Pc Completamente Sputtanato?!?

[Linolium]

Ciao ragazzi,
Ho la netta impressione che io abbia il pc parecchio, ma dico parecchio sputtanato...allora, qui di seguito riporto il mio netstat appena connesso alla rete e con e-mule acceso...il problema è che zone alarm mi blocca ogni secondo circa 10 connessioni in entrata nel mio pc...ok, quelle le blocca, ma quelle che entrano quante sono?!Chi sono?! Soprattutto, io ho un router ZyXel 650r Prestige con firewall integrato, configurato (spero bene). Questa robaccia che è?! Chi sono tutti questi?! Non vorrei avere un pc completamente infestato, dato che di virus ne ho già presi, spyware anche, ci mancano solo trojan e backdoor...Dimenticavo, si aprono tutti quando mi collego ad un server di e-muie...

Microsoft(R) Windows DOS
(C)Copyright Microsoft Corp 1990-2001.

C:\DOCUME~1\LINOLIUM>netstat

Connessioni attive

Proto Indirizzo locale Indirizzo esterno Stato
TCP linolium:1078 razorback.ed2k.ch:4661 ESTABLISHED
TCP linolium:4662 62-101-126-228.fastres.net:22929 ESTABLISHED
TCP linolium:4662 i3ED614BF.versanet.de:45575 ESTABLISHED
TCP linolium:4662 238.Red-80-35-1.pooles.rima-tde.net:3284 ESTABL
ISHED
TCP linolium:4662 fl82.internetdsl.tpnet.pl:63679 ESTABLISHED
TCP linolium:4662 m33.net81-66-201.noos.fr:1728 ESTABLISHED
TCP linolium:4662 cable-81-173-134-134.netcologne.de:2908 ESTABLI
SHED
TCP linolium:4662 lns-p19-8-82-65-74-64.adsl.proxad.net:3677 ESTA
BLISHED
TCP linolium:4662 82.192.47.5:4323 ESTABLISHED
TCP linolium:4662 lns-vlq-16-82-255-18-246.adsl.proxad.net:4106 E
STABLISHED
TCP linolium:4662 adq122.neoplus.adsl.tpnet.pl:32853 ESTABLISHED
TCP linolium:4662 dyn-83-152-238-79.ppp.tiscali.fr:3185 ESTABLISH
ED
TCP linolium:4662 pool-151-198-168-161.nwrk.east.verizon.net:3752
ESTABLISHED
TCP linolium:4662 164.77.55.17:3095 ESTABLISHED
TCP linolium:4662 ACB80DC1.ipt.aol.com:4356 ESTABLISHED
TCP linolium:4662 ip-213-17-237-150.netia.com.pl:4210 ESTABLISHED

TCP linolium:4662 pD9E7657E.dip.t-dialin.net:53556 ESTABLISHED

[Wyrdmeister]

La prima è la connessione al server di emule, le altre sono le connessioni ai vari client a cui stai scaricando... (la porta 4662 è quella di emule...)
Per le connessioni di ZoneAlarm bisognerebbe sapere le porte su cui arrivano... se arrivano sulle porte 135 o 445 sono virus.

[Linolium]

ma la porta segnalata nella riga

TCP linolium:4662 fl82.internetdsl.tpnet.pl:63679 ESTABLISHED

Fa sempre parte della connessione ai client?!O si riferisce al mio pc?!

Il problema è che quando entro con un ID alto in e-mule i tentativi di hacking al mio pc sono paurosi...mi segnala che ogni 10 secondi cercano di entrare...adesso provo a mettere gli ip e le porte che cercano di forzare...
Altro problema riscontrato: la cpu ha un carico mostruoso di lavoro, la banda è sempre impegnata e tutto è molto, molto più lento...

C'è qualcosa che posso postare per farti capire meglio la situazione?!Non vorrei ricorrere a soluzioni drastiche tipo il format anche perchè ho troppi dati da backuppare...

[Wyrdmeister]

Quote:

TCP linolium:4662 fl82.internetdsl.tpnet.pl:63679 ESTABLISHED

TCP: protocollo
linolium: tuo computer
4662: porta sul tuo computer
fl82.internetdsl.tpnet.pl: computer dell'altro utente emule
63679: porta dell'altro utente
ESTABILISHED: c'è una connessione tcp in corso

Nella config di zone alarm hai dato a emule i diritti server? se ti vuoi collegare alla rete con un id alto devi essere in grado di accettare connessioni dall'esterno sulla porta tcp 4662 e udp 4672 (a meno che tu non abbia disattivato il supporto per udp nelle preferences di emule). Dunque le connessioni dall'esterno verso la tua porta 4662 sono normali per il funzionamento di emule...

[Linolium]

ho dato ad emule la possibilità di accedere alla rete, ho settato come trusted zone l'ip di razorback (altrimenti non accede con id alto) poi ho settato il router nella configurazione NAT con la possibilità di ricevere connessioni sulle porte 4662 (tcp) e 4672 (udp).
Prima avevo il problema di uno spyware famoso (akamitechnologies) e sembrava che dopo aver rimosso quello le connessioni fossero diminuite, ora non riesco a capire da che cosa possano provenire, dato che cmq virus non ne ho...
Norton normalmente li rileva i trojan (so che norton è un pessimo antivirus, ma anche disinstallandolo mi rimarrebbero numerose tracce della sua presenza, quindi lo tengo...)...

Adesso sono connesso anche ad e-mule e il problema delle connessioni non ce l'ho più...mah, non ci capisco più nulla...

Consigli sul da farsi!?!?!?

[Wyrdmeister]

Non saprei... cmq le connessioni del netstat sono normali! Dovresti postare le porte delle connessioni che zone alarm ti segnala...

Inoltre per connettersi con id alto, invece che mettere razorback come trusted... meglio dire a zone alarm di accettare pacchetti entranti diretti alle porte 4662 tcp, 4672 udp nelle impostazioni avanzate della zona internet... io avevo fatto così e andava a meraviglia.

[Linolium]

Il problema dei log insistenti è questo:
The firewall has blocked Internet access to your computer (TCP port 4662) from 62.109.110.43 (tcp Port 2680) (tcp flags: S)

Qui mi si presentano diversi ip e hostname, tutti con porte di partenza diverse, ma dal mio pc arrivano tutti alla 4662 a quanto pare. Il tutto succede quando riavvio il pc senza chiudere per bene le sessioni di emule...nel giro di 3 minuti mi sono partiti 500 log di zone alarm...
Allora credo proprio che il problema parta da me a questo punto.
Sembrerebbe che io abbia la porta 4662 sempre a disposizione e che le connessioni rimangano attive anche dopo un riavvio (ricordo che ho un router che rimane acceso al riavvio)
Ho per caso beccato un worm o qualcosa di simile!?

Intanto WyrdMaster ti ringrazio per il tuo fondamentale aiuto, sto iniziando a capire qualcosina in più della rete...

THX

[Wyrdmeister]

Quote:

Originariamente inviato da Linolium
Il problema dei log insistenti è questo:
The firewall has blocked Internet access to your computer (TCP port 4662) from 62.109.110.43 (tcp Port 2680) (tcp flags: S)

Qui mi si presentano diversi ip e hostname, tutti con porte di destinazione diverse, ma dal mio pc partono tutti dalla 4662 a quanto pare. Il tutto succede quando riavvio il pc senza chiudere per bene le sessioni di emule...nel giro di 3 minuti mi sono partiti 500 log di zone alarm...
Allora credo proprio che il problema parta da me a questo punto e non da altri che cercano di entrare...

Ho per caso beccato un wormo qualcosa di simile!?

Intanto WyrdMaster ti ringrazio per il tuo fondamentale aiuto, sto iniziando a capire qualcosina in più della rete...

THX

E' stato un piacere!

Se i tentativi di accesso loggati da zone alarm sono tutti come quello che hai postato allora sono connessioni di altri al tuo emule attraverso la porta 4662.
Dunque ti partono dopo che hai chiuso emule e non mentre è aperto... allora sono i client che erano in coda da te che provano a collegarsi per scaricare ma non sanno che hai chiuso emule!

[Linolium]

Yes wyrdmaster you're right!

Ho fatto diversi test di vulnerabilità del mio pc e sincermente più che il S.O. che ci gira sopra non riesce a trovare nulla...le porte o sono chiuse o risultano stealth, quindi mi sento anche abbastanza a posto...
Posso chiederti una cosa?!Per nascondere totalmente il mio indirizzo ip ho qualche modo o devo lasciarlo visibile ?
(immagino che io lo debba lasciare un minimo visibile per le questione di sharing...)

grazie ancora di tutto...

[Wyrdmeister]

In generale l'ip non si può nascondere... per sabilire la connessione ci devono essere un ip sorgente e un ip destinazione.. altrimenti non si saprebbe dove mandare i pacchetti!
Per nasconderlo si potrebbe sfruttare un server proxy anonimo... cioè tu ti connetti a lui e lui con il suo ip si collega all'altro host... sicuramente si può fare per le connessioni web (esistono anche dei programmini per questo...), per emule non so se è praticabile..e in ogni caso non potresti avere un id alto...
Inoltre spesso i proxy anonimi gratuiti sono lenti e sovraccarichi... io avevo provato qualche tempo fa ad usarli per navigare nel web ma poi ho desistito.. troppo lenti!