Chi usa HenWen (snort) e mi sa aiutare?

[think.different]

Ciao a tutti,
volevo sapere se tra di voi c'è qualcuno che usa HenWen.
Io è un po' che ce l'ho su, ma da quando ho l'adsl ho capito che non poi così facile settarlo.

Il mio problema è che ogni tanto mentre navigo mi viene fuori un avviso del tipo

[**] [1:2925:2] INFO web bug 0x0 gif attempt [**]
[Classification: Misc activity] [Priority: 3]
01/18-15:41:12.699366 216.239.59.99:80 -> 10.0.1.2:49672
TCP TTL:52 TOS:0x10 ID:18691 IpLen:20 DgmLen:236
***AP*** Seq: 0x1E5389BA Ack: 0x154230 Win: 0x1B24 TcpLen: 20

Se mi collego a 216.239.59.99 cosa scopro?! Google.it?!?!?!
Qualcuno sa dirmi che cos'è che mi manda google, se è pericoloso e se posso disabilitare la rule in HenWen?

Grazie mille!

[MacNeo]

Hmm... partiamo dal concetto che ho pure io HenWen, ma non lo uso

Comunque ho dato un controllino pure io e... 216.239.59.99 non è proprio uguale-uguale a www.google.it
Google.it nel logo ha scritto "italia", mentre quell'ip ha scritto "italiano" (e pure con un font diverso).
E anche la serie di pulsanti sotto la ricerca è diversa.

Comunque una verifica su arin dice che è comunque un server di Google, quindi suppongo sia uno vecchio/secondario/riserva.
Non è che magari hai un qualche programma/widget aperto che periodicamente va a pingare google per qualche motivo, e quella che ti viene segnalata è semplicemente la risposta?

[think.different]

Grazie per la risposta.
Sto appunto cercando di capire se c'è qualche applicazione che genera traffico non desiderato.
Widget: i miei sono tutti non legati ad internet quindi non vedo perchè dovrebbero collegarsi...
Ho molte applicazioni in background, ma la cosa strana è che la cosa mi succede quando navigo con safari... e la cosa brutta è che non riesco a replicare l'evento...

Temo solo che Google o qualche altro applicativo (che già ha dei cookie molto invadenti dal mio punto di vista) scambi qualche dato su di me.
(si, sono paranoico)

Grazie!

[MacNeo]

molto paranoico, sì

considera l'equazione base: IF google facesse qualcosa di male THEN mezzo mondo li avrebbe già denunciati

[think.different]

Purtroppo la mia equazione base è un po' diversa (che versione è la tua?!):

IF ci fosse una denuncia per tutto le volte che qualcuno fa qualcosa di male su internet
THEN Microsoft sarebbe uno studio di avvocati!

...Senza voler incolpare Google, ho il dubbio che qualche app comunichi senza il permesso... hai mai provato LittleSnitch? Forse quella app è la migliore per scoprire tali comunicazioni...
... Se non rileva niente forse è solo che Snort è troppo sensibile...
o no?

[MacNeo]

sì littlesnitch ce l'ho installato
ma non si accorgerebbe mai di una cosa del genere. Voglio dire, per i broser è ovvio che uno setti un "permetti tutte le connessioni sulla 80", altrimenti dovresti dare l'ok a mano ogni volta che carichi un sito. E visto che la roba che hai notato su è proprio sulla 80, fa parte del normale traffico web.

quel che dico comunque è che se fosse una cosa realmente dannosa, e per rilevarla bastasse un programmino qualunque del genere, se ne sarebbe sicuramente già accorto mezzo mondo. specialmente visto che si parla di google, e non del sito vattelapesca.net (che ho appena controllato e non esiste, quindi se volete comprarvi il dominio è libero )

[think.different]

Il tuo ragionamento è corretto però ho notato che i messaggi che compaiono (oltre a quello già postato) sono in realtà due, uno dei quali salta fuori più o meno ogni volta che visito versiontracker.com.
L'indirizzo da cui provengono i pacchetti stavolta è: http://66.179.48.111/.
Sai mica chi è?

In ogni caso anche i pacchetti che arrivano da google NON mi sembrano siano sulla porta 80, sai dirmi perchè?

Posto il messaggio che mi salta fuori: questo tipo di "attacco" è documentato sul sito di snort. In sostanza dice che attraverso un immagine gif 1x1 presente su siti internet o in email in html si possono ottenere informazioni sul navigante quali browser, cookie, etc...

Che ne pensi?
E grazie delle risposte.

[MacNeo]

Allora... quello del 216.239.59.99 a quanto pare è GoogleBOT (link), che appunto ha come compito quello di scannare continuamente internet alla ricerca di eventuali siti da indicizzare e aggiungere al motore di ricerca. Niente di anomalo insomma.

Riguardo al "temibilissimo attacco" di versiontracker... l'ip è del server image.techtracker.com, dove techtracker è uno dei siti del gruppo versiontracker, e gli fa pure da host. Mi ricordo che quando m'ero registrato su versiontracker infatti a un certo punto (non ricordo se per l'agreement o cosa) mi avevano rimbalzato su techtracker.
Comunque... ogni volta che carichi qualcosa da internet (un'immagine, una pagina, un documento), il tuo accesso viene loggato sul server che ospita quel file. Hanno quindi il tuo indirizzo ip, e volendo anche info sul browser, javascript e cookies attivi o no... insomma, tutti dati che solitamente vengono usati per ottimizzare il sito. In questo modo infatti un gestore vede che tipo di utenti frequentano il sito, e si può adeguare di conseguenza per migliorare il servizio. In generale comunque non gliene frega più di tanto, e infatti i dati vengono cancellati. E in ogni caso, se il sistema è già corazzato di suo, non è certo sapendo che usi il tal browser rispetto all'altro che ti cambiano le cose.
E comunque vale lo stesso discorso di Google: che interesse avrebbe VersionTracker ad "attaccarti", rischiando denunce e multe? Cosa mai dovrebbero voler sapere da te di così fondamentale?

take it easy

[think.different]

Grazie della risposta.

Capisco di essere un po' paranoico...
In buona parte riesco a replicare il fatto: in sostanza ogni volta che viene scambiato un cookie tra il mio computer e un sito salta fuori l'avviso...
(ho i cookie disabilitati)

Dunque Snort è troppo sensibile, hai qualche idea su quale rule crei il problema?
Le mie rules attive:
- Bad traffic you should never normally see on a network
- Well known exploits
- Suspected Denial of Service (DOS) attacks
- Strange X11 activity
- Web: Attacks on Web browsers and other Web clients
- Misc.: Common service login attempts with incorrect/no password
... che sia la penultima?
Provo a disabilitarla...

Grazie e ciao!

[MacNeo]

a naso sembrerebbe quella, sì

[think.different]

No, non è cambiato niente...
Mmmm... qualche idea?

[sirus]

Quote:

Originariamente inviato da think.different

No, non è cambiato niente...
Mmmm... qualche idea?

io si...
sei troppo paranoico caro studente trive
torna giocare con il tuo PC

[think.different]

Mmmm...
Non ho trovato la regola "sei troppo paranoico"....

[sirus]

Quote:

Originariamente inviato da think.different

Mmmm...
Non ho trovato la regola "sei troppo paranoico"....

che fai sfotti ?!