Portscan ogni 40 min...un orologio

[lightsaber]

Ecco la mia storia...vediamo se qualcuno di voi ne sa qualcosa in più:
ogni 40 min con regolarità svizzera subisco un attacco portscan da qusto IP

OrgName: FAST COLOCATION SERVICES
OrgID: FCS-73
Address: 3791 N. Edgewater Dr
City: Wasilla
StateProv: AK
PostalCode: 99654
Country: US

NetRange: 204.16.208.0 - 204.16.211.255
CIDR: 204.16.208.0/22
NetName: FC-BLK-1
NetHandle: NET-204-16-208-0-1
Parent: NET-204-0-0-0-0
NetType: Direct Allocation
NameServer: SANDY.THEHIDEOUT.NET
NameServer: SANDY2.THEHIDEOUT.NET
Comment: For Abuse Notices please visit http://www.fastcolocation.net/abuse/
RegDate: 2005-11-07
Updated: 2006-07-31

RAbuseHandle: NAD41-ARIN
RAbuseName: NOC Abuse Department
RAbusePhone: +1-703-637-6336
RAbuseEmail: [email protected]

RNOCHandle: NOC1938-ARIN
RNOCName: Network Operations Center
RNOCPhone: +1-703-286-2487
RNOCEmail: [email protected]

RTechHandle: NOC1938-ARIN
RTechName: Network Operations Center
RTechPhone: +1-703-286-2487
RTechEmail: [email protected]

OrgAbuseHandle: NAD41-ARIN
OrgAbuseName: NOC Abuse Department
OrgAbusePhone: +1-703-637-6336
OrgAbuseEmail: [email protected]

OrgTechHandle: NOC1938-ARIN
OrgTechName: Network Operations Center
OrgTechPhone: +1-703-286-2487
OrgTechEmail: [email protected]

# ARIN WHOIS database, last updated 2006-11-03 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

ovviamente ho cercato su Google se qualcun altro è interessato dallo stesso fenomeno ed ho scoperto che sono in buona compagnia....

Avete qualche idea

[Deviad]

Quote:

Originariamente inviato da lightsaber

Ecco la mia storia...vediamo se qualcuno di voi ne sa qualcosa in più:
ogni 40 min con regolarità svizzera subisco un attacco portscan da qusto IP

OrgName: FAST COLOCATION SERVICES
OrgID: FCS-73
Address: 3791 N. Edgewater Dr
City: Wasilla
StateProv: AK
PostalCode: 99654
Country: US

NetRange: 204.16.208.0 - 204.16.211.255
CIDR: 204.16.208.0/22
NetName: FC-BLK-1
NetHandle: NET-204-16-208-0-1
Parent: NET-204-0-0-0-0
NetType: Direct Allocation
NameServer: SANDY.THEHIDEOUT.NET
NameServer: SANDY2.THEHIDEOUT.NET
Comment: For Abuse Notices please visit http://www.fastcolocation.net/abuse/
RegDate: 2005-11-07
Updated: 2006-07-31

RAbuseHandle: NAD41-ARIN
RAbuseName: NOC Abuse Department
RAbusePhone: +1-703-637-6336
RAbuseEmail: [email protected]

RNOCHandle: NOC1938-ARIN
RNOCName: Network Operations Center
RNOCPhone: +1-703-286-2487
RNOCEmail: [email protected]

RTechHandle: NOC1938-ARIN
RTechName: Network Operations Center
RTechPhone: +1-703-286-2487
RTechEmail: [email protected]

OrgAbuseHandle: NAD41-ARIN
OrgAbuseName: NOC Abuse Department
OrgAbusePhone: +1-703-637-6336
OrgAbuseEmail: [email protected]

OrgTechHandle: NOC1938-ARIN
OrgTechName: Network Operations Center
OrgTechPhone: +1-703-286-2487
OrgTechEmail: [email protected]

# ARIN WHOIS database, last updated 2006-11-03 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

ovviamente ho cercato su Google se qualcun altro è interessato dallo stesso fenomeno ed ho scoperto che sono in buona compagnia....

Avete qualche idea

Hai un ip statico o dinamico?
Se l'ip è dinamico giacché non è possibile prevedere quale sarà il nuovo IP, almeno che io sappia, hai uno spyware.

[wizard1993]

Quote:

Originariamente inviato da Deviad

Hai un ip statico o dinamico?
Se l'ip è dinamico giacché non è possibile prevedere quale sarà il nuovo IP, almeno che io sappia, hai uno spyware.

penso anc'io fai un passaggio con un software antivirus e antispyware poi blocca il traffico internet fai 10 miuti prima dell'attacco, nel frattempo che aspetti a bloccare vai sul sito della bitdefendere e fai una scansione on-line

[lightsaber]

ho una DSL e le scansioni (Kaspersky, spybot, ad aware e gmer) sono negative.
Procedo con quella on line......

[lightsaber]

..bit defender on line negativa.....

[schumy2006]

Ciao !!
Mi inserisco anch'io nel 3d..
Anch'io infatti subisco attacchi da questo range di IP 204.16.208.0 - 204.16.208.255...
In alcuni casi il firewall individua la sorgente DNS, ad esempio dedicated.thehideout.net oppure dedicated19.thehideout.net ecc...

Per fortuna nel mio caso non si tratta di un portscan anche se forse in passato, quando l'ho subito, probabilmente proveniva proprio da qualcuno di questi IP...

In ogni caso devo specificare che gli attacchi da IP relativi a thehideout.net sono diretti tutti sulle porte 1026 e 1027 ... Che significa ?
(Il mio IP e' dinamico, ma ad ogni riconnessione dopo un po' riecco nei log del firewall i soliti IP di thehideout.net puntare su una o entrambe le porte anzidette...)

Volevo chiedere inoltre a lightsaber se oltre al portscan riceve anche attacchi singoli su queste 2 porte (1026 e/o 1027), come succede a me...

Cmq nel frattempo ho inserito gli IP nel file Hosts e nell'IPFilter di eMule (non so infatti se queste intrusioni da IP thehideout.net avvengono quando e' attivo eMule...).

Pero' anche fatte queste operazioni, il mio firewall (ZA Pro) continua a bloccare le intrusioni sulla 1026 e la 1027 da parte di IP 204.16.208.XX (relativi a thehideout.net)...

Su un sito che ora non ricordo ho trovato dei commenti di altri visitatori relativi a www.thehideout.net, ed il commento era "AVOID!", quindi da EVITARE.... (purtroppo non veniva spiegato il motivo...)

Spero qualcuno posso chiarirci di che si tratta...

Ciao

Ps. Anch'io ho eseguito Kaspersky Anti-virus 6.0, Ewido/AVG anti-spyware, Prevx1, spybot ed infine una scansione on-line con BitDefender, ma il sistema SEMBRA pulitissimo... MMha...

[lightsaber]

Quote:

Originariamente inviato da schumy2006

Volevo chiedere inoltre a lightsaber se oltre al portscan riceve anche attacchi singoli su queste 2 porte (1026 e/o 1027), come succede a me...

Non mi sembra...io vengo scannato su alcune porte (tra cui quelle che tu indiche) poi il mio firewall (Sygate Personal) esclude l'IP attaccante.

Confermo che in rete si trovano notizie su questi server *.HIDEOUT (nel mio caso sono SANDY e SANDY2) che li indicano come FETIDI e SOSPETTI (alcuni addirittura li indicano come server governativi)....pare inoltre che ignorino sistematicamente le segnalazioni di "abuse" fatte da molti....sarò paranoico ma puzza..e anche un bel pò!

[wizard1993]

Quote:

Originariamente inviato da lightsaber

Non mi sembra...io vengo scannato su alcune porte (tra cui quelle che tu indiche) poi il mio firewall (Sygate Personal) esclude l'IP attaccante.

Confermo che in rete si trovano notizie su questi server *.HIDEOUT (nel mio caso sono SANDY e SANDY2) che li indicano come FETIDI e SOSPETTI (alcuni addirittura li indicano come server governativi)....pare inoltre che ignorino sistematicamente le segnalazioni di "abuse" fatte da molti....sarò paranoico ma puzza..e anche un bel pò!

prova ad usare un antirootkit

[wizard1993]

Quote:

Originariamente inviato da wizard1993

prova ad usare un antirootkit

altrimenti prendi il telofono chiama il 112 e sporgi denuncia contro ignoti, poi ci pensano loro a beccarlo all'origine