi chiedo è:E' possibile che la Telecom utilizzi questi metodi per installare file o programmi dialer????

Dubito che telecom faccia cose simili (i dialer con l' adsl non funzionano) anche eprchè se qualcuno particolarmente volenteroso riuscisse a dimostrare la cosa e a portarli davanti ad un tribunale scoppierebbe uno scandlao di dimensioni tali che metterebbe ko l' azienda.

Però non capisco come sia possibile che ti abbiano addeebitato telefonate in Indonesia, hai provato a protestare?

Certo, li ho denunciati alla polizia postale........se pensano di potermi prendere in giro in questa maniera, si sbagliano proprio!!!:mad: :)

Hai denunciato Telecom alla polizia postale?!

E che tihanno detto?

Ciao, Mc

Certamente.......perchè devo pagare 45 euro in più quando non ho mai fatto telefonate del genere.....cmq per il momento nessuna risposta!!vedremo nei prossimi giorni!!

Ti auguro di risolvere il tuo problema.......................e spero di cuore si tratti solo di un errore nei tabulati, sarebbe triste scoprire che ci sono altri motivi.

Ciao, Mc

Grazie, sei gentilissimo........lo spero anche io.....:D

Originariamente inviato da axxaxxa3
Grazie, sei gentilissimo........lo spero anche io.....:D

ciao scusa ma nn è che percaso ti si è insallato un dialer a caso ? Che connessione hai , la normale dial up ? la stessa cosa è successa ad un amico al quale sono state addebitate telefonate in Papua Nuova Guinea. cmq sai cosa ti conviene fare : fatti bloccare tutti i numeri esteri e 166 vari cosi sei sicuro che anche se becchi un dialer nn telefoni a meno che tu nn inserisca il codice di sblocco che deciderai tu con la telecom.;)

Altro giro, altro regalo... :D
Altro portscan questa notte, altra email all'abuse.
Chissà chi si stancherà prima... :O

Originariamente inviato da ryan78
ciao scusa ma nn è che percaso ti si è insallato un dialer a caso ? Che connessione hai , la normale dial up ? la stessa cosa è successa ad un amico al quale sono state addebitate telefonate in Papua Nuova Guinea. cmq sai cosa ti conviene fare : fatti bloccare tutti i numeri esteri e 166 vari cosi sei sicuro che anche se becchi un dialer nn telefoni a meno che tu nn inserisca il codice di sblocco che deciderai tu con la telecom.;)
No, impossibile, avevo il programma Stop Dialer e poi avevo gia fatto disabilitare dalla Telecom stessa tutti i numeri con prefisso 899 e 166.....

Io sarei curioso di sapere perchè tutti questi portscan?

Anche io....è una cosa stranissima......:what: :wtf:

Organizziamo qualcosa contro la Telceom....
:D

Io adesso ad ogni portscan invio una mail a abuse@telecomitalia.it, fatelo anche voi...

Anch'io ho trovato un pò di volte un attacco del genere e con il mio sygate faccio il backtrace e mi esce sempre qualcosa che riguarda la Telecom, ho sempre pensato che fosse una cosa normale e non ci ho mai fatto caso. La prossima volta mando pure io l'email all'abuse.

Mi ha appena annusato queste porte mamma telecozz:

1234, 5555, 9995, 61000, 65000

Sono delle porte particolari?

Là, appena segnalato un altro.
E con questa fanno sei IP segnalati.
Chissà... chissà che non controllino, per esempio, chi ha dei p2p aperti... :rolleyes:

Qualche giorno fa mi è stato fatto un portscan anche da un IP della Verizon... :confused:

Anchi'io ricevo questi portscan!! anche se nn così frequentemente.
Spesso da telecom(Ho Alice). Un giorno nell'arco di 10 min mi fanno il portscan in fila: Telecom,Fastweb,Libero e Tiscali:eek: :wtf:

Originariamente inviato da Black Rebel
Anchi'io ricevo questi portscan!! anche se nn così frequentemente.
Spesso da telecom(Ho Alice). Un giorno nell'arco di 10 min mi fanno il portscan in fila: Telecom,Fastweb,Libero e Tiscali:eek: :wtf:
Anche a me......ma che cacchio vogliono......Mi sorge un dubbio amletico(che parolona):D Se non avessimo un firewall che chiude le porte.....questa nostra cara telecom cosa farebbe???

Originariamente inviato da axxaxxa3
Anche a me......ma che cacchio vogliono......Mi sorge un dubbio amletico(che parolona):D Se non avessimo un firewall che chiude le porte.....questa nostra cara telecom cosa farebbe???

E' quello che pensavo anche io.
Secondo me controllano che programmi uno sta usando...
Comunque dopo le email a abuse non ne hanno più fatti... chissà...

.....Uhm uhm.......roba da querela!:rolleyes: :)
Io credo non sia legale...tu?

Originariamente inviato da axxaxxa3
.....Uhm uhm.......roba da querela!:rolleyes: :)
Io credo non sia legale...tu?

Direi di no... il portscan non è legale che io sappia, ma in ogni caso ricorda: in Italia il cittadino di fronte a qualcosa di più grande non ha nessun diritto.

Eh si.........mannaggia.....mi tocca diventare hacker..:asd: :asd:

Comunque, a chi capita conviene inviare una email ad abuse ad ogni attacco subito. Secondo me si stancano prima loro...

Sarebbe anche interessante sapere quali programmi usano le porte alle quali è stato fatto il portscan;)

A me ieri mi hanno "scannato" queste porte:

80, 8080, 8000, 3128,3129.

Originariamente inviato da Black Rebel
Sarebbe anche interessante sapere quali programmi usano le porte alle quali è stato fatto il portscan;)

A me ieri mi hanno "scannato" queste porte:

80, 8080, 8000, 3128,3129.

80 e 8080 sono porte standard, direi ftp e html, anche se non sono sicuro.
Le altre non le conosco...
Cosa usi per vedere quali porte di controllano?

Ho Sygate 5.1 che sul log indica anche le porte tipo questo:
Somebody is scanning your computer.
Your computer's TCP ports:
8000, 80, 3128, 8080 and 3129 have been scanned from 80.181.199.248.

Cmq nn penso che scelgono porte a caso, ma senz'altro quelle che servono ai loro interessi. Quali siano non lo so.:eek:

Originariamente inviato da Black Rebel
Ho Sygate 5.1 che sul log indica anche le porte tipo questo:
Somebody is scanning your computer.
Your computer's TCP ports:
8000, 80, 3128, 8080 and 3129 have been scanned from 80.181.199.248.

Cmq nn penso che scelgono porte a caso, ma senz'altro quelle che servono ai loro interessi. Quali siano non lo so.:eek:

Uh oh, che strano, anche io Sygat 5.1 ma mi dice solo:
Somebody is scanning your computer.

Perchè? :wtf:

Originariamente inviato da gpc
Uh oh, che strano, anche io Sygat 5.1 ma mi dice solo:
Somebody is scanning your computer.

Perchè? :wtf:

Non so, cmq andando su Logs,Security log e clikkando su uno qualsiasi dei Portscan mi da anche le relative porte. Su tutti.
Misteri.

Anch'io sto ricevendo questi portscan e la prossima volta segnalo tutto all'abuse. Ma voi cosa indicate nell'email? Solo l'IP o tutto il contenuto del log che nel mio caso mi da Sygate?

Originariamente inviato da xool
Anch'io sto ricevendo questi portscan e la prossima volta segnalo tutto all'abuse. Ma voi cosa indicate nell'email? Solo l'IP o tutto il contenuto del log che nel mio caso mi da Sygate?

Io allego tutto.
Questa è una email che ho inviato per esempio:



To: abuse@telecomitalia.it
Subject: portscan da IP 80.181.124.240

Portscan effettuato il 9/3/2004 da 80.181.124.240.
Allego il risultato del whois:

GeekTools Whois Proxy v5.0.3 Ready.
Checking access for 82.48.38.19... ok.
Final results obtained from whois.ripe.net.
Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.181.112.0 - 80.181.141.255
netname: TELECOM-ADSL
descr: Telecom Italia
descr: Accesso ADSL
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse@telecomitalia.it
notify: ripe-staff@telecomitalia.it
mnt-by: TIWS-MNT
changed: net_ti@telecomitalia.it 20030805
source: RIPE

route: 80.181.0.0/16
descr: INTERBUSINESS
origin: AS3269
notify: network@cgi.interbusiness.it
mnt-by: TIWS-MNT
mnt-routes: INTERB-MNT
changed: net_ti@telecomitalia.it 20021001
source: RIPE

person: BBBEASYIP STAFF
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff@telecomitalia.it
nic-hdl: BS104-RIPE
notify: ripe-staff@telecomitalia.it
changed: net_ti@telecomitalia.it 20001019
source: RIPE

Grazie!

Mon Feb 16 21:53:27 2004 - Remote IP: 80.180.148.124 - host124-148.pool80180.interbusiness.it
Mon Feb 16 21:54:01 2004 - Remote IP: 80.117.214.190 - host190-214.pool80117.interbusiness.it
Mon Feb 16 21:49:00 2004 - Remote IP: 80.180.148.124 - host124-148.pool80180.interbusiness.it
Mon Feb 16 21:46:06 2004 - Remote IP: 80.180.148.124 - host124-148.pool80180.interbusiness.it
Mon Feb 16 21:48:15 2004 - Remote IP: 80.180.148.124 - host124-148.pool80180.interbusiness.it
Mon Feb 16 21:47:21 2004 - Remote IP: 80.117.242.13 - host13-242.pool80117.interbusiness.it
Mon Feb 16 21:39:50 2004 - Remote IP: 151.24.217.166 - ppp-166-217.24-151.libero.it
Mon Feb 16 21:44:40 2004 - Remote IP: 80.117.242.13 - host13-242.pool80117.interbusiness.it
Mon Feb 16 20:45:52 2004 - Remote IP: 80.117.242.13 - host13-242.pool80117.interbusiness.it
Wed Jan 01 00:20:58 1997 - Remote IP: 81.211.255.175 - d81-211-255-175.cust.tele2.it



Gli ultimi dieci IP che mi hanno attaccato....

Ma che sarebbe questo "BBBEASYIP STAFF"?

non lo so.....mai sentita......qui scatteranno querele a destra e sinistra....:banned:

Originariamente inviato da Black Rebel
Ho Sygate 5.1 che sul log indica anche le porte tipo questo:
Somebody is scanning your computer.
Your computer's TCP ports:
8000, 80, 3128, 8080 and 3129 have been scanned from 80.181.199.248.

Cmq nn penso che scelgono porte a caso, ma senz'altro quelle che servono ai loro interessi. Quali siano non lo so.:eek:

aoh... va bene essere paranoici... ma riflettiamo un secondo... :)

allora... generalmente i portscan possono arrivare da:

1) un utente che voglia vedere quali porte aperte ci sono sulla nostra macchina
2) un virus che cerca porte vulnerabili per attaccarsi
3) un server (tipo quelli irc) che controllano che non abbiamo open socks sulla nostra macchina (tipo software che faccia da proxy ecc...)
4) varie & eventuali

nel caso 1) probabilmente quell'utente cerca qualche porta particolare, tipo servizi vulnerabili conosciuti o un open sock da sfruttare per anonimizzarsi sulla rete

nel caso 2) i portscan sono del tutto random, quindi non sentiamoci perseguitati, purtroppo sono tantissime le macchine di utilizzatori non molto accorti che ospitano vermi e vermicelli, probabilmente un secondo dopo il portscan che avete ricevuto, un altro si sara' trovato nella stessa situazione e... magari sprovvisto di firewallo a antivirus... si sara' beccato una bella infezione

nel caso 3) normalmente l'utente viene "avvisato" di questo portscan (esempio quando ci si collega ad un server della rete di azzurra viene specificato bene nel motd che un portscanner ci sta analizzando)

- ritengo del tutto improbabile che un portscan parta per scopi statistici o altro direttamente da telecom... non ne avrebbero bisogno, visto che il traffico che generiamo bene o male passa dai loro routers/servers... basterebbe analizzare quello restando oltretutto del tutto nascosti...

- le informazioni nei whois molte volte non vengono aggiornate per svariati motivi...

se ci sono ancora buchi neri... chiedetemi pure! :)

Infatti mi sono arrivati anche due portscan da IP americani, ma nemmeno c'ho fatto caso.
Mentre sono stato in Spagna, per sei mesi, non m'è arrivato nemmeno un portscan.
Allora, la domanda è questa: visto che tutti, o il 99%, dei portscan vengono fatti da IP telecom, o tutti i cucchi italiani si collegano con Alice e si riempiono di worm e virus :D oppure c'è qualcosa di strano in tutto questo... ;)

Originariamente inviato da gpc
Infatti mi sono arrivati anche due portscan da IP americani, ma nemmeno c'ho fatto caso.
Mentre sono stato in Spagna, per sei mesi, non m'è arrivato nemmeno un portscan.
Allora, la domanda è questa: visto che tutti, o il 99%, dei portscan vengono fatti da IP telecom, o tutti i cucchi italiani si collegano con Alice e si riempiono di worm e virus :D oppure c'è qualcosa di strano in tutto questo... ;)

beh... ai bei tempi di nimda e codered arrivavano accessi da tutto il mondo... ricordo in sei mesi di monitoraggio erano arrivati tentativi per qualche centinaio di megabyte di traffico !!

probabilmente i motori di portscan dei virus sono programmati appositamente per ridurre la "distanza" in termini di hop e quindi massimizzare l'efficienza di scansione! :)

probabilmente gli utenti di libero avranno piu' accessi dalla rete di libero e cosi' via...

Originariamente inviato da Hell-VoyAgeR
beh... ai bei tempi di nimda e codered arrivavano accessi da tutto il mondo... ricordo in sei mesi di monitoraggio erano arrivati tentativi per qualche centinaio di megabyte di traffico !!

probabilmente i motori di portscan dei virus sono programmati appositamente per ridurre la "distanza" in termini di hop e quindi massimizzare l'efficienza di scansione! :)

probabilmente gli utenti di libero avranno piu' accessi dalla rete di libero e cosi' via...

Ah boh, anche questo è possibile... chissà... :wtf:

Vi espongo un dubbio..................Prima di mettere l'adsl Alice, subivo regolarmente attacchi dalla telecom, gia allora iniziavo a sospettare di qualcosa, poi la goccia che fece traboccare il vaso fu l'addebito di 45 euro di telefonate fatte a Palau(Indonesia) telefonate mai eseguite.
Successivamente, dopo aver chiesto spiegazioni alla telecom, l'unica risposta che ricevevo riguardava l'installazione di un modem adsl che avrebbe risolto tutti i problemi di attacchi e addebiti.
La domanda è questa:potrebbe essere un loro metodo o una tattica per fa installare alla maggior parte delle persone l'adsl Telecom?:confused:

Originariamente inviato da axxaxxa3
Vi espongo un dubbio..................Prima di mettere l'adsl Alice, subivo regolarmente attacchi dalla telecom, gia allora iniziavo a sospettare di qualcosa, poi la goccia che fece traboccare il vaso fu l'addebito di 45 euro di telefonate fatte a Palau(Indonesia) telefonate mai eseguite.
Successivamente, dopo aver chiesto spiegazioni alla telecom, l'unica risposta che ricevevo riguardava l'installazione di un modem adsl che avrebbe risolto tutti i problemi di attacchi e addebiti.
La domanda è questa:potrebbe essere un loro metodo o una tattica per fa installare alla maggior parte delle persone l'adsl Telecom?:confused:

questo mi sembra anche troppo grave... pur riconoscendo i pochi limiti etici che si pongono i vari gestori...

beccarsi un dialer e' facile... non so se usi solo tu il pc in casa o e' condiviso...

l'altro giorno mio padre ha trovato un dialer in una pubblicita' inserita nel sito di un noto giornale online... ne taccio il nome per ovvi motivi... mi sono limitato a rendere edotti del fatto gli editori...

per quanto riguarda gli addebiti, e' vero... con l'adsl i dialer fanno un baffo... ma per gli attacchi non ci conterei proprio... anzi... :)

Ritiro fuori 'sto thread perchè m'è capitata una cosa strana...
Adesso non sono a casa, e sono collegato in GPRS con la Wind, e indovinate un po'... portscan dalla wind!

inetnum: 212.141.117.0 - 212.141.117.255
netname: WIND
descr: Wind Telecomunicazioni Spa
descr: Servizio Internet-GPRS
country: IT
admin-c: NMS18-RIPE
tech-c: NMS18-RIPE
status: ASSIGNED PA
mnt-by: WIND-MNT
changed: network@mail.wind.it 20011011
changed: network@mail.wind.it 20020214
source: RIPE

route: 212.141.96.0/19
descr: WIND Telecomunicazioni spa
descr: Global Telecommunication Provider
origin: AS1267
mnt-by: WIND-MNT
changed: network@wind.it 20000908
changed: staff@iunet.it 20031003
source: RIPE

person: Network Management Staff
address: WIND Telecomunicazioni spa
address: Via C.G.Viola 48
address: I-00148 Roma (RM)
address: Italy
phone: +39 06 83111
fax-no: +39 06 83111
e-mail: abuse@inwind.it
nic-hdl: NMS18-RIPE
changed: network@wind.it 20000403
source: RIPE

E questo rafforza la mia convinzione che controllino quali servizi uno ha attivo.
Per esempio, potrebbero farlo per la storia del P2P, per controllare chi ha aperte certe porte... chissà...

...io ribadisco la mia idea.....questi ci controllano i dati.....Facciamo qualcosa contro la Telecom a nome di noi utenti del forum....magari coinvolgiamo i moderatori(se volgiono) che ne dite??

Originariamente inviato da axxaxxa3
...io ribadisco la mia idea.....questi ci controllano i dati.....Facciamo qualcosa contro la Telecom a nome di noi utenti del forum....magari coinvolgiamo i moderatori(se volgiono) che ne dite??

Guarda, se controllassero il traffico allora noi non lo vedremmo perchè si tratta di una attività "passiva", mentre invece mi dà più l'idea che controllino se stiamo usando un certo tipo di porte o meno...
Comunque, quando sono collegato con Alice il portscan lo fanno dagli IP della telecom, adesso che sono con la wind iniziano a farlo quelli della wind... secondo me non è questione di far qualcosa contro TI o meno, bisognerebbe capire di cosa si tratta perchè mi sembra un fatto generale.

Ho capito...ma se capiamo cosa fanno....ma non agiamo...loro continuano.....e noi....ce la prendiamo in quel posto...:D
Mi sembra molto strano quello che fanno........non riesco porprio a capire...forse hai ragione.....controllano le porte.....Mah...mistero!

Io sono abbonato alice e ricevo un sacco di portscan dalla telecom. Dite che controllano le porte per vedere se ho aperto qualche programma p2p? E per farci che? Mica possono risalire a che tipo di file mi sto scambiando...

Originariamente inviato da mr.patata
Io sono abbonato alice e ricevo un sacco di portscan dalla telecom. Dite che controllano le porte per vedere se ho aperto qualche programma p2p? E per farci che? Mica possono risalire a che tipo di file mi sto scambiando...

Beh non è detto: se magari si accorgono che stai usando p2p possono decidere di monitorarti il traffico e vedere cosa stati trasmettendo.
Illegalmente, mi pare: sia il portscan che l'intercettazione di traffico fatta a priori.

Ogni volta che mi collego parte questo maledetto portscan, sempre da telecom.

Sygate mi dice spesso alla voce "application name" mette svchost.exe
Ho scaricato il tool dalla symantec, ma non mi ha trovato nulla. Ho fatto fare un giro al Mcafee, nulla. Ho scaricato pure il virus washer dei Avast, ma tutto a posto.

Ho mandato le mail al servizio abuse della Telecom, però talvolta il sygate scompare dalla systray. Che significa? Che mi si toglie il firewall?

Originariamente inviato da mr.patata
Ogni volta che mi collego parte questo maledetto portscan, sempre da telecom.

Sygate mi dice spesso alla voce "application name" mette svchost.exe
Ho scaricato il tool dalla symantec, ma non mi ha trovato nulla. Ho fatto fare un giro al Mcafee, nulla. Ho scaricato pure il virus washer dei Avast, ma tutto a posto.

Ho mandato le mail al servizio abuse della Telecom, però talvolta il sygate scompare dalla systray. Che significa? Che mi si toglie il firewall?

No, sei hai WinXP significa solo che è da un po' che non ci clicki sopra :D
Da me comunque applicacion name è vuoto... :wtf:

Originariamente inviato da gpc
No, sei hai WinXP significa solo che è da un po' che non ci clicki sopra :D
Da me comunque applicacion name è vuoto... :wtf:

Ma l'icona non mi si nasconde dietro il freccione, sparisce proprio dalla barra...
:confused:

Adesso la metto sempre in primo piano e vediamo che succede.
Sto riempiendo di mail di protesta la telecom. A voi a dato qualche risultato?

Originariamente inviato da mr.patata
Ma l'icona non mi si nasconde dietro il freccione, sparisce proprio dalla barra...
:confused:

Adesso la metto sempre in primo piano e vediamo che succede.
Sto riempiendo di mail di protesta la telecom. A voi a dato qualche risultato?

Boh...
No, comunque dopo le email all'indirizzo abuse non ho avuto nessuna risposta... per qualche giorno non ho avuto portscan ma non so se fosse stato un caso.

Nessuna risposta nemmeno a me, però sono connesso da mezzora e ho ricevuto solo due attacchi dalla Telecom.
Che le mail servano?

Originariamente inviato da mr.patata
Nessuna risposta nemmeno a me, però sono connesso da mezzora e ho ricevuto solo due attacchi dalla Telecom.
Che le mail servano?

Ah boh, io sono convinto che quelle email non vengano nemmeno lette... :D

Ho parlato troppo presto... ecco nuovi attacchi... meno frequenti rispetto a ieri sera, però sempre fastidiosi... che vorranno??? Tanto nel mio pc non ci entrano!!!!

Dite che è meglio telefonare???

Io oltre a mandare la mail ad abuse@telecomitalia.it la mando pure a vincenzo.scoppa@telecomitalia.it che è l'altro nome che appare in whois...

Ho parlato troppo presto... ecco decine e decine di tentativi di intrusione...

:muro:

....Querelaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!!!:D

Seriamente, che si fa? :mad:

Scusate, ma che significa in realtà? Vengo attaccato sempre nello stesso modo e Sygate mi dice:

[181.1] Inbound DCE BIND to potentially vulnerable RPC DCOM interface attempt detected
[182.1] RPC DCOM buffer overflow attempt detected

Security Type: Intrusion Detection System
Protocol: Incoming TCP
Remote Host: 82.51.83.52
Remote MAC: 01-00-20-00-01-00
Application Name: svchost.exe


:oink:

Anche a me succede questo. Che significa?

Ma il mio è l'unico Sygate che resta sul vago e non mi dice niente? :wtf:

Originariamente inviato da mr.patata
Scusate, ma che significa in realtà? Vengo attaccato sempre nello stesso modo e Sygate mi dice:

[181.1] Inbound DCE BIND to potentially vulnerable RPC DCOM interface attempt detected
[182.1] RPC DCOM buffer overflow attempt detected

Security Type: Intrusion Detection System
Protocol: Incoming TCP
Remote Host: 82.51.83.52
Remote MAC: 01-00-20-00-01-00
Application Name: svchost.exe


:oink:

e' un attacco/exploit di Blaster
ce ne sono in giro ancora TANTI

Originariamente inviato da Hell-VoyAgeR
e' un attacco/exploit di Blaster
ce ne sono in giro ancora TANTI

Ma io ho la patch di windows, l'antivirus aggiornato e il firewall. Che vogliono? E perchè la Telecom mi attacca con Blaster?

Originariamente inviato da mr.patata
Ma io ho la patch di windows, l'antivirus aggiornato e il firewall. Che vogliono? E perchè la Telecom mi attacca con Blaster?


No, beh, aspetta, non è che la telecom ti attacca, è gente con gli IP della telecom (tutti quelli con Alice, tanto per dire) che ha il virus e cerca di beccarti (e a loro non gliene frega niente se hai la patch, il virus ce l'hanno loro, non tu).
La cosa che mi pareva strana, quando aprii il thread, era che mi venivano fatti portscan SOLO da IP telecom, mentre ero via dall'italia da nessuno, e per giunta adesso che sono stato via una settimana e mi collegavo con il GPRS della Wind, mi sono stati fatti portscan SOLO da IP della Wind. E' questa la cosa strana...

Cioè, è gente che si è presa Blaster, magari con l'Adsl Alice (come me) che senza saperlo attacca (inutilmente) il mio pc?
Ma perchè solo quelli di Telecom con Blaster mi rompono?

E poi, perdo banda - intendo in quantità rilevante - visti questi continui attacchi (perenni, smette uno inizia un altro)?


Devo dire che dubito siano pc con virus, perchè: o tutti i pc a parte il mio sono infetti, oppure c'è qualcuno che cambia ip ogni 2 minuti che mi attacca...

Originariamente inviato da mr.patata
Cioè, è gente che si è presa Blaster, magari con l'Adsl Alice (come me) che senza saperlo attacca (inutilmente) il mio pc?
Ma perchè solo quelli di Telecom con Blaster mi rompono?

E poi, perdo banda - intendo in quantità rilevante - visti questi continui attacchi (perenni, smette uno inizia un altro)?


Devo dire che dubito siano pc con virus, perchè: o tutti i pc a parte il mio sono infetti, oppure c'è qualcuno che cambia ip ogni 2 minuti che mi attacca...

Ah non so, da me non è una cosa così assillante... però mi pare strano che facciano un virus che cerchi di trasmettersi solo sul dominio su cui si trova, perchè in questa maniera non ne uscirebbe mai... boh!

Originariamente inviato da mr.patata
Cioè, è gente che si è presa Blaster, magari con l'Adsl Alice (come me) che senza saperlo attacca (inutilmente) il mio pc?
Ma perchè solo quelli di Telecom con Blaster mi rompono?

E poi, perdo banda - intendo in quantità rilevante - visti questi continui attacchi (perenni, smette uno inizia un altro)?


Devo dire che dubito siano pc con virus, perchè: o tutti i pc a parte il mio sono infetti, oppure c'è qualcuno che cambia ip ogni 2 minuti che mi attacca...

beh... considera n+1 pc con blaster, che si rebootano ogni n secondi per il famoso errore RPC (e che quindi cambiano ip)

cmq la banda occupata nell'istantaneo non dovrebbe risentirne troppo, su larga scala sono bei mega che se ne vanno!

poi somma tutti gli altri virus e worms che si spediscono sotto forma di messaggi mail, quelli che lanciano attacchi ddos, quelli che cercano vulnerabilita' note, quelli che contano i peli del :ciapet: dell'utente pubblicandolo su internet...

:help:

discussione molto interessante, anche io ho più volte spedito e-mail al servizio abuse e qualche volta mi hanno pure risposto che avrebbero indagato....poi tutto è finito lì.....
ma io ho un'altra spiegazione....non potrebbe forse essere una normale routine della linea adsl, che essendo download/upload, ogni volta che richiediamo una pagina internet, forse di ritorno la telecom o comunque il gestore cui siamo abbonati, pinga l'indirizzo da cui è partita la richiesta (probabilmente in automatico.......senza che ci sia nessuno dall'altra parte...insomma probabilmente potrebbe essere una normale procedura del server....che dite?????
ciao

Che io sappia il portscan è una operazione ben precisa... ma non so, potrebbe anche questa essere una soluzione... :confused:

Oggi ho telefonato due volte al numero Telecom che mi viene fuori con il Backtrace. Mi hanno detto che mi passavano l'Ufficio reclami, ma il telefono squillava a vuoto e poi cadeva la linea.
:mad:

E se il server della Telecom fosse pieno di virus e colpisse i suoi utenti?

non potrebbe forse essere una normale routine della linea adsl, che essendo download/upload, ogni volta che richiediamo una pagina internet, forse di ritorno la telecom o comunque il gestore cui siamo abbonati, pinga l'indirizzo da cui è partita la richiesta (probabilmente in automatico.......senza che ci sia nessuno dall'altra parte...insomma probabilmente potrebbe essere una normale procedura del server....che dite?????


Non lo so, ma questo avverrebbe anche quando uno non fa nulla?
E poi a me gli attacchi sono continui: sygate blocca un ip e subito parte un altro...

ciao a tutti, io ho Fastweb e oltre alle solite intrusioni del probabile blaster che hanno altri attraverso l'incolumità del servizio RPC, è da stamattina che noto ogni tanto dei Port Scan attraverso le seguenti porte: 2745, 1025, 445, 3127 e 6129
Non è mai successo...Ma si può capire cosa vogliono??
:mad: Qualcuno ha Fastweb Dsl??

Sono le 3 di notte e da IP Telecom continuano ad arrivarmi attacchi. Comincio a pensare abbiano i server infetti...

http://forum.hwupgrade.it/showthread.php?s=&threadid=655548

:(

raga ho letto le varie pagine ma anche io ho smp saputo che da un whois non puoi mai sapere chi ti attacca ma solo il provider a cui tale ip appartiene, anche se sembra strano che cmq ci siano indirizzi mail di persone che a quanto pare sono dello staff tecnico di telecom; anche io sto ricevendo un sacco di scan(non oggi ma ogni tanto nei giorni scorsi ne veniva fuori uno), puntualmente vedo da dove parte con "neotrace"(provatelo cmq) e ogni volta i nodi sono 3, parte da Roma e passando x una zona vicino alla Costa d'avorio(avete letto bene) arriva a me, quindi voglio dire non vi sembra strano che la Telecom monitori il nostro traffico usando un proxy(vista la zona del secondo nodo) quando potrebbe tranquillamente farlo restandosene invisibile? Tocca xciò capire cosa cavolo sia.
Ps. Ora vi allego un whois a un ip che mi ha "scannato" sabato scorso, su questo c'è davvero da preoccuparsi, questo il link (http://forum.hwupgrade.it/showthread.php?s=&threadid=652273) al mio post a riguardo in forum, e questa invece il prt screen (http://xoomer.virgilio.it/sangkavr/trace.jpg) del whois.
ciao.
Tenetemi informato :D

Anche a me continuano gli attacchi..........che palle!!!uffa!!!!
Ragazzi...facciamo qualcosa contro la Telecom........sono dei disonesti...sapessi che raggiri che ho trovato sulla bolletta...
Che si fa???

Sì ma la bolletta non c'entra niente coi portscan... :rolleyes:

Ovviamente.....:rolleyes: intendo dire che in un modo o in un altro questi bastardi tentano sempre di fare cose illegali..che sia un portscan oppure un addebito indesiderato sulla bolletta..

E se avessero dei virus sul server che fa i portscan???

Per quale motivo dovrebbero avere dei virus sul server?Cosa centrano?

Che ne so, qualcosa che parte automatico. Altrimenti non capisco per quale motivo vengo attaccato 24 ore su 24!!!!
Persino alle 3 di notte mi rompono le scatole!!!! E gli attacchi sono continui (1 ogni 3 minuti, perchè sygate blocca gli ip)...

Qualcuno esperto sa dare una spiegazione?

raga eccone un altro, sempre documentato con neotrace, 21 nodi e la maggior parte sono registrati a telecom ma con la differenza di essere loclaizzati all'estero, fino ad arrivare persino in Giappone, in + sapreste xkè la maggior parte delle volte che mi collego qualsiasi applicazione cerca la connessione a 224.0.0.22 come fa con 127.0.0.1, come la mia linea passasse attraverso un proxy, di fatti quando capita mi ritrovo con pochissima banda oppure con l'impossibilità di usare messenger e servizi del genere, qualcuno sa di sta cosa oppure devo chiamare la telecom?

'sta cosa che alcune applicazioni tentano di collegarsi ad un 224 etc capita anche a me, solo alcune volte, e lo fanno principalmente Office ed Explorer (non IE), ma io li blocco sempre con il firewall...
Credo che cerchino di contattare la microsoft o non os che, non ho mai guardato a chi corrisponde l'indirizzo.
Però non ho capito bene il discorso del giro che farebbero i pacchetti di cui pari... se l'origine è un IP telecom, perchè se ne vanno a zonzo per il pianeta?

Comunque... telefonare... per dire cosa? Cioè, non c'è mica niente di concreto in mano, eh...

intendevo telefonare x sapere come stanno le cose visto che i pacchetti se ne vanno si a zonzo x il pianeta ma smp su server telecom.
X quanto riguarda invece la connessione a 224.0.0.22 a me lo fa con messenger, explorer, i.e., insomma tutte le applicazioni che hanno modo di accedere alla rete, anche io le blocco ma credo non c'entri microzozz, e mi sa che non hai mai guardato l'ip xkè non c'è, quello è l'unico indirizzo presente.
Che sta storia fosse la conseguenza del decreto Urbani? guarda caso è cominciata proprio dalla sua approvazione, se così fosse via con le denunce ai provider, la privacy è un diritto sancito dalla costituzione e non si tocca, e in + i portscan mi sembra siano illegali o sbaglio?
ps.che ne dite di scrivere una mail base da mandare ai vari provider in questione???

I portscan dovrebbero essere illegali, sì.
Riguardo scrivere una email, ripeto: cosa c'è di concreto in mano?

In mano abbiamo il backtrace. Loro potranno dire che non c'entrano nulla, però sarebbero tenuti a controllare chi usa i loro IP.
Quanto al decreto Urbani, lo stesso ministro ha detto che il decreto sarà ritoccato e tolte le sanzioni...

Non potrebbe essere che la Telecom pinga gli IP per vedere chi è in linea?

io ricevo una marea di scan al giorno :cry: da ip come:

04/02/2004 12:54:31 Port Scan Minor Incoming TCP 195.130.249.3 01-00-20-00-01-00 80.180.202.218 Normal 1 04/02/2004 12:54:31

04/02/2004 12:54:31
04/02/2004 00:44:51 Port Scan Minor Incoming TCP 80.180.68.194 01-00-20-00-01-00 80.180.202.114 Normal 1 04/02/2004 00:44:51 04/02/2004 00:44:51

04/02/2004 00:44:45 Port Scan Minor Incoming TCP 80.180.68.194 01-00-20-00-01-00 80.180.202.114 00-00-01-00-00-00 Freedom PICKWICK Normal 1 04/02/2004 00:44:45 04/02/2004 00:44:45
04/02/2004 00:44:42 Port Scan Minor Incoming TCP 80.180.68.194 01-00-20-00-01-00 80.180.202.114 00-00-01-00-00-00 Freedom PICKWICK Normal 1 04/02/2004 00:44:42 04/02/2004 00:44:42
04/01/2004 23:58:42 Port Scan Minor Incoming TCP 80.180.10.185 01-00-20-00-01-00 80.180.202.114 00-00-01-00-00-00 Freedom PICKWICK Normal 1 04/01/2004 23:58:42 04/01/2004 23:58:42

ed è sempre lui... e qualche altro.. alla telecom mi hanno detto che molto probabilmente è la "G d F"

:cry: aiuto e ke mai vorranno da me?!

:mc: possibile ke siano loro o il tecnico si arrampicava agli specchi?

Originariamente inviato da 19semplicemente
ed è sempre lui... e qualche altro.. alla telecom mi hanno detto che molto probabilmente è la "G d F"

la g d f ??? ma tu hai qualke progr p2p aperto?
io ora sono in lotta col 187, cioè sto aspettando un operatore libero o che ha abbia almeno un pò di voglia :rolleyes:

ehm.. cos'è un p2p?!:cry:

ah dimenticavo un punto importante, la g d f ha biosgno di girare x il mondo prima di farti il portscan??? non credo proprio, non credete?
sti stronxi non mi rispondono :mad:

L'80.180 etc è della telecom...
Sul fatto che sia gdf, è possibile.
Era uno dei dubbi che avevo all'inizio... ma chi sarebbe di preciso che te l'ha detto?
In ogni caso, se hai il firewall attivo e ti blocca il portscan non ti vedono mica...

poveri fessi ke siamo... secondo voi la GdF non sa come passare delle firewall?!

cmq un tecnico telecom.. per gli attentati ha detto .. mah!

Originariamente inviato da 19semplicemente
poveri fessi ke siamo... secondo voi la GdF non sa come passare delle firewall?!

cmq un tecnico telecom.. per gli attentati a detto .. mah!

Ma figurati, me li fanno da mesi :rolleyes: Saranno i soliti "tecnici" :D

Comunque la GdF più che altro ti può monitorare il traffico che fai, e tu non te ne accorgi nemmeno.
Discorso diverso è se cerca chi ha p2p aperti per "selezionare la clientela", e allora il portscan può diventare uno strumento efficace (ma il firewall lo blocca).

ki capisce piu niente.. qui sn tutti matti!!!
:muro:

Originariamente inviato da 19semplicemente
poveri fessi ke siamo... secondo voi la GdF non sa come passare delle firewall?!

cmq un tecnico telecom.. per gli attentati ha detto .. mah!
infatti quelli sanno fare le cose bene, sono al di la di tutto tipi molto competenti.
Cmq sia ho appena finito di parlare con un tecnico Telecom e qualunque cosa io dicessi continuava a dire che la sua azienda non c'entra nulla ma una cosa buona l'ha suggerita, mi fa visto che siete in tanti fate un reclamo di massa via mail segnalando la cosa, potrebbe darsi qualcosa si muova in questo senso; ma accantonate l'opzione "guardie" xkè se vogliono entrano uguale e poi non fanno prima giri x il mondo.
ps. che ridere cmq, l'operatore mi suggeriva di impostare un fw, e secondo lui come mi accorgevo della storia?!? :D

gli operatori telecom sono molto furbi!:D

Originariamente inviato da 19semplicemente
poveri fessi ke siamo... secondo voi la GdF non sa come passare delle firewall?!

cmq un tecnico telecom.. per gli attentati ha detto .. mah!

un firewall e' un firewall... se la porta e' chiusa e' chiusa... la GdF non ha bisogno di passartelo... se vuole vedere cosa hai nel computer si presentano simpaticamente a casa tua alle 6 del mattino :D

e comunque ribadisco.... paranoia si ma con moderazione, se un whois dice che l'ip che ha portscannato e' della rete telecom... non vuol dire che sia un server telecom.

Originariamente inviato da gpc
'sta cosa che alcune applicazioni tentano di collegarsi ad un 224 etc capita anche a me, solo alcune volte, e lo fanno principalmente Office ed Explorer (non IE), ma io li blocco sempre con il firewall...
Credo che cerchino di contattare la microsoft o non os che, non ho mai guardato a chi corrisponde l'indirizzo.
Però non ho capito bene il discorso del giro che farebbero i pacchetti di cui pari... se l'origine è un IP telecom, perchè se ne vanno a zonzo per il pianeta?

Comunque... telefonare... per dire cosa? Cioè, non c'è mica niente di concreto in mano, eh...

la rete 224.x.x.x e' la multicast (mbone) ora non ricordo gli utilizzi precisi ma fondamentalmente serve per le trasmissioni punto-multipunto.... tipo trasmissioni radio per intenderci...

Scusate ma perche' vi dannate l'anima ?

A me questo traffico mi sembra del tutto normale visto che ogni provider fa' dei port scan casuali sui suoi utenti.

Di norma questi scanning servono per controllare che tu non abbia un server (es un web server o un ftp server) e che quindi nonstia usando una linea consumer come una linea professionale (che costa ben di piu) approfittando delle velocita delle linee moderne.


Sempre che non si tratti, come gia detto, di qualche pc con linea telecom che ha un virus che tenta di "penetrarvi" :D

Cmq se la finanza vi fa il portscan e voi avete la porta del vostro p2p aperta perche state scaricando penso proprio che vi veda :D

Originariamente inviato da Hell-VoyAgeR
la rete 224.x.x.x e' la multicast (mbone) ora non ricordo gli utilizzi precisi ma fondamentalmente serve per le trasmissioni punto-multipunto.... tipo trasmissioni radio per intenderci...

Capito! Non lo sapevo :fagiano: :D

Originariamente inviato da evelon
Scusate ma perche' vi dannate l'anima ?


Perchè abbiamo tanto tempo libero :D


A me questo traffico mi sembra del tutto normale visto che ogni provider fa' dei port scan casuali sui suoi utenti.


Beh ma il portscan non dovrebbe essere legale...
Tant'è che nelle informazioni del whois di qualche provider c'è scritto di contattare l'indirizzo abuse@... nel caso di portscan, etc...


Di norma questi scanning servono per controllare che tu non abbia un server (es un web server o un ftp server) e che quindi nonstia usando una linea consumer come una linea professionale (che costa ben di piu) approfittando delle velocita delle linee moderne.


Questa è una possibile risposta, non ci avevo pensato.
Però allora perchè 15 portscan fatti dallo stesso IP in due minuti? O dieci porscan in una giornata fatti da IP diversi ma tutti della telecom?


Sempre che non si tratti, come gia detto, di qualche pc con linea telecom che ha un virus che tenta di "penetrarvi" :D


C'avremo il computer donna... :pig: :D


Cmq se la finanza vi fa il portscan e voi avete la porta del vostro p2p aperta perche state scaricando penso proprio che vi veda :D

Hm, io penso che nel momento in cui il firewall si accorge di un portscan chiuda tutto a quell'IP, sai...

Originariamente inviato da gpc
Perchè abbiamo tanto tempo libero :D



Infatti :D

Originariamente inviato da gpc
Beh ma il portscan non dovrebbe essere legale...
Tant'è che nelle informazioni del whois di qualche provider c'è scritto di contattare l'indirizzo abuse@... nel caso di portscan, etc...

Questa è una possibile risposta, non ci avevo pensato.
Però allora perchè 15 portscan fatti dallo stesso IP in due minuti? O dieci porscan in una giornata fatti da IP diversi ma tutti della telecom?

Se guardi il contratto di molti provider mi pare che ci sono dei generici "controlli per verificare l'uso" della linea che il provider si riserva insieme alla clausula di tagliare la connettivita se viene fatto un uso della stessa non "conforme".

Cmq se e' quello il motivo non ci sono problemi di nessun tipo, il portscan non viene seguito da nessun tipo di attacco.

Ovvio che alcuni di quei portscan potrebbero essere quelli leciti del provider (ed il fatto che tu prenda sempre quelli del tuo provider del momento me lo fa sospettare) ma in mezzo a quelli leciti ci potrebbe essere traffico generato da qualche pc infettato che cerca vicini (sullo stesso provider) per infettare a sua volta o qualche simpaticone che si crede un dio del computer e si diverte a farne...

Originariamente inviato da gpc
Hm, io penso che nel momento in cui il firewall si accorge di un portscan chiuda tutto a quell'IP, sai...

Guarda non conosco il firewall che usi ma se gli hai detto di lasciare aperte delle porte (magari per il tuo bravo p2p) non sono affatto sicuro che chiuda all'istante tutto anzi sospetto il contrario (il che e' anche piu ragionevole)

Originariamente inviato da evelon
Guarda non conosco il firewall che usi ma se gli hai detto di lasciare aperte delle porte (magari per il tuo bravo p2p) non sono affatto sicuro che chiuda all'istante tutto anzi sospetto il contrario (il che e' anche piu ragionevole)

Io uso il Sygate, la versione freeware... però non gli ho mai detto di lasciare aperte porte particolari, perchè avendo il router la porta per il p2p la lascio aperta da lì (non so se sai come funzioni, ma praticamente devi impostare il NAT altrimenti nessuno riesce a collegarsi con te da fuori, in poche parole)...
Però se il firewall non chiudesse tutto nel momento in cui si accorge di un portscan, non avrebbe alcun significato, non trovi?

L'ipotesi GdF mi sembra molto molto fantasiosa. Oltre al fatto che ha molto meglio da fare rispetto che rompere le scatole agli utenti semplici, e poi, come ha scritto qualcuno, se volesse entrare nel computer lo farebbe senza farsi notare.

Quello che non capisco è perchè io ricevo portscan continui, uno ogni due minuti, a qualunque ora. Che significa? Che controllano in che modo uso la connessione?

Non ce la faccio più...ho sygate..........e ogni 3 minuti mi fanno un portscan da 5 o 6 IP differeni.......uffa!!!!...mi stò stancando.....!!:(

Originariamente inviato da gpc
Io uso il Sygate, la versione freeware... però non gli ho mai detto di lasciare aperte porte particolari, perchè avendo il router la porta per il p2p la lascio aperta da lì (non so se sai come funzioni, ma praticamente devi impostare il NAT altrimenti nessuno riesce a collegarsi con te da fuori, in poche parole)...
Però se il firewall non chiudesse tutto nel momento in cui si accorge di un portscan, non avrebbe alcun significato, non trovi?

Mentre ricevi il portscan continui ad operare trnauillamente con il p2p?

Se si il firewall dovrebbe aver chiuso solo l'ip dal quale riceve il portscan...

Non conosco il seagate quindi non mi pronuncio ma la maggior parte dei firewall non fa' cosi'..

Se gli dici di lasciare aperta una porta lui la lascia aperta ed a un portscan essa risulta aperta.
Come puo chiuderla prima ancora che venga fatto lo scan?

Quando e' stata trovata come aperta e' inutile che la chiuda, quando e' chiusa apriori non ti funziona il p2p...

Originariamente inviato da evelon
Mentre ricevi il portscan continui ad operare trnauillamente con il p2p?


Boh, sì, a parte tutto negli ultimi mesi il somarino è uscito dalla stalla solo per un paio di giorni :D per cui non è che abbia fatto tante prove... comunque sì, direi che non c'è problema.


Se si il firewall dovrebbe aver chiuso solo l'ip dal quale riceve il portscan...


Esatto, è quello che penso io.


Non conosco il seagate quindi non mi pronuncio ma la maggior parte dei firewall non fa' cosi'..

Se gli dici di lasciare aperta una porta lui la lascia aperta ed a un portscan essa risulta aperta.
Come puo chiuderla prima ancora che venga fatto lo scan?


No, non può, certo, ma io non gli ho detto proprio niente a priori...


Quando e' stata trovata come aperta e' inutile che la chiuda, quando e' chiusa apriori non ti funziona il p2p...

Non so come funzioni il meccanismo con cui si accorge che una richiesta di accesso ad una porta è un portscan e non una semplice connessione, ma è possibile che se ne renda conto subito e che blocchi una eventuale risposta.
Boh, però non so, sono ipotesi...

preparo il caffè allora..

uno anche x me??? :D
cmq raga se lasci aperta una porta ad es x il mulo solo quell'applicazione può usarla tanto + che (smp x es.) se l'hai settata solo in uscita non può entrare nulla quindi blocca tutto ciò che è diverso dalla normalità, direi si è chiusa a priori (in un certo senso),
ciao.
ps.forse data l'ora non scrivo comprensibile ma spero mi abbiate capito, poi se arriva il caffè.... altra storia :D

ok....:rolleyes:

tanto... uno in + .. uno in - ... almeno mentre loro frugano io faccio il caffè x tutti... :D

Vabbè, ma pure se vedono che una porta si apre e passano dei dati, come fanno a sapere che tipo di dati sono? E poi, come fanno a sapere che quei dati che passano sono protetti da copyright e tu la stai violando?


Piuttosto, una cosa che mi è capitata ora: al centro del mio schermo è apparsa una finestra con su scritto (in inglese) "servizio di messaggistica istantanea from you" in cui mi avvertiva che Messenger di MSN (che non uso) è pericoloso. Che roba è? Non ci sono virus sul mio computer, che roba è??

Originariamente inviato da red_ka.it
se lasci aperta una porta ad es x il mulo solo quell'applicazione può usarla tanto + che (smp x es.) se l'hai settata solo in uscita non può entrare nulla quindi blocca tutto ciò che è diverso dalla normalità, direi si è chiusa a priori (in un certo senso),


Non sò che porte usa il software in questione ma qualche porta in entrata la deve pur lasciare aperta altrimenti non riceveresti nemmeno un bit. :D

Diverso dalla normalità non vuol dire nulla, un pacchetto in entrata su quella porta (quella lasciata aperta in entrata) viene accettato e trattato come gli altri.

Originariamente inviato da mr.patata
Vabbè, ma pure se vedono che una porta si apre e passano dei dati, come fanno a sapere che tipo di dati sono? E poi, come fanno a sapere che quei dati che passano sono protetti da copyright e tu la stai violando?

Parli della Polizia Postale?
In realtà non ci vuole nulla per capire il tuo traffico e sapere cosa stai downlodando.
Cmq penso usino delle sonde dagli ISP (apparecchi che consentono di catturare tutto il tuo traffico e vedere in tempo reale cosa fai) per le indagini piuttosto che "penetrare" i singoli computer (ci metterebbero troppo a farli uno ad uno)

A capire che il traffico è protetto penso ci voglia meno di nulla: se scarichi un film o musica etc.. è materialeprotetto da copyright. :D

Originariamente inviato da gpc
Non so come funzioni il meccanismo con cui si accorge che una richiesta di accesso ad una porta è un portscan e non una semplice connessione, ma è possibile che se ne renda conto subito e che blocchi una eventuale risposta.
Boh, però non so, sono ipotesi...

Non credo sia così.

Potrei sbagliare ma per quanto ne sò il firewall lascerà aperta la porta che gli hai detto di lasciare aperta (e che quindi risulterà aperta dall'esterno) mentrele altre risulteranno chiuse.

Originariamente inviato da evelon
Non credo sia così.

Potrei sbagliare ma per quanto ne sò il firewall lascerà aperta la porta che gli hai detto di lasciare aperta (e che quindi risulterà aperta dall'esterno) mentrele altre risulteranno chiuse.

Sì ma io non gli ho detto di lasciare aperta nessuna porta :D
Io gli ho detto solo che il tal programma può effettuare connessioni e un altro no ;)

Originariamente inviato da evelon
Parli della Polizia Postale?
In realtà non ci vuole nulla per capire il tuo traffico e sapere cosa stai downlodando.
Cmq penso usino delle sonde dagli ISP (apparecchi che consentono di catturare tutto il tuo traffico e vedere in tempo reale cosa fai) per le indagini piuttosto che "penetrare" i singoli computer (ci metterebbero troppo a farli uno ad uno)


Così facile non direi. Magari per un pc si può pure fare, ma moltiplica l'operazione per le migliaia che stanno in rete e ti accorgi dell'impossibilità della cosa.

Originariamente inviato da evelon
A capire che il traffico è protetto penso ci voglia meno di nulla: se scarichi un film o musica etc.. è materialeprotetto da copyright. :D

E se io spedissi a un amico o condividessi il filmino delle vacanze? O una canzone che ho composto? Come fanno a sapere se è protetto da copyright o no? E se fossi un programmatore che mette a disposizione una sua creazione, come fai a riconoscere quale è protetto e quale no?

Originariamente inviato da gpc
Sì ma io non gli ho detto di lasciare aperta nessuna porta :D
Io gli ho detto solo che il tal programma può effettuare connessioni e un altro no ;)
Io invece gli dico che x tale programma mi deve lasciare aperta solo quella o l'altra porta, e se un altro progr vuole accedere alla rete con la stessa porta sygate mi richiede il xmesso; ovvio che qualke porta aperta c'è smp ma fidati se ti chiudi ben bene un semplice port scan non credo ti faccia poi tanto, almeno la soddisfazione di farli smanettare un pò prima di stringersi la mano tra di loro ;)

Originariamente inviato da mr.patata
Così facile non direi. Magari per un pc si può pure fare, ma moltiplica l'operazione per le migliaia che stanno in rete e ti accorgi dell'impossibilità della cosa.

E' esattamente quello che ho detto.
Non si fà ogni pc singolarmente (sarebbe assurdamente lento) ma con le sonde dagli stessi ISP.

Basta piazzarle nei concentratori del traffico e sui terminali vedi in tempo reale tutto il traffico che fai tu e tutti gli altri.

Ovviamente il traffico viene registrato ed è poi facilissimo (con dei software, spesso insieme alle sonde stesse) ricostruire il tuo traffico nei vari intervalli di tempo.

Potresti mascherare il tuo traffico solo se utilizzi una VPN o fai traffico criptato di altro genere (es una mail criptata): vedrebbero il tuo traffico ma non potrebbero decifrarlo.

Originariamente inviato da mr.patata
E se io spedissi a un amico o condividessi il filmino delle vacanze? O una canzone che ho composto? Come fanno a sapere se è protetto da copyright o no? E se fossi un programmatore che mette a disposizione una sua creazione, come fai a riconoscere quale è protetto e quale no?

Scusa ma se dai log vedo che ti sei scaricato l' "mp3_del_noto_cantante_che_ha_pubblicato_un_disco" non è che ci voglia molto a capire che è protetto. :D
E se hanno qualche dubbio possono sempre ascoltarlo :D

Originariamente inviato da gpc
Sì ma io non gli ho detto di lasciare aperta nessuna porta :D
Io gli ho detto solo che il tal programma può effettuare connessioni e un altro no ;)

Appunto.
Tu hai autorizzato il programma in questione ad aprire le porte su sua necessità.

Quindi se ti apre la porta 1234 in entrata e la 4321 in uscita il tuo pc avrà queste porte aperte ed accetterà connessioni in entrata dalla 1234 mentre il programma si connetterà tramite la 4321.

Originariamente inviato da evelon
Appunto.
Tu hai autorizzato il programma in questione ad aprire le porte su sua necessità.

Quindi se ti apre la porta 1234 in entrata e la 4321 in uscita il tuo pc avrà queste porte aperte ed accetterà connessioni in entrata dalla 1234 mentre il programma si connetterà tramite la 4321.

ok...
Ma resta il fatto che il firewall distingue tra un portscan e un collegamento normale...

Originariamente inviato da gpc
ok...
Ma resta il fatto che il firewall distingue tra un portscan e un collegamento normale...

Non conosco l'algoritmo che regola gli allarmi nei fw, anzi penso che ogni produttore, alla fine, ne implementi uno suo.

Viste anche le diversità degli allarmi tra i vari fw sotware (ciò che in uno è visto come allarme in un altro potrebbe essere non segnalato) posso solo presumere che il sw segnala un portscan quando riceve un tentativo di connessione su molte porte dalla stessa sorgente.

Essere più precisi penso sia difficile (almeno con le informazioni in mio possesso); ipotizzo che il fw cerchi di capire se il presunto attaccante stia mandando pacchetti di syn su più porte senza attendere l'ack.
Forse i fw software controlla anche se lo scan riguarda numeri di porte specifiche (es ftp o http) o se i numeri stanno in sequenza (es dalla 1 alla 110) o altro...

Insomma il software deve aver scritte dalla softwarehouse che l'ha prodotto una serie di "regole" (evidentemente ritenute pericolose dagli esperti della stessa softwarehouse) secondo le quali un evento è segnalato come "portscanning effettuato da un certo ip".

Originariamente inviato da evelon
Appunto.
Tu hai autorizzato il programma in questione ad aprire le porte su sua necessità.

Quindi se ti apre la porta 1234 in entrata e la 4321 in uscita il tuo pc avrà queste porte aperte ed accetterà connessioni in entrata dalla 1234 mentre il programma si connetterà tramite la 4321.

Comincio ad avere qualke dubbio su come funziona un fw :D
mi vorresti dire che se ad es tengo aperto la porta 0123 x aggiornare ad es l'antivirus possono attaccarmi lo stesso? magari usando un altro antivirus?? :D
al di la dello scherzo capisci cosa voglio dire???

Originariamente inviato da red_ka.it
Comincio ad avere qualke dubbio su come funziona un fw :D
mi vorresti dire che se ad es tengo aperto la porta 0123 x aggiornare ad es l'antivirus possono attaccarmi lo stesso? magari usando un altro antivirus?? :D
al di la dello scherzo capisci cosa voglio dire???


:confused:
non capisco.
Se tu lasci aperta la porta 123 perchè l'antivirus la usa per l'aggiornamento la porta dovrebbe risultare aperta.

Un altro antivirus (es un altro pc con lo stesso antivirus) non può farti nulla perchè anche lui sarà in ascolto su quella porta (es dal server della softwarehuose che distribuisce gli aggiornamenti).

Se hai specificato che solo quel programma può ricevere pacchetti in entrata da quella porta un ipotetico pacchetto (ovviamente ben formato, parte di una connessione stabilita etc..) diretto al tuo ip su quella porta verrà passato all'antivirus.

In generale se l'antivirus (o qualsiasi altro software) è ben fatto non riconoscendo il pacchetto tra i suoi dovrebbe scartarlo.
Se ci sono dei bug di programmazione qualcuno potrebbe approfittarne.

Ho omesso molti particolari e, detta così, è una trattazione un pò semplicistica ma spero che si capisca

Evelon, però così pare che il firewall non serva proprio a niente :D

Originariamente inviato da evelon
.....
non hai capito cosa volevo dire, mi pare normale che se lascio aperta la porta 123 quella risulterà aperta ma dico scusa se la lascio aperta all'antivirus non potrà mai utilizzarla un altra applicazione o sbaglio?? se setto una porta in uscita e una in entrata quelle due saranno esclusivamente riferite a quell'applicazione e non come dicevi qua...
Quindi se ti apre la porta 1234 in entrata e la 4321 in uscita il tuo pc avrà queste porte aperte ed accetterà connessioni in entrata dalla 1234 mentre il programma si connetterà tramite la 4321.
Il discorso sull'efficacia o meno di un antivirus è ben altra storia, non volevo proprio arrivarci, era solo x fare un esempio come sopra.
ciao.

Originariamente inviato da gpc
Evelon, però così pare che il firewall non serva proprio a niente :D

Non credo.

Il fw chiude efficacemente e rende invisibili tutte le porte non utilizzate e/o necessarie.

Un buon settaggio del fw è quello, appunto, che chiude tutto ciò che non serve e rende il computer "blindato" su quelle porte.

Ovvio che non puoi chiudere tutto: tanto vale staccare il filo :D

Originariamente inviato da red_ka.it
non hai capito cosa volevo dire, mi pare normale che se lascio aperta la porta 123 quella risulterà aperta ma dico scusa se la lascio aperta all'antivirus non potrà mai utilizzarla un altra applicazione o sbaglio?? se setto una porta in uscita e una in entrata quelle due saranno esclusivamente riferite a quell'applicazione e non come dicevi qua...


Aspetta, fai un pò di confusione.

Il funzionamento di un firewall è quello sopra descritto infatti i fw hardware professionali funzionano così per proteggere le LAN aziendali.

A questo discorso si aggiunge una funzionalità dei fw software che sfruttano il fatto di risiedere sulla stessa macchina che devono chiudere.
Queste applicazioni (che a questo punto non sono più solo fw) aggiungono alle funzionalità di fw un controllo dell'applicazione che tenta di inviare pacchetti.
Ovvero se apri la 123 in entrata il software controlla anche che la provenienza dei pacchetti (ho ipotizzato un pacchetto in uscita) sia l'applicazione che è stata autorizzata (es il p2p di gpc o l'antivirus).
Se l'applicazione che tenta di uscire è quella autorizzata si comporta come un fw aperto altrimento si comporta come un fw chiuso.
Semplicemente.

In entrata invece si preoccupa di mantenere aperta la porta richiesta e gira i pacchetti in entrata su quella porta all'applicazione considerata.

E' più chiaro?

cioè un fw x natura in entrata è smp aperto su un porta che setti x una sola applicazione?? io cmq mi riferivo a una macchina sola, è questo il caso in generale.
e intanto un altro scan, ch'pall!!!
--- e aggiungo: dopo un altro whois a un ennesimo ip mi ritrovo con ip appartenenti a quanto pare a server telecom, partenda Roma, passando x Palermo, France Telecom, Telecom Serbia e poi giungere qui, mò che facciamo???
io se continua così passo alla 56k.
ciao.

Originariamente inviato da red_ka.it
cioè un fw x natura in entrata è smp aperto su un porta che setti x una sola applicazione?? ...

Deve essere aperto altrimenti la tua applicazione non riceverebbe nulla.

Ovvio che un buon fw controla anche che un pacchetto rispetti certe regole di congruita' (es sia ben formato) per non far passare immondizia nel pc.

non so se è l'ora o sto perfido mal di denti che non mi fa capire un tubo, chiedo è aperto solo x l'applicazione che setti o x tutte le possibili in ascolto?? io dico di no e tu?

Un fw software in cui setti tutto chiuso meno che la porta 123 in entrata per l'applicazione pippo.exe si comportera come un fw aperto sulla porta 123 e girerà i pacchetti in entrata (sempre che siano congrui e non vengano riconosciuti come un possibile attacco dalle regole di cui si parlava sopra) a pippo.exe.

Ipotizzando un pluto.exe in ascolto sulla porta 123 questo non riceverà nulla perchè ogni pacchetto il fw lo girerà a pippo.exe.

Alla fine è come pensavo, in pratica settando un fw a puntino x un eventuale attacco bisognerebbe solo sfruttare qualke falla di un applicazione a cui hai dato permessi, giusto? Oltretutto con un azione coordinata di fw e antivirus un sistema può ritenersi sicuro da attacchi in questo modo? (ovviamente non parlo di attacchi hacking fatti coi cosidetti :D )

Originariamente inviato da >°°Pun][sh£r°°<
ciao a tutti, io ho Fastweb e oltre alle solite intrusioni del probabile blaster che hanno altri attraverso l'incolumità del servizio RPC, è da stamattina che noto ogni tanto dei Port Scan attraverso le seguenti porte: 2745, 1025, 445, 3127 e 6129
Non è mai successo...Ma si può capire cosa vogliono??
:mad: Qualcuno ha Fastweb Dsl??


Anch'io ho fastweb è ho circa 4/5 attacchi al minuto!
Questo è quello che va per la maggiore:

Somebody is scanning your computer.
Your computer's TCP ports:
139, 6129, 135, 1025 and 445 have been scanned from 2.255.63.221.

WHOIS:


OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 2.0.0.0 - 2.255.255.255
CIDR: 2.0.0.0/8
NetName: RESERVED-2
NetHandle: NET-2-0-0-0-1
Parent:
NetType: IANA Reserved
Comment:
RegDate: 1995-07-07
Updated: 2002-09-12

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org

# ARIN WHOIS database, last updated 2004-04-05 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.

Anche io sono stato "visitato" un paio di volte dall'IANA... ma che cos'è?

Originariamente inviato da gpc
Anche io sono stato "visitato" un paio di volte dall'IANA... ma che cos'è?

Non ne ho idea, ma guardando i dati del mio Sygate, la stessa IANA, hail libero accesso tramite l'IP 2.255.63.226, succede anche a te?

Originariamente inviato da geppof
Non ne ho idea, ma guardando i dati del mio Sygate, la stessa IANA, hail libero accesso tramite l'IP 2.255.63.226, succede anche a te?

In che senso "ha il libero accesso tramite l'IP"?

IANA
Internet Assigned Numbers Authority

Non è l'equivalente del RIPE europeo o ricordo male?

Originariamente inviato da evelon
IANA
Internet Assigned Numbers Authority

Non è l'equivalente del RIPE europeo o ricordo male?

Può darsi...

Ma il RIPE che cos'è? :fagiano:

:D

Ripe e` il registro delle assegnazioni di ip e domini in europa. L'analogo americano e` Arin e ce n'e` altri 2 o 3 x le altre aree ke nn so come si chiamano.
Usando whois vengono querati appunto i server di questi.

Iana e` l'agenzia storica della gestione di internet ma adesso nn so che competenze abbia ancora forse nulla boh. Iana era cmq governativa (usa) mentre nel ripe e altri possono partecipare tutti.
Cmq l'ente "centrale" oggi e` Icann (http://www.icann.org/general/background.htm) , non piu` Iana.

Cmq gli ip 2.eccetera sono riservati, si vede nell'output di whois che c'e` RESERVED... il fatto che il proprietario riporti Iana si deve semplicemente a questo non vuol dire mica che sono quelli del Iana che vi stanno incasinando il pc.
Riservati a cosa non saprei, magari forze armate americane... buona parte degli ip sono riservati a loro... o magari altro.. cmq sia connessioni da li` devono essere spoofate, cioe` l'ip di orgine non e` realmente quello, saranno worm e cose del genere che cercano macchine bucate..

Originariamente inviato da Pardo
Ripe e` il registro delle assegnazioni di ip e domini in europa. L'analogo americano e` Arin e ce n'e` altri 2 o 3 x le altre aree ke nn so come si chiamano.
Usando whois vengono querati appunto i server di questi.

Iana e` l'agenzia storica della gestione di internet ma adesso nn so che competenze abbia ancora forse nulla boh. Iana era cmq governativa (usa) mentre nel ripe e altri possono partecipare tutti.
Cmq l'ente "centrale" oggi e` Icann (http://www.icann.org/general/background.htm) , non piu` Iana.

Cmq gli ip 2.eccetera sono riservati, si vede nell'output di whois che c'e` RESERVED... il fatto che il proprietario riporti Iana si deve semplicemente a questo non vuol dire mica che sono quelli del Iana che vi stanno incasinando il pc.
Riservati a cosa non saprei, magari forze armate americane... buona parte degli ip sono riservati a loro... o magari altro.. cmq sia connessioni da li` devono essere spoofate, cioe` l'ip di orgine non e` realmente quello, saranno worm e cose del genere che cercano macchine bucate..


Ahhhhhh finalmente un pò di kiarezza...grazie 1000!!!
:)

Cmq, da questo pomeriggio non ricevo più attacchi. Si saranno fatti furbi oppure a Pasqua sospendono i portscan?

Originariamente inviato da mr.patata
Cmq, da questo pomeriggio non ricevo più attacchi. Si saranno fatti furbi oppure a Pasqua sospendono i portscan?
Io invece continuo a ricevere attacchi......:(

raga cmq io pensavo che fosse x via dell'elevato rischio terrorismo (11--->Pasqua) ma strano che le connessioni partano smp da Roma x girare un pò x l'Italia e arrivare a me solo dopo aver visitato alcuni server in particolare, cioè una volta Deutch Telecom, n'altra Telecom Italia Sparkle, un alltra ancora France Telecom così come Telecom Serbia, ...e mi fermo qui ma se continuano ancora chiamo il 187 urlando visto che l'ultima volta che ho chiamato l'operatore sembrava non volermi dire tutto visto che disse che Telecom..Sparkle non esisteva o era un altra società ed invece guardate qui (http://it.gsmbox.com/news/mobile_news/all/94685.gsmbox) ,ke ne dite qualcosa di strano c'è o no???

Non vedo l'ora di passare ad un altro gestore......purtroppo prima di disdire il contratto con la Telecom(per quanto riguarda internet) devo attendere almeno un anno(è una loro regola del c***o)....per cui mi restano altri 5 mesi di questa maledetta Telecom!!!:( :cry:

guarda che sto problema lo stanno avendo un pò tutti gli utenti e non solo quelli di telezozz.

esattamente.. io rilevo continui port scan da ip interni della rete fastweb.

Si lo so..ma non credo che gli altri gestori facciano degli "imbrogli" sulle bollette come fa la Telecom.
:(

Ma non è che fanno i portscan per vedere quali IP sono attivi e quali ancora liberi?

Originariamente inviato da mr.patata
Ma non è che fanno i portscan per vedere quali IP sono attivi e quali ancora liberi?
Non credo...gli Ip sono dinamici ;) ;)

Dopo 4/5 giorni con solo 2/3 scansioni oggi il boom.
Praticamente non si contano ma penso che siano quasi un centinaio e tutte da un range IP appartenemti a Telecom....

Originariamente inviato da axxaxxa3
Non credo...gli Ip sono dinamici ;) ;)

Appunto, per vedere quali sono occupati e quali liberi in quel momento.

Comunque, passata la tregua di Pasqua, hanno ricominciato!
:muro:

Originariamente inviato da mr.patata
Appunto, per vedere quali sono occupati e quali liberi in quel momento.

Comunque, passata la tregua di Pasqua, hanno ricominciato!
:muro:
Ma se ad ogni connessione l'IP cambia, a cosa gli serve sapere se è libero o meno...tanto cambia....:D

Da stamani ad ora nessuna scansione.

raga dato che telezozz e affini non ci diranno mai nulla i metodi x sapere qualcosa sono 2:
1)aspettare fino a quando le modifiche al decreto Urbani saranno ufficiali :sperem:
2)oppure aspettare fino al 1° maggio, giorno in cui sembra cesserà l'allarme antiterrorismo.
Ovviamente fino ad allora continuiamo coi dubbi ma personalmente non credo a un metodo usato x truffe su bollette dalla tele.. anche xkè con l'adsl non fanno nulla,
ciao.

Boh, magari fanno dei controlli continui sugli IP che in quel momento sono occupati e quelli che sono liberi. Non per sapere chi è online, solo per sapere quali sono ancora disponibili. E magari il firewall è troppo sensibile...

se fosse come dici allora vuol dire che hanno cambiato il metodo di assegnazione degli ip o sbaglio? e poi non credo proprio sia così, sono delle vere e proprie scansioni di porte.

Adesso che ci penso a Pasqua gli scan sono magicamente spariti per ricominiciare finite le feste. Significa che a controllare questi scan c'è qualcuno. Qualcuno che va in vacanza.


DOBBIAMO FARE QUALCOSA!!!!

Originariamente inviato da mr.patata
Adesso che ci penso a Pasqua gli scan sono magicamente spariti per ricominiciare finite le feste. Significa che a controllare questi scan c'è qualcuno. Qualcuno che va in vacanza.


DOBBIAMO FARE QUALCOSA!!!!
Hackeriamo il sito della Telecom!!:sofico: :sofico: :asd:

Bella idea!!! Magari gli facciamo dei continui port-scan, vediamo chi si stanca prima... :ops2:

Originariamente inviato da mr.patata
Bella idea!!! Magari gli facciamo dei continui port-scan, vediamo chi si stanca prima... :ops2:
potrebbe essere una idea........:)

intanto ste scansioni continuano di brutto e altro che aspettare e bla bla, cominciano sul serio a girarmi i ......!!!

Originariamente inviato da red_ka.it
intanto ste scansioni continuano di brutto e altro che aspettare e bla bla, cominciano sul serio a girarmi i ......!!!
HACKERIAMO!!!!!!!!HACKERIAMO!!!!!!!!HACKERIAMO!!!!!HACKERIAMO!!!!!!!................;) :D

quando si comincia???:D

Originariamente inviato da red_ka.it
quando si comincia???:D
Quando vuoi.....;) :D

beh qui sinceramente bisogna sul serio capire che cavolo sta succedendo, si è parlato di fw troppo sensibili e non era quello, si è parlato di server o pc infetti ma non era quello, insomma ci voglio proprio capire qualcosa, visto che l'ultima volta che ho chiamato Telezozz l'operatore sembrava mi nascondesse qualcosa, infatti ha detto che Telecom Italia Sparkle, azienda di Telecom che si occupa proprio di servizi wholesale e che mi ritrovo smp nei whois degli ip che mi "scannano", non esisteva o che secondo lui era un azienda straniera che magari non aveva nulla a che fare con Telecom e oltretutto poteva pure operare in settori ben diversi, ....
eh già un azienda con nome Telecom che fa i materassi o il cioccolato, che ne pensate??? :D

Originariamente inviato da red_ka.it
beh qui sinceramente bisogna sul serio capire che cavolo sta succedendo, si è parlato di fw troppo sensibili e non era quello, si è parlato di server o pc infetti ma non era quello, insomma ci voglio proprio capire qualcosa, visto che l'ultima volta che ho chiamato Telezozz l'operatore sembrava mi nascondesse qualcosa, infatti ha detto che Telecom Italia Sparkle, azienda di Telecom che si occupa proprio di servizi wholesale e che mi ritrovo smp nei whois degli ip che mi "scannano", non esisteva o che secondo lui era un azienda straniera che magari non aveva nulla a che fare con Telecom e oltretutto poteva pure operare in settori ben diversi, ....
eh già un azienda con nome Telecom che fa i materassi o il cioccolato, che ne pensate??? :D
Sarebbe melio...così non arriva la bolletta Telecom ma una bella tavoletta di cioccolata fondente.(marcata Telecom) :asd:

ò io da stamattina sto a 5 scansioni, speriamo ne facciano altre, voglio il record.....

.....di ip da perseguitare :D :D

Originariamente inviato da red_ka.it
ò io da stamattina sto a 5 scansioni, speriamo ne facciano altre, voglio il record.....

.....di ip da perseguitare :D :D

La mia situazione è altanelante.
Sono rimasto alcune settimane senza nessuna scansione in alti momenti invede ricevo decine (40/50) di scansioni in poche ore.
Sembra che comunque si sistemi disconnettendo internet e ricollegandosi, cambiando IP...

Solo 4 scansioni? Guardate a me nel giro di pochi minuti...

Originariamente inviato da mr.patata
Solo 4 scansioni? Guardate a me nel giro di pochi minuti...

Come diciamo qui a Ferrara... MAIAL! :eekk:

Ma che firewall usi?

beh quello era oggi cmq, sono uscito 2/3 ore quindi pc spento e ora sto a quota 12, non male eh? domani richiamo telecom, mi sò scocciato.
ps. i post in questo 3d sono diminuiti rispetto a giorni fa, che vuol dire? gli utenti si sono orami scocciati e arresi di segnalare sta cosa o siamo rimasti in pochi bersaglio di scansioni?
Ma che firewall usi? a me sembra il sygate sbaglio? lo stesso che uso io.

Originariamente inviato da red_ka.it
a me sembra il sygate sbaglio? lo stesso che uso io.

Sì ma la versione free??

la mia è la 5.5 pro, la sua non so,
scusa xkè lo chiedi?

Originariamente inviato da red_ka.it
la mia è la 5.5 pro, la sua non so,
scusa xkè lo chiedi?

Perchè io vedo un decimo delle informazioni che mostra il suo.
Non vedo le porte che sono state scansionate, vedo solo portscan mentre da lui c'è anche un altro tipo di attacchi, etc...

La mia versione comunque è la 5.1 Personal firewall... sarà per quello...

si in effetti è così, cmq se vuoi prova ad aggiornare il firmware, magari cambia qualcosa.

Ho il Sygate 5.5 pro...

Insomma, che devo fare??? Quella che avete visto è una piccola mole degli attacchi che ricevo...

Originariamente inviato da red_ka.it
si in effetti è così, cmq se vuoi prova ad aggiornare il firmware, magari cambia qualcosa.

Il firmware? :rotfl: :D

oops la signature volevo dire!
caxxo xò sganasciarsi così x un errore, e se vedi un film comico che ti viene un infarto? :D
mr che puoi fare? nulla credo tranne martellare il 187 o chi altro x esso.

Originariamente inviato da red_ka.it
oops la signature volevo dire!
caxxo xò sganasciarsi così x un errore, e se vedi un film comico che ti viene un infarto? :D
mr che puoi fare? nulla credo tranne martellare il 187 o chi altro x esso.

Signature? :fagiano: :wtf:

vabbè cambia versione che è meglio!!
ps, nel whois mò trovo pure tiscali
bello almeno qualcosa di nuovo

A me sempre e solo telecom e con frequenza da denuncia...

Che si fa? Si può organizzare una protesta di massa?:boxe:

Somebody is scanning your computer.
Your computer's TCP ports:
2745, 1025, 445, 3127 and 6129 have been scanned from 82.51.144.64.


Che porte sono queste? Che vanno cercando?

:mad:

Qualcuno sa a che servono quelle porte e perchè me hanno tentato di scassinarle?

Originariamente inviato da mr.patata
Qualcuno sa a che servono quelle porte e perchè me hanno tentato di scassinarle?

No.
Oggi comunque c'era qualcuno che aveva tempo libero e mi ha fatto quasi 60 portscan per due ore... :nonsifa:
Direi che era palesemente un virus :D

In pratica dovremmo prima sapere il motivo di tali scan, potrebbero essere tentativi di accesso, o macchine infette che cercano di infettare o altro, la cosa importante è se hai provato con un semplice whois a vedere qualcosa?

Originariamente inviato da gpc
No.
Oggi comunque c'era qualcuno che aveva tempo libero e mi ha fatto quasi 60 portscan per due ore... :nonsifa:
Direi che era palesemente un virus :D
si ma xkè con whois da neotrace da tutti questi ip mi risultano smp domini registrati a telecom italia sparkle, france telecom, suisse telecom etc??? vorrei capirci qualcosa uff.

Originariamente inviato da red_ka.it
si ma xkè con whois da neotrace da tutti questi ip mi risultano smp domini registrati a telecom italia sparkle, france telecom, suisse telecom etc??? vorrei capirci qualcosa uff.

Ehhh che ne so... a me vengono fatti al 99% solo da IP telecom, figurati...

Originariamente inviato da gpc
No.
Oggi comunque c'era qualcuno che aveva tempo libero e mi ha fatto quasi 60 portscan per due ore... :nonsifa:
Direi che era palesemente un virus :D

Solo? Io è tutto il giorno che ricevo port-scan. E questo da quando ho messo su Alice...


E gli IP sono tutti di Telecom Italia Net...

si ma io non dico da ip Telecom ma ip di domini Telecom, non so come spiegarti, guarda...

A me li fanno proprio dalla telecom invece.

cioè? non capisco che vuoi dire.

Che qui parlano di società farlocche, a me "Back Trace" da proprio Telecom Italia Net. E gli attacchi sono continui, 24h su 24h. Sygate ferma un ip e subito dopo vengo attaccato da un altro. Non è possibile, non è proprio possibile....

io cmq ho mandato un mail x consigli su se e come agire ad un associazione in difesa delle libertà digitali;
l'ho mandata poche ore fa, spero mi rispondano, nel caso ti faccio sapere, e se anche non lo facessero mando una mail a telecom proprio con allegato una jpeg composta del log di sygate pieno di avvisi di portscan + qualke indirizzo derivato dai whois, che ne dici ci stai a sta cosa?

Li ho inondati di mail per un paio di giorni. Ho pure chiamato: mi hanno passato il "servizio reclami"; nessuno mi ha risposto, poi cadeva la linea. Bisogna fare una protesta più grossa.

Comunque facci sapere come va, magari ci rivolgiamo in blocco...

in blocco?? cavolo siamo rimasti in 2 a lamentare sta situazione :rolleyes:

Io continuo a pensare che sono i pc di milioni di persone infettati dagli ultimi worm che sono circolati.

Raga ricordate che non tutti hanno un antivirus (la cosa potrebbe essere sbalorditiva ma è così), e hanno pure l'ADSL. Ve lo dico per esperienza personale. In questi ultimi tempi mi arrivano pc tutti infettati con W32.Netsky oltre che mi arrivano email con questo virus.

Originariamente inviato da xool
Io continuo a pensare che sono i pc di milioni di persone infettati dagli ultimi worm che sono circolati.

Raga ricordate che non tutti hanno un antivirus (la cosa potrebbe essere sbalorditiva ma è così), e hanno pure l'ADSL. Ve lo dico per esperienza personale. In questi ultimi tempi mi arrivano pc tutti infettati con W32.Netsky oltre che mi arrivano email con questo virus.

Infatti... le email con Netsky ormai non le conto neanche più... :muro:

Cosa fa a proposito questo netsky?

Guarda qui:

http://forum.hwupgrade.it/showthread.php?s=&threadid=626877

Originariamente inviato da xool
Guarda qui:

http://forum.hwupgrade.it/showthread.php?s=&threadid=626877

Grazie ;)

Originariamente inviato da mr.patata
Somebody is scanning your computer.
Your computer's TCP ports:
2745, 1025, 445, 3127 and 6129 have been scanned from 82.51.144.64.
:mad:

allora...

3127: backdoor di mydoom e altri

2745: backdoor di beagle

6129: dameware, prog di amministrazione remota... una vecchia versione e` bucata

1025: direi il solito blaster sul servizio rpc portmapper se nn ricordo male la porta..

445: le share. quindi altri worm, ma anche 'umani' armati di portscanner ( c'e` chi lo tiene acceso 24/7... ) che sperano d trovare share aperte in scrittura con accesso anonimo(guest)

Si ma io dico mica i virus e i pc non protetti esistono da un mese??? possibile mai una cosa da 15/16 portscan al giorno e tutti non da ip telecom ma da server telecom? sono così incompetenti da lasciare un worm libero nei loro pc??
poi dai un occhiata a questo post (http://forum.hwupgrade.it/showthread.php?s=&postid=4159573#post4159573) e ti quoto anche quanto scritto:

---Stamani mi ha telefonato un tecnico ( del mio provider ) riguardo una lamentela di un paio di mesi fa: mi lamentavo per la scarsa banda.
Dopo un paio di mesi si ricordano e mi chiamano dicendomi che a loro non risultano problemi e che fra l'altro hanno visto che, anzi, funziona molto bene a giudicare dai miei download da loro monitorati . Io lo ritengo un avvertimento
sò capzi, sò duri, sò amari, è stato bello finchè è durato ma chi cacchio me lo fa fare, stamani leggevo computer idea dove un articolo dice che la finanza sta facendo controlli a manetta sul peer to peer e io ci credo all'improvviso qualcosa succederà e chi sarà beccato la pagherà cara per dare un esempio.
Ragazzi, con questo governo non si ragiona perchè gli interessi che hanno prevaricano TUTTO---

Beh un attimino da dubitare credo ci sia o sbaglio?

Vabbè... computer infetti che a Pasqua vanno in vacanza e non fanno più nulla?

No, è più probabile che ci sia qualcuno dietro...

Originariamente inviato da mr.patata
Vabbè... computer infetti che a Pasqua vanno in vacanza e non fanno più nulla?

No, è più probabile che ci sia qualcuno dietro...
concordo in pieno,
xò magari sono virus cattolici :D

Originariamente inviato da gpc
Mentre ero via nessuno mi ha mai fatto nessun portscan, adesso sono collegato da casa da alcune ore e... puf! iniziano i portscan, esattamente come prima che me ne andassi.
Questo qui:

[code]
GeekTools Whois Proxy v5.0.3 Ready.
Checking access for 80.180.19.222... ok.
Final results obtained from whois.ripe.net.
Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.117.0.0 - 80.117.255.255
netname: TINIT-ADSL-LITE
descr: Telecom Italia
descr: Accesso ADSL BBB
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse@telecomitalia.it
notify: ripe-staff@telecomitalia.it
mnt-by: TIWS-MNT
changed: net_ti@telecomitalia.it 20020927
source: RIPE

route: 80.117.0.0/16
descr: INTERBUSINESS
origin: AS3269
notify: network@cgi.interbusiness.it
mnt-by: INTERB-MNT
changed: net_ti@telecomitalia.it 20011210
source: RIPE

person: BBBEASYIP STAFF
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff@telecomitalia.it
nic-hdl: BS104-RIPE
notify: ripe-staff@telecomitalia.it
changed: net_ti@telecomitalia.it 20001019
source: RIPE



Results brought to you by the GeekTools WHOIS Proxy
Server results may be copyrighted and are used with permission.
Your host (80.180.19.222) has visited 1 times today.


è il whois fatto con il firewall... adesso non ricordo se sono sempre gli stessi IP che mi fanno il portscan, ma sono sempre della rete della telecom... che può essere?
Comunque mi sa tanto che domani vada a mettere il firewall anche sui computer dei miei, non mi piace 'sta cosa... :rolleyes: [/QUOTE]

Originariamente inviato da gpc
Mentre ero via nessuno mi ha mai fatto nessun portscan, adesso sono collegato da casa da alcune ore e... puf! iniziano i portscan, esattamente come prima che me ne andassi.
Questo qui:

[code]
GeekTools Whois Proxy v5.0.3 Ready.
Checking access for 80.180.19.222... ok.
Final results obtained from whois.ripe.net.
Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.117.0.0 - 80.117.255.255
netname: TINIT-ADSL-LITE
descr: Telecom Italia
descr: Accesso ADSL BBB
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse@telecomitalia.it
notify: ripe-staff@telecomitalia.it
mnt-by: TIWS-MNT
changed: net_ti@telecomitalia.it 20020927
source: RIPE

route: 80.117.0.0/16
descr: INTERBUSINESS
origin: AS3269
notify: network@cgi.interbusiness.it
mnt-by: INTERB-MNT
changed: net_ti@telecomitalia.it 20011210
source: RIPE

person: BBBEASYIP STAFF
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff@telecomitalia.it
nic-hdl: BS104-RIPE
notify: ripe-staff@telecomitalia.it
changed: net_ti@telecomitalia.it 20001019
source: RIPE



Results brought to you by the GeekTools WHOIS Proxy
Server results may be copyrighted and are used with permission.
Your host (80.180.19.222) has visited 1 times today.


è il whois fatto con il firewall... adesso non ricordo se sono sempre gli stessi IP che mi fanno il portscan, ma sono sempre della rete della telecom... che può essere?
Comunque mi sa tanto che domani vada a mettere il firewall anche sui computer dei miei, non mi piace 'sta cosa... :rolleyes: [/QUOTE]

anch'io ricevo molte scansioni di questo tipo e questa è arrivata proprio nel momento in cui sto scrivendo questo messaggio....

:rolleyes:



% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.181.142.0 - 80.181.191.255
netname: TELECOM-ADSL-2
descr: Telecom Italia S.p.A.
descr: E@sy.ip service
descr: Wholesale service for ISP
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse@telecomitalia.it
notify: net_ti@telecomitalia.it
mnt-by: TIWS-MNT
changed: network@cgi.interbusiness.it 20030807
changed: net_ti@telecomitalia.it 20030807
source: RIPE

route: 80.181.0.0/16
descr: INTERBUSINESS
origin: AS3269
notify: network@cgi.interbusiness.it
mnt-by: TIWS-MNT
mnt-routes: INTERB-MNT
changed: net_ti@telecomitalia.it 20021001
source: RIPE

person: BBBEASYIP STAFF
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff@telecomitalia.it
nic-hdl: BS104-RIPE
notify: ripe-staff@telecomitalia.it
changed: net_ti@telecomitalia.it 20001019
source: RIPE

Qualcuno mi spiega questo??

Somebody is scanning your computer.
Your computer's TCP ports:
3127, 6129, 139, 80 and 445 have been scanned from 80.181.158.12.

Ho il Sygate....cosa devo fare?? Significa che qualcuno ha superato il Firewall o no?? Xchè ne subisco in continuazione:confused: :rolleyes: :confused:

TNX


% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.181.142.0 - 80.181.191.255
netname: TELECOM-ADSL-2
descr: Telecom Italia S.p.A.
descr: E@sy.ip service
descr: Wholesale service for ISP
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse@telecomitalia.it
notify: net_ti@telecomitalia.it
mnt-by: TIWS-MNT
changed: network@cgi.interbusiness.it 20030807
changed: net_ti@telecomitalia.it 20030807
source: RIPE

route: 80.181.0.0/16
descr: INTERBUSINESS
origin: AS3269
notify: network@cgi.interbusiness.it
mnt-by: TIWS-MNT
mnt-routes: INTERB-MNT
changed: net_ti@telecomitalia.it 20021001
source: RIPE

person: BBBEASYIP STAFF
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff@telecomitalia.it
nic-hdl: BS104-RIPE
notify: ripe-staff@telecomitalia.it
changed: net_ti@telecomitalia.it 20001019
source: RIPE

Originariamente inviato da red_ka.it
Dopo un paio di mesi si ricordano e mi chiamano dicendomi che a loro non risultano problemi e che fra l'altro hanno visto che, anzi, funziona molto bene a giudicare dai miei download da loro monitorati . Io lo ritengo un avvertimento

"monitorare" puo` significare che il tecnico ha semplicemente guardato il traffico, ha visto una bella media di qualche decina di KB/s ergo ha dedotto che funge tutto piu` che bene... anzi molto probabilmente sara` cosi`.
Ulteriori intrusioni nelle comunicazioni di qualcuno in particolare, sono proibite dalla legge... quindi se ti ricapita chiedi delucidazioni...



stamani leggevo computer idea dove un articolo dice che la finanza sta facendo controlli a manetta sul peer to peer e io ci credo all'improvviso qualcosa succederà e chi sarà beccato la pagherà cara per dare un esempio.

l'esempio e` solo un trucchetto psicologico che peraltro non funziona.
L'unico fatto reale e` che anche se danno un esempio poi devono ancora beccare gli altri 10 milioni... e prima di dare uno stop ad un fenomeno di questa portata i capi delle major saranno tutti sotto terra sostituiti da gente con mentalita` piu` aperta che nel frattempo avra` risolto il problema senza costruire nuove carceri.

"monitorare" puo` significare che il tecnico ha semplicemente guardato il traffico, ha visto una bella media di qualche decina di KB/s ergo ha dedotto che funge tutto piu` che bene... anzi molto probabilmente sara` cosi`.
a dire la verità c'ho pensato anche io.... ma dopo xò :D
cmq sia non mi capitano portscan da qualke giorno e cmq sono in misura molto inferiore, xò ho notato una cosa, prima di postare la prima volta riguardo ai portscan non aprivo il mulo da un bel pò, ricordo che solo dopo averlo aperto ho ricevuto sta marea di scansioni, (oltretutto scaricavo un progr freeware e non volevo farlo dal sito xkè odio quando ti chiedono i dati personali in cambio), nn x creare allarmismi ma ho notato sta cosa, chissà...
ciao.

Originariamente inviato da red_ka.it
a dire la verità c'ho pensato anche io.... ma dopo xò :D
cmq sia non mi capitano portscan da qualke giorno e cmq sono in misura molto inferiore, xò ho notato una cosa, prima di postare la prima volta riguardo ai portscan non aprivo il mulo da un bel pò, ricordo che solo dopo averlo aperto ho ricevuto sta marea di scansioni, (oltretutto scaricavo un progr freeware e non volevo farlo dal sito xkè odio quando ti chiedono i dati personali in cambio), nn x creare allarmismi ma ho notato sta cosa, chissà...
ciao.
Beh ragazzi interessante il fenomeno del port scanning... a me succede una cosa pero' che nn riesco a spiegarmi. Qualkuno forse mi fa il port-scanning offline....squilla il tel. vado a rispondere e dall'altra parte si sente solo un fruscio....... e poi riattacco!!!
:D :D :D :(

Ho aggiornato il firewall (meglio tardi che mai :D ) e adesso anche io vedo le porte su cui viene fatta la scansione.
Sono sempre le stesse...
L'altro giorno mi hanno fatto più di 90 scansioni in un'ora. :rolleyes:

Propendo sempre di più per il virus comunque...

Originariamente inviato da gpc
Propendo sempre di più per il virus comunque...


che va in vacanza a Pasqua e cambia IP ogni 3 minuti?

:rolleyes:

Originariamente inviato da mr.patata
che va in vacanza a Pasqua e cambia IP ogni 3 minuti?

:rolleyes:

Perchè i virus risiedono su computer, e i computer infettati li usano gli utonti, e gli utonti per Pasqua vanno in vacanza e magari non accendono il pc.
Gli utonti sono tanti, i computer sono tanti quindi gli IP sono tanti :D

Speriamo sia così... anche se mi sembra difficile che TUTTI i computer infetti siano spenti durante le feste...

Scaricate giga e giga di roba più o meno illegalmente e vi chiedete se i port scanning della telecom siano legali e legittimi :eheh:

Se si ha la coscienza pulita non vedo dove stia il problema!:boh:

E non venitemi a parlare di privacy e non privacy, perchè allora come prima cosa dovreste fare togliere tutte le telecamere che ci sono nelle città...:p

Anche io alcune volte faccio scaricare della roba da amici (ho ancora una linea 56k...) però insomma so di essere dalla parte del torto...e non mi arrampico sugli specchi:mc:

:sofico:

Insomma, se a forza di farmi scansioni mi rubano banda o mi ostacolano la navigazione, a me da fastidio visto che pago.

E poi vorrei tanto sapere cosa vanno cercando, perchè si attaccano a svchost.exe

Originariamente inviato da mr.patata
Insomma, se a forza di farmi scansioni mi rubano banda o mi ostacolano la navigazione, a me da fastidio visto che pago.

E poi vorrei tanto sapere cosa vanno cercando, perchè si attaccano a svchost.exe

Quello è bello che bloccato:O

Originariamente inviato da andreaxol
Scaricate giga e giga di roba più o meno illegalmente e vi chiedete se i port scanning della telecom siano legali e legittimi :eheh:

Se si ha la coscienza pulita non vedo dove stia il problema!:boh:

E non venitemi a parlare di privacy e non privacy, perchè allora come prima cosa dovreste fare togliere tutte le telecamere che ci sono nelle città...:p

Anche io alcune volte faccio scaricare della roba da amici (ho ancora una linea 56k...) però insomma so di essere dalla parte del torto...e non mi arrampico sugli specchi:mc:

:sofico:

Hai perso una fantastica occasione per tacere e non fare una bella figura di cacca.
E' quasi un anno che non attacco emule se non per pochissimo tempo... :rolleyes:
Perchè la gente deve parlare anche quando non h aniente da dire?

Se avessi anche tu un adsl sicuramente saresti da quest'altra sponda e imho con le motivazioni sbagliate, visto che chiudi tutto il discorso in due banali parentesi, "essere liberi di scroccare o no", oltretutto ammetti di usare anche tu roba illegale e scusami quindi non sei meglio di noi che ci lamentiamo anzi..., x il semplice motivo che se questi portscan fossero realmenti dovuti al dl Urbani beh il diritto alla privacy è sancito dalla costituzione e dalle mie parti una violazione è reato, quindi mi lamento(ne ho il diritto);
ah tanto x chiudere.... il titolo non è "Aiuto, scarico e mi controllano!" ;)

Originariamente inviato da andreaxol
Scaricate giga e giga di roba più o meno illegalmente e vi chiedete se i port scanning della telecom siano legali e legittimi :eheh:


Primo non centra un tubo, perche` le connessioni alle porte di worm o servizi bucabili ci sono sempre state in qualche misura da quando esiste internet, mentre i topic come questo ci sono sempre stati da quando i neofiti hanno iniziato ad usare i firewall.
E secondo e` ridicolo in quanto sia le major che le forze dell'ordine hanno possibilita` piu` funzionali x scovare i ladri di mp3 che cercare a casaccio macchine bucate.



E non venitemi a parlare di privacy e non privacy, perchè allora come prima cosa dovreste fare togliere tutte le telecamere che ci sono nelle città...:p


E allora?
Intanto la telesorveglianza e` legale e regolata, mentre l'intrusione informatica non e` autorizzata da nulla e nessuno in nessun caso quindi tantomeno ci sono garanzie che i miei diritti non vengano violati.

E poi non sono daccordo con la telesorveglianza dappertutto, ma non per questo mi rassegno all'idea che sia giusto togliermi anche tutti gli altri diritti.



Anche io alcune volte faccio scaricare della roba da amici (ho ancora una linea 56k...) però insomma so di essere dalla parte del torto...e non mi arrampico sugli specchi:mc:

Lo stesso torto degli schiavi fuggiti o dei rivoluzionari di tutti i tempi.
Ma in piu`, rispetto a questi, "condividi" il torto con milioni di persone (di cui la maggior parte sono i giovani), mentre per contro i tuoi avversari (quelli che hanno "ragione") sono una ristretta minoranza nel mondo, e sono i vecchi che fra poche decadi non ci saranno piu`.
Questo qua e` un "torto" che si mostra alquanto voglioso di cambiare proprietario.

Ma esiste un organizzazione che tutela l'utente che naviga in internet?
Perchè non chiediamo aiuto a Strisci@ l@ notizi@? :D :D

condivido in pieno quanto hai detto, tranne xò su questo:
mentre i topic come questo ci sono sempre stati da quando i neofiti hanno iniziato ad usare i firewall. :nono:
:D

--- "Striscia" è dalla parte del padrone, tranne x alcuni elusivi colpi di coda.

Concordo con te però ultimamente (da quando Bonolis li ha mollati) hanno perso odiens ed una notizia come questa sapendo le migliaia di utenti che ci sono in italia, potrebbe far loro comodo a risanare gli ascolti.;)

Scriviamo alle "Iene"..:D

Hai perso una fantastica occasione per tacere e non fare una bella figura di cacca.
E' quasi un anno che non attacco emule se non per pochissimo tempo...
Perchè la gente deve parlare anche quando non h aniente da dire?

Ho lanciato l' amo e...tac abboccano subito :D

Io so di essere dalla parte del torto per il semplice fatto di essermi fatto scaricare in 2 anni 3-4 film porno, due programmi e una ventina di mp3...se permettete non è la stessa cosa di uno che tira giù giga e giga. E' come paragonare uno che ha rubato le caramelle al bar con uno che rapina le banche.

Comunque è inutile tentare di mettere su un discorso su questo argomento...

Se le cose vanno così è perchè o bene o male si vuole che vadano così...il vero giro di vite prima o poi ci sarà

scusa ma chi ti dice che noi altri tiriamo giga di roba???

Riuniamoci da qualche parte e poi fiondiamoci tutti insieme negli uffici telecom per distruggere gli uffici..!!:D ;)