netstat e strane connessioni............

[Vanon]

qualcuno mi può spiegare brevemente se una connessione del genere è pericolosa?

TCP mio IP: porta che varia ogni volta 151.7.11.139: porta con un numero altissimo

non ci capisco una sega, è un cazzone connesso al mio pc o cosa? sono sempre porte non associate a programmi o simili

[riazzituoi]

.

[Vanon]

si, ma gli IP collegati per P2P passano per una porta precisa, questi altri IP passano per porte sempre diverse e non sono riconducibili a nessun programma in esecuzione

[riazzituoi]

.

[Vanon]

si le porte sono sempre diverse, anche se ora come ora tutti gli indirizzi esterni hanno come porta la 80, http giusto? cmq quelle sospette non hanno nessun programma associato, nè un PID. per es. un IP è di doubleclick, 209.62.179.54, porta 80, questo non penso sia pericoloso, ma ieri un ip danese (209.62.179.54) si connetteva e disconnetteva in continuazione, sempre con porte diverse, sia sue che mie.........

la connessione da ieri sera è bella stabile, ma fino a 2 giorni fa mi disconnettevo spessisimo, ogni 10 min. il router si disconnetteva e riconnetteva. nel log del router è pieno di kernel: Intrusion da parte di IP nella maggior parte di infostrada (151).

[riazzituoi]

.

[Vanon]

l'Os è aggiornatissimo,non uso un firewall tranne quello del router(ma se le cose stanno così sarà meglio installarne uno.....) e i servizi di windows li ho modificati sia con nlite che con guide su internet. Cmq dai test vari che si fanno su internet x la protezione il mio pc risulta sthealted su tutte le porte piú pericolose. Da quando ho installato spybot e ho fatto l'immunizzazione le uniche conn. strane passano x la porta 80 da parte loro e da varie mie

[Gianky....! :D :)]

Quote:

Originariamente inviato da Vanon

l'Os è aggiornatissimo,non uso un firewall tranne quello del router(ma se le cose stanno così sarà meglio installarne uno.....) e i servizi di windows li ho modificati sia con nlite che con guide su internet. Cmq dai test vari che si fanno su internet x la protezione il mio pc risulta sthealted su tutte le porte piú pericolose. Da quando ho installato spybot e ho fatto l'immunizzazione le uniche conn. strane passano x la porta 80 da parte loro e da varie mie

Peccato che il router controllo solo le connessioni in entrata.
Per quelle in uscita hai bisogno di un buon firewall come online armor.
Con quello blocchi di sicuro la connessione del presunto "cazzone" ed infine installa un buon antivirus come antivir, e un buon anti-spyware come spyware terminator.
Sono tutti prodotti free.
Ciao

[riazzituoi]

.

[Vanon]

grazie ragazzi per l'aiuto! come AV già uso antivir premium, spybot s&d e a-squared per gli spyware, ora installo il firewall

cmq vi metto la schermata di netstat -an che ho ora (appena acceso il pc ):

ho solo tolto il mio IP interno, anche se ormai serve a poco

[riazzituoi]

.

[Vanon]

sì il mio provider è infostrada cmq norman malware cleaner continua a togliermi un sacco di host, x es.
www.007guard.com
Removed hosts entry: 127.0.0.1 007guard.com
Removed hosts entry: 127.0.0.1 008i.com
Removed hosts entry: 127.0.0.1 www.008k.com
Removed hosts entry: 127.0.0.1 008k.com
Removed hosts entry: 127.0.0.1 www.00hq.com
Removed hosts entry: 127.0.0.1 00hq.com
Removed hosts entry: 127.0.0.1 010402.com
Removed hosts entry: 127.0.0.1 www.032439.com
Removed hosts entry: 127.0.0.1 032439.com
Removed hosts entry: 127.0.0.1 www.0scan.com
Removed hosts entry: 127.0.0.1 0scan.com
Removed hosts entry: 127.0.0.1 100888290cs.com
Removed hosts entry: 127.0.0.1 www.100888290cs.com
Removed hosts entry: 127.0.0.1 www.100sexlinks.com
Removed hosts entry: 127.0.0.1 100sexlinks.com
Removed hosts entry: 127.0.0.1 10sek.com
Removed hosts entry: 127.0.0.1 www.10sek.com
Removed hosts entry: 127.0.0.1 123topsearch.com
Removed hosts entry: 127.0.0.1 www.123topsearch.com
Removed hosts entry: 127.0.0.1 132.com
Removed hosts entry: 127.0.0.1 www.132.com
Removed hosts entry: 127.0.0.1 www.136136.net
Removed hosts entry: 127.0.0.1 136136.net
Removed hosts entry: 127.0.0.1 163ns.com
Removed hosts entry: 127.0.0.1 www.163ns.com
Removed hosts entry: 127.0.0.1 171203.com
Removed hosts entry: 127.0.0.1 17-plus.com
Removed hosts entry: 127.0.0.1 1800searchonline.com
Removed hosts entry: 127.0.0.1 www.1800searchonline.com
Removed hosts entry: 127.0.0.1 180searchassistant.com
Removed hosts entry: 127.0.0.1 www.180searchassistant.com
Removed hosts entry: 127.0.0.1 www.180solutions.com
Removed hosts entry: 127.0.0.1 180solutions.com
Removed hosts entry: 127.0.0.1 www.1987324.com
Removed hosts entry: 127.0.0.1 1987324.com
Removed hosts entry: 127.0.0.1 1clickpcfix.com
Removed hosts entry: 127.0.0.1 www.1clickpcfix.com
Removed hosts entry: 127.0.0.1 1-domains-registrations.com
Removed hosts entry: 127.0.0.1 www.1-domains-registrations.com
Removed hosts entry: 127.0.0.1 www.1sexparty.com
Removed hosts entry: 127.0.0.1 1sexparty.com
Removed hosts entry: 127.0.0.1 www.1stantivirus.com
Removed hosts entry: 127.0.0.1 1stantivirus.com
Removed hosts entry: 127.0.0.1 www.1stpagehere.com
Removed hosts entry: 127.0.0.1 1stpagehere.com
Removed hosts entry: 127.0.0.1 www.1stsearchportal.com
Removed hosts entry: 127.0.0.1 1stsearchportal.com
Removed hosts entry: 127.0.0.1 2.82211.net
Removed hosts entry: 127.0.0.1 www.2006ooo.com
Removed hosts entry: 127.0.0.1 2006ooo.com
Removed hosts entry: 127.0.0.1 www.2007-download.com
Removed hosts entry: 127.0.0.1 2007-download.com
Removed hosts entry: 127.0.0.1 2008search-destroy.com
Removed hosts entry: 127.0.0.1 www.2008search-destroy.com
Removed hosts entry: 127.0.0.1 2008-search-destroy.com
Removed hosts entry: 127.0.0.1 www.2008-search-destroy.com
Removed hosts entry: 127.0.0.1 www.2020search.com
Removed hosts entry: 127.0.0.1 2020search.com
Removed hosts entry: 127.0.0.1 20x2p.com
Removed hosts entry: 127.0.0.1 24-7searching-and-more.com
Removed hosts entry: 127.0.0.1 www.24-7searching-and-more.com
Removed hosts entry: 127.0.0.1 www.24teen.com
Removed hosts entry: 127.0.0.1 24teen.com
Removed hosts entry: 127.0.0.1 2ndpower.com
Removed hosts entry: 127.0.0.1 www.2search.com
Removed hosts entry: 127.0.0.1 2search.com
Removed hosts entry: 127.0.0.1 www.2search.org
Removed hosts entry: 127.0.0.1 2search.org
Removed hosts entry: 127.0.0.1 www.2squared.com
Removed hosts entry: 127.0.0.1 2squared.com
Removed hosts entry: 127.0.0.1 www.3322.org
Removed hosts entry: 127.0.0.1 3322.org
Removed hosts entry: 127.0.0.1 www.36site.com
Removed hosts entry: 127.0.0.1 36site.com
Removed hosts entry: 127.0.0.1 3721.com
Removed hosts entry: 127.0.0.1 39-93.com
Removed hosts entry: 127.0.0.1 www.3xclipsonline.com
Removed hosts entry: 127.0.0.1 3xclipsonline.com
Removed hosts entry: 127.0.0.1 www.3xcurves.com
Removed hosts entry: 127.0.0.1 3xcurves.com
Removed hosts entry: 127.0.0.1 www.3xfestival.com
Removed hosts entry: 127.0.0.1 3xfestival.com
Removed hosts entry: 127.0.0.1 3x-festival.com
Removed hosts entry: 127.0.0.1 www.3x-festival.com
Removed hosts entry: 127.0.0.1 3x-galls.com
Removed hosts entry: 127.0.0.1 www.3x-galls.com
Removed hosts entry: 127.0.0.1 www.3xmiracle.com
Removed hosts entry: 127.0.0.1 3xmiracle.com
Removed hosts entry: 127.0.0.1 www.3xmoviesblog.com
ce ne saranno 200 ogni volta......

ora su netstat ho solo un localhost e 151.7.11.136 con connessione ESTABLISHED ma che cazzo volgiono.........inoltre la conn. mi pare molto rallentata a volte, mi ritrovo a scaricare a pochi BYTE al secondo a volte senza contare che la pagina del router a volte è velocissima a caricarsi, altre volte ci impiega secoli

online scanner mi dice che le uniche 2 conn. sospette che sono "established" in netstat passano per antivir web guard, che significa?

[riazzituoi]

.

[Vanon]

qua comincio ad incazzarmi come un riccio.....ho installato online armor e nonostante tutto sono pieno di connessioni established con ip vari, tra cui 151.1.244.55 ma basta, con questo pc ci gioco solo, che entrino pure tutti i minchioni del lombardo veneto, più di così non so cosa fare, e ti ho fatto perdere già abbastanza tempo, grazie riazzituoi

il mio ip cmq è diverso da quello collegato, ma non è che potrebbe essere l'ip del motore di ricerca di libero o roba del genere? intendo a volte quando digito nella barra degli indirizzi mi esce il motore di ricerca di libero, non google



ps. con hostxpert ho messo come host solo quello che dici tu, poi li ho messi in sola lettura

[riazzituoi]

.

[xcdegasp]

in ogni caso con libero.it puoi impostare i programmi in modo che usino il proxy: proxy.libero.it
post: 8080

questo mascherebbe a un primo occhio il tuo ip

[Franz.]

Senti Vanon, prima di tutto, MAI buttare la spugna, e poi per cortesia, ti chiedo di fare qualche altra prova:

vai su www.sysinternals.com (ora è Microsoft technet) e scaricati i programmi TCPView (http://technet.microsoft.com/en-us/s.../bb897437.aspx) e Process Monitor (http://technet.microsoft.com/en-us/s...bb896645.aspx). L'uso è semplice, utilizzali per controllare un pochino meglio il tuo pc, ed al riguardo ti consiglierei di operare in questo modo:
Avvia il pc da spento, attendi il caricamento di tutto, e poi inizia a chiudere tutti i programmi residenti ed attivi in background che conosci.

A questo punto lancia TCPView e verifica le connessioni; se serve aiutati con Process Monitor per venire a capo dell'eseguibile e del processo che accede alla rete.
Facci sapere.

[ania]

Quote:

Originariamente inviato da riazzituoi

Potrebbe essere, inoltre l'indirizzo 151.1.244.55 fa parte di un range usato da infostrada per i DNS

Ciao, quando sono collegata su HWU,
nel log delle connessioni del firewall,
vedo sia connessioni all'IP 151.1.244.2 [IP di HWU]
sia connessioni all'IP 151.1.244.55
in effetti non mi sono mai spiegata il perchè compaiano le connessioni al secondo IP.


In che relazione sono i due IP in questione ?

Stanno nello stesso range, ok, e la seconda connessione la visualizzo solo ed esclusivamente se sono connessa ad HWU, perchè compaiono le connessioni all'IP 151.1.244.55 ?

Grazie a chi mi illuminerà

Ania

[ania]

Quote:

Originariamente inviato da Franz.

TCPView (http://technet.microsoft.com/en-us/s.../bb897437.aspx) e Process Monitor (http://technet.microsoft.com/en-us/s...bb896645.aspx).

Suggerisco anche Process Explorer
link per scaricarlo :
http://technet.microsoft.com/en-us/s.../bb896653.aspx

http://www.ilsoftware.it/querydl.asp?ID=821

Quote:

Process Explorer è considerabile come l'evoluzione del Task Manager di Windows.
Si tratta di un programma eccellente, distributo gratuitamente, che permette di verificare quali processi sono in esecuzione sul sistema: ciascuno di essi può essere interrotto tramite l'interfaccia del programma.
Oltre alle funzionalità standard che mette a disposizione, Process Explorer permette di avere un'idea chiara di ciò che sta accadendo: ad esempio, è possibile sapere, in tempo reale, quale processo ha aperto determinati file o cartelle.
Process Explorer si compone di due finestre: quella posta più in alto mostra l'elenco dei processi attivi insieme con una serie di informazioni aggiuntive, quella più in basso l'insieme degli handle e delle librerie DLL aperti dal processo selezionato.
L'uso della CPU è visualizzato mediante un grafico autoaggiornante nella parte superiore della finestra.
Process Explorer restituisce tutti i dati relativi all'utilizzo della memoria fisica e del file di paging.

Ania

[Franz.]

L'ip 151.1.244.55 è di un server dns di ITnet. Allego whois.

---------------------
Details on IP address 151.1.244.55
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '151.1.0.0 - 151.1.255.255'

inetnum: 151.1.0.0 - 151.1.255.255
netname: ITNET-WAN
descr: ITnet S.p.A. - Genova - Italia
country: IT
admin-c: GS28-RIPE
tech-c: AM292-RIPE
tech-c: MG8430-RIPE
tech-c: EC165-RIPE
rev-srv: dns.it.net dns2.it.net
status: ASSIGNED PA
mnt-by: AS3242-MNT
source: RIPE # Filtered

person: Gianni Signa
address: ITnet S.r.l.
address: Via Pacinotti, 39
address: I-16151 Genova
phone: +39 010 4310100
fax-no: +39 010 4310297
e-mail: [email protected]
nic-hdl: GS28-RIPE
mnt-by: ITNET-MNT
source: RIPE # Filtered

person: Elena Cevasco
address: ITnet S.r.l.
address: Via Pacinotti, 39
address: I-16151 Genova
address: Italy
phone: +39 010 4310100
fax-no: +39 010 4310297
e-mail: [email protected]
nic-hdl: EC165-RIPE
mnt-by: ITNET-MNT
source: RIPE # Filtered

person: Andrea Monticelli
address: ITnet S.r.l.
address: Via Pacinotti, 39
address: I-16151 Genova
address: Italy
phone: +39 010 4310100
fax-no: +39 010 4310297
e-mail: [email protected]
nic-hdl: AM292-RIPE
mnt-by: ITNET-MNT
source: RIPE # Filtered

person: Michele Giambruno
address: ITnet S.r.l.
address: Via Pacinotti, 39
address: I-16151 Genova
address: Italy
phone: +39 010 4310100
fax-no: +39 010 4310297
e-mail: [email protected]
nic-hdl: MG8430-RIPE
mnt-by: ITNET-MNT
source: RIPE # Filtered

% Information related to '151.1.0.0/16AS3242'

route: 151.1.0.0/16
descr: ITNET-WAN
origin: AS3242
mnt-by: AS3242-MNT
source: RIPE # Filtered
---------------------