Sito hackerato

[gionnico]

Ciao!

Visitereste questo sito:

http://www.gioganza.dnsalias.com


Non funziona .. non capisco dov'è il problema ?
Mi hanno hackerato : varie cose sono sballate ..

PS: Specificando l'indirizzo della LAN al server funziona, mentre digitando l'ip no ....




Il problema dev'essere nel pc da cui lo guardo

Io non riesco a vederlo o connettermi con FTP né usando il nome dominio né usando l'ip ..
Ma soltanto usando l'ip locale ...

Inoltre.. non riesco a visualizzare il logo in alto ... e non si apre il forum o il galaxytool : non riesco ad aprire nessuna immagine ...

Ma soltanto per quel sito ... voi riuscite a visualizzarle le immagini?

Anche al server IRC, non riesco a connettermi : viene visualizzato un MOTD parziale..

Come se ci fossero problemi nella trasmissione di pacchetti troppo grossi .. :master: (solo per quel sito però..)

Nel caso, dove può essere il problema? (si presenta sia con explorer sia con firefox) ..

[black92]

Quote:

Originariamente inviato da gionnico

Ciao!

Visitereste questo sito:

http://www.gioganza.dnsalias.com


Non funziona .. non capisco dov'è il problema ?
Mi hanno hackerato : varie cose sono sballate ..

PS: Specificando l'indirizzo della LAN al server funziona, mentre digitando l'ip no ....




Il problema dev'essere nel pc da cui lo guardo

Io non riesco a vederlo o connettermi con FTP né usando il nome dominio né usando l'ip ..
Ma soltanto usando l'ip locale ...

Inoltre.. non riesco a visualizzare il logo in alto ... e non si apre il forum o il galaxytool : non riesco ad aprire nessuna immagine ...

Ma soltanto per quel sito ... voi riuscite a visualizzarle le immagini?

Anche al server IRC, non riesco a connettermi : viene visualizzato un MOTD parziale..

Come se ci fossero problemi nella trasmissione di pacchetti troppo grossi .. :master: (solo per quel sito però..)

Nel caso, dove può essere il problema? (si presenta sia con explorer sia con firefox) ..

si, io vedo tutto senza problemi.
Mi viene un dubbio, utilizzi un firewall?

[W.S.]

Indirizzo LAN? forse è meglio se spieghi come è configurata la rete, il server è nella tua LAN o è esterno? Sicuro che non sia un problema della tua connesione? A me va tutto...

[black92]

Quote:

Originariamente inviato da W.S.

Indirizzo LAN? forse è meglio se spieghi come è configurata la rete, il server è nella tua LAN o è esterno? Sicuro che non sia un problema della tua connesione? A me va tutto...

sono d'accordo, dacci qualke info in più, altrimenti arrivare alla fonte del problema che hai, perchè credo sia solamente tuo, risulterebbe un po' complesso

[gionnico]

Quote:

Originariamente inviato da black92

sono d'accordo, dacci qualke info in più, altrimenti arrivare alla fonte del problema che hai, perchè credo sia solamente tuo, risulterebbe un po' complesso

Vi dico la struttura della rete, comunque ripeto che mi hanno crackato il pc..

Codice:

RETE -- ROUTER
        |    |
      PC1    SERVER

Una classica LAN, del tipo 192.168.x.x

Il ping e tracert riesco ad eseguirli ..

Mando uno screen : resta su "trasferimento" finché va in timeout ..


Per esempio questo screen io non lo vedo .. e la pagina resta in trasferimento..

[W.S.]

Non voglio sembrare scortese, ma comprendimi, non sono un telepate... come fai ad essere sicuro che ti abbiano bucato il pc? (ma il pc o il server?)

Comunque, il server lo raggiungi via LAN o ha un indirizzo pubblico?
Io installerei Ethereal sul PC1 e controllerei cosa non va nella connessione verso il server, in questo modo vedi se ti ritornano pacchetti da indirizzi che la tua macchina non si aspetta (magari tenti di instaurare una connessione con un ip esterno e ti risponde uno interno (NAT router corrotto)... o robe simili insomma)

Rimango fissato su problemi di connessione perchè non vedo che altro potrebbe essere, altrimenti non riusciremmo a vederlo nemmeno noi dall'esterno...

Facci sapere!

[gionnico]

Me lo hanno bucato perché me lo ha detto su messenger, e per un giorno c'è stata attività continua del router anche se non facevo niente : dal log risultava che avessero spedito i dati ad un server web ( http://s15211406.onlinehome-server.info ), mischiato a vari spoofing .. probabilmente per camuffare la cosa..

etheral non riconosco qual'è la connessione al server ....

[W.S.]

Ok, ti hanno bucato. Ma su Msn che era quello che l'ha fatto? Chiedi a lui no?

Cmq, come non riconosci la connesisone?

Stacca il server e attaccatici direttamente, cosi vedi se è un problema del router, hai controllato le regole del router? Il server è ok?

[Gianky....! :D :)]

Quote:

Originariamente inviato da gionnico

Me lo hanno bucato perché me lo ha detto su messenger, e per un giorno c'è stata attività continua del router anche se non facevo niente : dal log risultava che avessero spedito i dati ad un server web ( http://s15211406.onlinehome-server.info ), mischiato a vari spoofing .. probabilmente per camuffare la cosa..

etheral non riconosco qual'è la connessione al server ....

il sito a cui vengono spediti i dati non sembra molto affidabile...
Report mcafee site advisor : http://www.siteadvisor.com/sites/onl...=safe&aff_id=0

[gionnico]

Quote:

Originariamente inviato da W.S.

Ok, ti hanno bucato. Ma su Msn che era quello che l'ha fatto? Chiedi a lui no?

Secondo te me lo viene a dire? :rollo: Non era propriamente una prova tra amici ..

Quote:

Cmq, come non riconosci la connesisone?

Tra i pacchetti sniffati .. non capisco cosa non vada. La comunicazione c'è ..

Quote:

Stacca il server e attaccatici direttamente, cosi vedi se è un problema del router, hai controllato le regole del router? Il server è ok?

non ho un cavo crossed.
Ad ogni modo la comunicazione col server funziona, visto che da locale ci accedo perfettamente

Quote:

Originariamente inviato da Gianky....! :D :)

il sito a cui vengono spediti i dati non sembra molto affidabile...
Report mcafee site advisor : http://www.siteadvisor.com/sites/onl...=safe&aff_id=0

Evvai! Comunuque è lui l'iscritto io i dati non glie li ho dati ...
Peccato che credo se li sia presi da solo ..



Aspettate tra poco posto novità. Forse ho trovato.

[gionnico]

Non ho trovato niente:

c'era "driver di network monitor", ma lo ha installato etheral, giusto?


Dove posso andare a cercare robaccia in esecuzione? (i servizi sono ok, i servizi di rete anche e pure le esecuzioni automatiche ... )
L'antivirus (AVG) non segnala nulla ..

HiJackThis semmai lo posto .. ma sembra pulito ...

[black92]

Quote:

Originariamente inviato da gionnico

Non ho trovato niente:

c'era "driver di network monitor", ma lo ha installato etheral, giusto?


Dove posso andare a cercare robaccia in esecuzione? (i servizi sono ok, i servizi di rete anche e pure le esecuzioni automatiche ... )
L'antivirus (AVG) non segnala nulla ..

HiJackThis semmai lo posto .. ma sembra pulito ...

fai una scansione on-line con kaspersky o bitdefender. se trovano qualcosa, scarica il prodotto e scansiona da provvisoria. AVG in molti casi, soprattutto se free, non è assolutamente affidabile

[W.S.]

Spe, ricapitoliamo il problema, probabilmente son leso io (cenato pesante ;P)

Il server non si connette più a quel sito giusto? Il problema è che dal tuo pc non riesci a raggiungere il server se usi l'indirizzo pubblico ma ce la fai se usi quello privato giusto? Mi hai confuso con la storia della connessione che funziona...

Ma ethereal l'hai messo sul server?? Se si levalo appena hai finito di monitorare la rete!

[gionnico]

Quote:

Originariamente inviato da W.S.

Il server non si connette più a quel sito giusto?

Non era il server ma PC1 a connettersi al server spiatore.

E in effetti non ho fatto nulla per "farlo smettere" .. magari ora è solo latente ..

Quote:

Il problema è che dal tuo pc non riesci a raggiungere il server se usi l'indirizzo pubblico ma ce la fai se usi quello privato giusto? Mi hai confuso con la storia della connessione che funziona...

All'incirca: con l'indirizzo privato è perfetto.
Con quello pubblico riesco a pingare e scaricare piccoli files ..
Credo che sia questa la discriminante, infatti semplici files html li posso scaricare, ma non riesco a scaricare immagini o a connettermi via FTP ..

Ma ethereal l'hai messo sul server?? Se si levalo appena hai finito di monitorare la rete![/quote]
No l'ho messo sul client (PC1) ...
Vedo tanti pacchetti.. di strano, forse c'è:

Codice:

casa  sito  HTTP   GET /forum_27 HTTP/1.1
sito  casa   HTTP   HTTP/1.1 301 Moved permanently (text-html)

e poi..

Codice:

[TCP retransmission] [TCP Segment of a reassembled PDU]
[TCP Duk ACK 42#1] 1725 > http [ACK] Seq=1302 Ack=3482

[W.S.]

Ok, non avevo capito chi si connetteva a cosa

L'HTML 301 non dovrebbe esserci, ammenochè non lo preveda il server (ma se ti sembra strana la sua presenza immagino tu non abbia spostato/rediretto nulla)
Sicuro di connetterti proprio al tuo server? Il tracert non dava percorsi strani? Non vorrei che tu venga rediretto a qualche sito fasullo messo solo per fregarti passwd o robe simili...

[W.S.]

Come non detto, ho controllato la mia connessione e pure a me da il 301 per entrambi i link, però mi redirige sempre verso l'indirizzo gusto (lo stesso del link)
Nsomma mi sa che è tutto ok... (ma come mai da ste 301? Son configurati come virtual host? separati?)

[TCP Duk ACK 42#1] 1725 > http [ACK] Seq=1302 Ack=3482
Questo è un "Dup ACK" giusto? Altrimenti non ho idea di cosa sia...

... bho ... se il router è a posto, la connessione abbiam visto che è ok, il server pure... come az fa a non andarti? Firewall/Proxy di mezzo?

[gionnico]

Quote:

Originariamente inviato da W.S.

Come non detto, ho controllato la mia connessione e pure a me da il 301 per entrambi i link, però mi redirige sempre verso l'indirizzo gusto (lo stesso del link)
Nsomma mi sa che è tutto ok... (ma come mai da ste 301? Son configurati come virtual host? separati?)

Per il 301, non uso virtual hosts, ma forse è perché ho impostato le wildcards quindi qualunquecosa.gioganza.dnsalias.com va a gioganza.dnsalias.com .. forse è questo non saprei..

Il tracert è apposto ..

Quote:

... bho ... se il router è a posto,

Il router fa il suo forward alla porta 80 del server.. ed ha sempre funzionato..

Quote:

la connessione abbiam visto che è ok,

Funziona tutto tranne quello .. e connettersi ci riesce anche al server..

Quote:

il server pure...

Eh si.. anche dall'esterno è visibile..

Quote:

Firewall/Proxy di mezzo?

Firewall no ..

Proxy no .. a meno che siano impostati da qualche malware..
Ad ogni modo NON visibile dal netstat ...

Ho fatto la scansione con KAV online e mi dice tutto OK ...

Anche HiJackThis è apposto il log..

[gionnico]

Ho risolto ..

Firefox e thunderbird non volevano rimuoversi.

Li ho rimossi manualmente.. cercando anche le voci nel registro.

E li ho reinstallati.

Era lì il problema, non so come, avevano hackerato il file firefox.exe ...

Comunque è strano, mi piacerebbe capirci di più .. anche perché non posso più essere sicuro di aver debellato il problema...

[black92]

Quote:

Originariamente inviato da gionnico

Ho risolto ..

Firefox e thunderbird non volevano rimuoversi.

Li ho rimossi manualmente.. cercando anche le voci nel registro.

E li ho reinstallati.

Era lì il problema, non so come, avevano hackerato il file firefox.exe ...

Comunque è strano, mi piacerebbe capirci di più .. anche perché non posso più essere sicuro di aver debellato il problema...

mmm...per me non centra nulla. Cmnq, sei sicuro che magari non era un problema temporaneo di ieri o che so in qst giorni???? mi sembra strano. Poi comunque dovevi provare anke con IE

[W.S.]

Hai tenuto una copia del file vecchio? Possiamo confrontarlo con quello originale e capire cosa fa