lo stesso intruso ogni 30sec. Cosa fare ?...

raxas · 02-08-2003, 12:43

Salve a tutti,
i monitorini nella mia connessione si attivavano anche se non aggiornavo la pagina così ho scaricato ZoneAlarmPro e risulta, tutt'ora, praticamente ogni 30 secondi un tentativo (non so se di intrusione, ma è probabile) da parte dell'indirizzo ***.***.***.* così dal sito

http://www.ripe.net/index.html

che controlla questi indirizzi è risultata, ho sottolineato, una rilevazione sospetta:
------------------------------------------------------>
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-serv...copyright.html

inetnum: 192.168.0.0 - 192.168.255.255
netname: IANA-CBLK-RESERVED1
descr: Class C address space for private internets
descr: See http://www.ripe.net/db/rfc1918.html for details
country: NL
admin-c: RFC1918-RIPE
tech-c: RFC1918-RIPE
status: ALLOCATED UNSPECIFIED
remarks: Country is really worldwide
remarks: This network should never be routed outside an enterprise
remarks: See RFC1918 for further information
notify: peter@ripe.net
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RIPE-NCC-HM-MNT
changed: rfc1918@ripe.net 20020129
changed: hostmaster@ripe.net 20030506 # zz.example.ziya via https://lirportal.ripe.net
changed: hostmaster@ripe.net 20030509 # zz.example.emma via https://lirportal.ripe.net
changed: hostmaster@ripe.net 20030514 # zz.example.kevin via https://lirportal.ripe.net
changed: hostmaster@ripe.net 20030514 # zz.example.kevin via https://lirportal.ripe.net
changed: hostmaster@ripe.net 20030514 # zz.example.kevin via https://lirportal.ripe.net
changed: hostmaster@ripe.net 20030526
source: RIPE

role: RFC1918 Role
address: Singel 258
address: 1016 AB Amsterdam
address: The Netherlands
e-mail: rfc1918@ripe.net
trouble: See http://www.ripe.net/db/rfc1918.html
admin-c: RFC1918-RIPE
tech-c: RFC1918-RIPE
nic-hdl: RFC1918-RIPE
mnt-by: RFC1918-MNT
changed: rfc1918@ripe.net 20020121
changed: rfc1918@ripe.net 20021218
source: RIPE
--------------------------------------------------------<
Insomma, correggetemi se sbaglio, ma questo intruso, forse ha lanciato uno scan tool automatico (sono ora le 13.30 e tutto è terminato, forse aveva settato degli orari) dall'interno di una azienda?
Non ricordo il nome ma qualcuno suggeriva da dos di dare il comando ping -a (indirizzo), ma per fare cosa?

In circa 40 minuti ho avuto 148 tentativi di intrusione di cui 18 High Rated,(non ho più in questo momento tentativi, sono cessati alle 13.30 circa) capisco che c'è chi si esercita, ma tanto per sapere, mi potreste consigliare un esercizio per farli smettere?

Ciao.

Abit-HQ · 03-08-2003, 01:32

Dato l'indirizzo ip privato i casi sono due:

1)Un pc di una lan interna
2)Uno dei primi hop del tuo provider.

Lancia un nslookup o un tracert e vedrai che è un server del tuo provider.
Magari e dico magari installa un firewall serio.
Zonealarm è un valido sostituto di un albero di natale e basta.

PS:Lo stesso ripe ti dice che è un ip privato alla voce descr: Class C address space for private internets

raxas · 03-08-2003, 01:54

Quote:

Originariamente inviato da Abit-HQ
Dato l'indirizzo ip privato i casi sono due:

1)Un pc di una lan interna
2)Uno dei primi hop del tuo provider.

Lancia un nslookup o un tracert e vedrai che è un server del tuo provider.
Magari e dico magari installa un firewall serio.
Zonealarm è un valido sostituto di un albero di natale e basta.

PS:Lo stesso ripe ti dice che è un ip privato alla voce descr: Class C address space for private internets

Ciao! Grazie per la risposta.

ehm, non so cosa sia un nslookup o un tracert

se mi puoi spiegare come fare... magari domani..., visto che è tardissimo e ho un turno mattutino di lavoro.
Ciao, buonanotte.

PL4N3T · 05-08-2003, 05:49

buon giorno allora i progammi che suggerisce servono per darti informazioni sull ip.

guarda qui:

nslookup

tracert

cmq anche io uso zone allarm e non mi piace proprio per niente xkè è troppo giocattoloso, vorrei qualcosa di Veloce, Funzionale e di sostanza, magari in italiano; ho win xp

cmq sia shero con emule 0.28b e mi capita che anche x 1ora che ho chiuso il client ancora migliaia di IP si provino a connettere a me; continuamente mi costringe a guardare il fw x vedere se sono attaccato.. nn c'e' modo x evitare questa sorta di "smurf" da parte di quasi mezzo mondo?

raxas · 05-08-2003, 19:55

Grazie PL4N3T, per la risposta.

Avevo trovato un sito:

http://www.francescograssi.com/adv/2002_06_22.htm

che indica quali sono gli indirizzi riservati, cosa guardare nelle e-mail e come rintracciare gli IP, c'è anche il link per questo sito: http://combat.uxn.com/

che permette una diagnosi sugli IP senza usare direttamente i programmi che mi avete indicato,

magari sarà un riepilogo per qualcuno che già conosce come orientarsi, cmq dà qualche indicazione... è anche questione di tempo.
Ciao.

Abit-HQ · 09-08-2003, 06:45

Quote:

Originariamente inviato da PL4N3T
buon giorno allora i progammi che suggerisce servono per darti informazioni sull ip.

guarda qui:

nslookup

tracert

cmq anche io uso zone allarm e non mi piace proprio per niente xkè è troppo giocattoloso, vorrei qualcosa di Veloce, Funzionale e di sostanza, magari in italiano; ho win xp

cmq sia shero con emule 0.28b e mi capita che anche x 1ora che ho chiuso il client ancora migliaia di IP si provino a connettere a me; continuamente mi costringe a guardare il fw x vedere se sono attaccato.. nn c'e' modo x evitare questa sorta di "smurf" da parte di quasi mezzo mondo?

No, a meno di non cambiare ip avrai sempre qualcuno che ti bussa sulle porte di emule, cmq è inutile cambiare ip solo xche'i source di emule bussano, xche'magari il precedente proprietario del tuo nuovo ip usava emule,dc e winmx insieme.

Se non hai il servizio aperto(emule in questo caso)il bussare è totalmente innocuo.
E'come l'alert di un firewall che segnala l'uso di una trojan su una determinata porta, se non hai la backdoor installata è solo un innocou toc toc.
Di firewall migliori rispeto a zone(ci vuole poco) ci sono kerio e sygate ma non sono in ita.

C'è da dire che poi zonealarm crea non pochi problemi ad emule nelle versioni > della 2.6(vd forum ufficiale emule)

OCP · 09-08-2003, 13:02

ciao grazie 1000 x i tuoi consigli, senti pensavo di mettermi a trovare un buon proxy x usare emule dici che si trova magari e se non lo trovo a pagamento quanto mi costa indicativamente?

altra cosa, ho provato sia Sygate e anche il VisNatic ma li ho trovati molto difficili da configurare

Abit-HQ · 09-08-2003, 17:44

x il supporto proxy non ti posso aiutare, mai usato.
Non ne vedo la necessita' e non saprei nemmeno come possa comportarsi(low id? velocita'del download limitata dal proxy? numero fonti e connessioni max?), tanto se vogliono beccarti non sara'mica un proxy a fermarli

A livello di semplicita'come zonealarm c'è l'ottimo Npf2003 solo che è pesantuccio

02-08-2003, 12:43	#1
raxas Senior Member Iscritto dal: Oct 2002 Messaggi: 5574	lo stesso intruso ogni 30sec. Cosa fare ?... Salve a tutti, i monitorini nella mia connessione si attivavano anche se non aggiornavo la pagina così ho scaricato ZoneAlarmPro e risulta, tutt'ora, praticamente ogni 30 secondi un tentativo (non so se di intrusione, ma è probabile) da parte dell'indirizzo *..*. così dal sito http://www.ripe.net/index.html che controlla questi indirizzi è risultata, ho sottolineato, una rilevazione sospetta: ------------------------------------------------------> % This is the RIPE Whois server. % The objects are in RPSL format. % % Rights restricted by copyright. % See http://www.ripe.net/ripencc/pub-serv...copyright.html inetnum: 192.168.0.0 - 192.168.255.255 netname: IANA-CBLK-RESERVED1 descr: Class C address space for private internets descr: See http://www.ripe.net/db/rfc1918.html for details country: NL admin-c: RFC1918-RIPE tech-c: RFC1918-RIPE status: ALLOCATED UNSPECIFIED remarks: Country is really worldwide remarks: This network should never be routed outside an enterprise remarks: See RFC1918 for further information notify: peter@ripe.net mnt-by: RIPE-NCC-HM-MNT mnt-lower: RIPE-NCC-HM-MNT changed: rfc1918@ripe.net 20020129 changed: hostmaster@ripe.net 20030506 # zz.example.ziya via https://lirportal.ripe.net changed: hostmaster@ripe.net 20030509 # zz.example.emma via https://lirportal.ripe.net changed: hostmaster@ripe.net 20030514 # zz.example.kevin via https://lirportal.ripe.net changed: hostmaster@ripe.net 20030514 # zz.example.kevin via https://lirportal.ripe.net changed: hostmaster@ripe.net 20030514 # zz.example.kevin via https://lirportal.ripe.net changed: hostmaster@ripe.net 20030526 source: RIPE role: RFC1918 Role address: Singel 258 address: 1016 AB Amsterdam address: The Netherlands e-mail: rfc1918@ripe.net trouble: See http://www.ripe.net/db/rfc1918.html admin-c: RFC1918-RIPE tech-c: RFC1918-RIPE nic-hdl: RFC1918-RIPE mnt-by: RFC1918-MNT changed: rfc1918@ripe.net 20020121 changed: rfc1918@ripe.net 20021218 source: RIPE --------------------------------------------------------< Insomma, correggetemi se sbaglio, ma questo intruso, forse ha lanciato uno scan tool automatico (sono ora le 13.30 e tutto è terminato, forse aveva settato degli orari) dall'interno di una azienda? Non ricordo il nome ma qualcuno suggeriva da dos di dare il comando ping -a (indirizzo), ma per fare cosa? In circa 40 minuti ho avuto 148 tentativi di intrusione di cui 18 High Rated,(non ho più in questo momento tentativi, sono cessati alle 13.30 circa) capisco che c'è chi si esercita, ma tanto per sapere, mi potreste consigliare un esercizio per farli smettere? Ciao. __________________ CONTRO L'HIMMOBILISMO promozione Ponte di Mexina(postcount6)->In a Big Country dreams stay with you Loggarsi se non si vede il video, Grazie. Ultima modifica di raxas : 04-08-2003 alle 09:34.

05-08-2003, 19:55	#5
raxas Senior Member Iscritto dal: Oct 2002 Messaggi: 5574	Grazie PL4N3T, per la risposta. Avevo trovato un sito: http://www.francescograssi.com/adv/2002_06_22.htm che indica quali sono gli indirizzi riservati, cosa guardare nelle e-mail e come rintracciare gli IP, c'è anche il link per questo sito: http://combat.uxn.com/ che permette una diagnosi sugli IP senza usare direttamente i programmi che mi avete indicato, magari sarà un riepilogo per qualcuno che già conosce come orientarsi, cmq dà qualche indicazione... è anche questione di tempo. Ciao. __________________ CONTRO L'HIMMOBILISMO promozione Ponte di Mexina(postcount6)->In a Big Country dreams stay with you Loggarsi se non si vede il video, Grazie. Ultima modifica di raxas : 06-08-2003 alle 12:59.

03-08-2003, 01:32	#2
Abit-HQ Bannato Iscritto dal: Jun 2003 Messaggi: 422	Dato l'indirizzo ip privato i casi sono due: 1)Un pc di una lan interna 2)Uno dei primi hop del tuo provider. Lancia un nslookup o un tracert e vedrai che è un server del tuo provider. Magari e dico magari installa un firewall serio. Zonealarm è un valido sostituto di un albero di natale e basta. PS:Lo stesso ripe ti dice che è un ip privato alla voce descr: Class C address space for private internets

05-08-2003, 05:49	#4
PL4N3T Bannato Iscritto dal: Dec 2002 Messaggi: 635	buon giorno allora i progammi che suggerisce servono per darti informazioni sull ip. guarda qui: nslookup tracert cmq anche io uso zone allarm e non mi piace proprio per niente xkè è troppo giocattoloso, vorrei qualcosa di Veloce, Funzionale e di sostanza, magari in italiano; ho win xp cmq sia shero con emule 0.28b e mi capita che anche x 1ora che ho chiuso il client ancora migliaia di IP si provino a connettere a me; continuamente mi costringe a guardare il fw x vedere se sono attaccato.. nn c'e' modo x evitare questa sorta di "smurf" da parte di quasi mezzo mondo?

09-08-2003, 13:02	#7
OCP Member Iscritto dal: Aug 2003 Messaggi: 129	ciao grazie 1000 x i tuoi consigli, senti pensavo di mettermi a trovare un buon proxy x usare emule dici che si trova magari e se non lo trovo a pagamento quanto mi costa indicativamente? altra cosa, ho provato sia Sygate e anche il VisNatic ma li ho trovati molto difficili da configurare

09-08-2003, 17:44	#8
Abit-HQ Bannato Iscritto dal: Jun 2003 Messaggi: 422	x il supporto proxy non ti posso aiutare, mai usato. Non ne vedo la necessita' e non saprei nemmeno come possa comportarsi(low id? velocita'del download limitata dal proxy? numero fonti e connessioni max?), tanto se vogliono beccarti non sara'mica un proxy a fermarli A livello di semplicita'come zonealarm c'è l'ottimo Npf2003 solo che è pesantuccio

Strumenti
Mostra una versione stampabile Invia questa pagina per email