CkeckBo e attacchi Netbus...come protegermi?

Metis · 04-10-2006, 12:18

Sul mio pc non ho installato alcun firewall se non quello standard di windows.
Ho un collegamento adls e sono quasi sempre in linea.
Utilizzo come unico strumento di guardia il programma CheckBO e spesso mi ha segnalato, con una finestra di avviso che "qualcuno sta tentando una connessione al pc" e mi segnala sulla porta 12345 un attacco tipo Netbus. A questo punto a volte mi segnala che ha interrotto la connessione oppure io mi scollego immediatamente dalla linea adsl.
Non so se ciò è dovuto a qualche spyware che ho nel pc, ma non credo perchè l'ho controllato con diversi software ed in ultimo anche con Hijack, oppure si è comunque soggetti a questi tipi di attacchi rimanendo sempre connessi ad internet...anche con pc pulito.
Chiedo qualche chiarimento in merito ed un consiglio per come proteggermi da questi attacchi....che mi sono capitati anche dopo aver sostituito il pc con altro recente.
Grazie

juninho85 · 04-10-2006, 23:54

vai sui servizi di windows e disabilita "Helper NetBIOS di TCP/IP",poi scarica WWDC e disabilita le porte netbus

Metis · 05-10-2006, 11:30

Ho disabilitato Helper NetBIOS di TCP/IP, poi con WWDC ho disabilitato le porte netbus ed ho riavviato il sistema. Ho rilanciato WWDC e mi sono accertato della presenza dell'icona verde col simbolo di spunta accanto alla voce ENABLE NETBIOS......dopo un pò ho riavviato WWDC e mi appare la seguente schermata:

dove sembra che indichi che netbios sarà disabilitato al prossimo riavvio

.......ma ho disabilitato o no le porte netbus???

N.B. non so bene di cosa sto parlando...no so che sono ste porte

Grazie cmq per la pazienza

juninho85 · 05-10-2006, 16:47

Quote:

Originariamente inviato da Metis

Ho disabilitato Helper NetBIOS di TCP/IP, poi con WWDC ho disabilitato le porte netbus ed ho riavviato il sistema. Ho rilanciato WWDC e mi sono accertato della presenza dell'icona verde col simbolo di spunta accanto alla voce ENABLE NETBIOS......dopo un pò ho riavviato WWDC e mi appare la seguente schermata:

dove sembra che indichi che netbios sarà disabilitato al prossimo riavvio

.......ma ho disabilitato o no le porte netbus???

N.B. non so bene di cosa sto parlando...no so che sono ste porte

Grazie cmq per la pazienza

fai così:riabilita il servizio helper netbios,riavvia,avvia wwdc e chiudi le porte netbios,riavvia,disabilita il servizio helper netbios,riavvia,aprri wwdc e verifica che le porte sian chiuse

Metis · 05-10-2006, 18:47

Bene ora ho chiuso pure le finestre e le ante degli armadi

Un'ultima cosa ..sta porta 445 RCP Locator la chiudo anche???

o mi salta qualcosa???
Scusa ma non so proprio cosa sono.... grazie ancora

juninho85 · 05-10-2006, 19:00

Quote:

Originariamente inviato da Metis

Bene ora ho chiuso pure le finestre e le ante degli armadi

Un'ultima cosa ..sta porta 445 RCP Locator la chiudo anche???

o mi salta qualcosa???
Scusa ma non so proprio cosa sono.... grazie ancora

se non hai un pc in rete chiudile tutte

Metis · 30-10-2006, 18:37

Comunque a distanza di alcune settimane il fenomeno "paranormale" continua a ripetersi e cioè checkBo continua a segnalarmi che qualcuno sta tentando di connettersi al mio PC, Nonostante l'uso di WWDC ed i consigli del buon juninho85.
Ora al di la del fatto che installando un buon firewall potrei risolvere il problema , mi interessa capire se questi tentativi di connessioni sono possibili perchè ho qualcosa installato sul pc, tipo worm spyware o altro che li rendono possibili, oppure sono sfigato e sono capitato in una rete di intercettazione.
Comunque ecco la schermata di avviso che mi è apparso in checkBo con il tentativo di connessione in corso.
Potete illuminarmi ancora di più???
Grazie

Gianky....! :D :) · 30-10-2006, 19:04

ciao io ho avuto per un pò di tempo checkbo...
questo programma è in grado di controllare solo alcune porte e nn tutte...
quindi installa 1 buon firewall zone alarm free o outpost...
e poi per controllare se hai il pc infetto fai 1 scansione da qui :

http://www.kaspersky.com/virusscanner

vedi ke ti trova; nn ricordo se ha la funzione di levare i virus o solo di scovarli...
in caso fai 1 scansione da qui : http://www.bitdefender.com/scan8/ie.html
questa sicuramente li leva...

fammi sapere come ti è andata..

juninho85 · 30-10-2006, 23:44

vai sui servizi di sistema e verifica che il servizio "telnet" sia impostato su "disabilitato"
ora vai su pannello di controllo/sistema/connessione remota/togli entrambe le spunte.
probabilmente qualcuno cerca di prendere il controllo del tuo pc utilizzando la backdoor netbus appoggiandosi sul servizio di assistenza remota

Metis · 31-10-2006, 17:16

Quote:

Originariamente inviato da juninho85

vai sui servizi di sistema e verifica che il servizio "telnet" sia impostato su "disabilitato"
ora vai su pannello di controllo/sistema/connessione remota/togli entrambe le spunte.
probabilmente qualcuno cerca di prendere il controllo del tuo pc utilizzando la backdoor netbus appoggiandosi sul servizio di assistenza remota

Bene, ho controllato quanto indicato da juninho85 ed è tutto ok, telnet disabilitato e spunte assenti in coonessione remota.
Ho fatto la scansione come suggerito da Gianky, ed ecco i risultati:
1) prima con bitdefender ho trovato un sacco di file infetti ma tutte in email, ma nonostante ciò il sistema è stato sempre ferfetto e mai avuto problemi...

2) rifatto lo scan con kaspersky ed il sistema risultava pulito

Ora installerò un pò di difese e spero che non si verifichino più questi attacchi.
Comunque mi resta il dubbio se i tentativi di connessioni fossero dovuti alla presenza di virus, che facevano da "ponte", oppure no....mha

FOXYLADY · 31-10-2006, 17:52

Semplicemente qualche lamerone cerca di verificare se sul tuo PC è presente il trojan netbus che di solito utilizza appunto la porta 12345 per ricevere connessioni dall'esterno.
Netbus è composto da due parti:
il client è usato da chi attacca
il server che è una piccola backdoor presente sul computer vittima.
Chi attacca di solito fa una scansione a caso di un range di IP finchè non ne trova uno con la porta 12345 in ascolto.
Dato che il tuo PC non è affetto da questo trojan (altrimenti le scansioni lo avrebbero rilevato) non corri alcun rischio.
Io sinceramente toglierei questo programma che usi, checkbo, perchè mi sembra che ti allarmi inutilmente, questo tipo di attacchi vengono già fermati dal firewall di windows che tra l'altro, nel caso un applicazione tentasse di funzionare come server, ti avviserebbe con un popup.
Se poi vuoi una maggiore sicurezza metti un firewall gratuito tipo Zonealarm.
Ovviamente spero che tu abbia un buon antivirus.

Ciao

04-10-2006, 12:18	#1
Metis Senior Member Iscritto dal: May 2003 Città: MILANO Messaggi: 516	CkeckBo e attacchi Netbus...come protegermi? Sul mio pc non ho installato alcun firewall se non quello standard di windows. Ho un collegamento adls e sono quasi sempre in linea. Utilizzo come unico strumento di guardia il programma CheckBO e spesso mi ha segnalato, con una finestra di avviso che "qualcuno sta tentando una connessione al pc" e mi segnala sulla porta 12345 un attacco tipo Netbus. A questo punto a volte mi segnala che ha interrotto la connessione oppure io mi scollego immediatamente dalla linea adsl. Non so se ciò è dovuto a qualche spyware che ho nel pc, ma non credo perchè l'ho controllato con diversi software ed in ultimo anche con Hijack, oppure si è comunque soggetti a questi tipi di attacchi rimanendo sempre connessi ad internet...anche con pc pulito. Chiedo qualche chiarimento in merito ed un consiglio per come proteggermi da questi attacchi....che mi sono capitati anche dopo aver sostituito il pc con altro recente. Grazie

31-10-2006, 17:52	#11
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Semplicemente qualche lamerone cerca di verificare se sul tuo PC è presente il trojan netbus che di solito utilizza appunto la porta 12345 per ricevere connessioni dall'esterno. Netbus è composto da due parti: il client è usato da chi attacca il server che è una piccola backdoor presente sul computer vittima. Chi attacca di solito fa una scansione a caso di un range di IP finchè non ne trova uno con la porta 12345 in ascolto. Dato che il tuo PC non è affetto da questo trojan (altrimenti le scansioni lo avrebbero rilevato) non corri alcun rischio. Io sinceramente toglierei questo programma che usi, checkbo, perchè mi sembra che ti allarmi inutilmente, questo tipo di attacchi vengono già fermati dal firewall di windows che tra l'altro, nel caso un applicazione tentasse di funzionare come server, ti avviserebbe con un popup. Se poi vuoi una maggiore sicurezza metti un firewall gratuito tipo Zonealarm. Ovviamente spero che tu abbia un buon antivirus. Ciao __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

04-10-2006, 23:54	#2
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28978	vai sui servizi di windows e disabilita "Helper NetBIOS di TCP/IP",poi scarica WWDC e disabilita le porte netbus

05-10-2006, 11:30	#3
Metis Senior Member Iscritto dal: May 2003 Città: MILANO Messaggi: 516	Ho disabilitato Helper NetBIOS di TCP/IP, poi con WWDC ho disabilitato le porte netbus ed ho riavviato il sistema. Ho rilanciato WWDC e mi sono accertato della presenza dell'icona verde col simbolo di spunta accanto alla voce ENABLE NETBIOS......dopo un pò ho riavviato WWDC e mi appare la seguente schermata: dove sembra che indichi che netbios sarà disabilitato al prossimo riavvio .......ma ho disabilitato o no le porte netbus??? N.B. non so bene di cosa sto parlando...no so che sono ste porte Grazie cmq per la pazienza

05-10-2006, 18:47	#5
Metis Senior Member Iscritto dal: May 2003 Città: MILANO Messaggi: 516	Bene ora ho chiuso pure le finestre e le ante degli armadi Un'ultima cosa ..sta porta 445 RCP Locator la chiudo anche??? o mi salta qualcosa??? Scusa ma non so proprio cosa sono.... grazie ancora

30-10-2006, 18:37	#7
Metis Senior Member Iscritto dal: May 2003 Città: MILANO Messaggi: 516	Comunque a distanza di alcune settimane il fenomeno "paranormale" continua a ripetersi e cioè checkBo continua a segnalarmi che qualcuno sta tentando di connettersi al mio PC, Nonostante l'uso di WWDC ed i consigli del buon juninho85. Ora al di la del fatto che installando un buon firewall potrei risolvere il problema , mi interessa capire se questi tentativi di connessioni sono possibili perchè ho qualcosa installato sul pc, tipo worm spyware o altro che li rendono possibili, oppure sono sfigato e sono capitato in una rete di intercettazione. Comunque ecco la schermata di avviso che mi è apparso in checkBo con il tentativo di connessione in corso. Potete illuminarmi ancora di più??? Grazie

30-10-2006, 19:04	#8
Gianky....! :D :) Bannato Iscritto dal: Sep 2006 Città: Palermo Messaggi: 1241	ciao io ho avuto per un pò di tempo checkbo... questo programma è in grado di controllare solo alcune porte e nn tutte... quindi installa 1 buon firewall zone alarm free o outpost... e poi per controllare se hai il pc infetto fai 1 scansione da qui : http://www.kaspersky.com/virusscanner vedi ke ti trova; nn ricordo se ha la funzione di levare i virus o solo di scovarli... in caso fai 1 scansione da qui : http://www.bitdefender.com/scan8/ie.html questa sicuramente li leva... fammi sapere come ti è andata..

30-10-2006, 23:44	#9
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28978	vai sui servizi di sistema e verifica che il servizio "telnet" sia impostato su "disabilitato" ora vai su pannello di controllo/sistema/connessione remota/togli entrambe le spunte. probabilmente qualcuno cerca di prendere il controllo del tuo pc utilizzando la backdoor netbus appoggiandosi sul servizio di assistenza remota

Strumenti
Mostra una versione stampabile Invia questa pagina per email