COMODO Internet Security

[Bladegirl]

Le sorprese non sono finite a quanto pare......



E questa ora cos'è?

[@Sirio@]

Quote:

Originariamente inviato da Roby_P

In base a quello che ho visto nel log ho creato le regole svchost.exe.

1 - Regola per le richieste DNS

Azione: Consenti
Protocollo: TCP o UDP
Direzione: in Uscita
Indirizzo di origine: il mio IP
Indirizzo di destinazione: l'IP del router
Porta di origine: Qualsiasi
Porta di destinazione: 53

io nelle proprietà della connessione ho impostato il router come DNS primario e poi i server DNS li ho impostati nelle proprietà del router (ho deciso di lasciare la gestione di DNS e DHCP al router).
All'inizio avevo fatto la regola solo per il protocollo UDP, ma poi ho notato delle richieste anche per il protocollo TCP. Ho fatto una ricerca ed ho scoperto che se la dimensione della risposta DNS supera i 512 byte, allora viene utilizzato il protocollo TCP.

2 - Regola per UPnP

Azione: Consenti
Protocollo: TCP
Direzione: in Uscita
Indirizzo di origine: il mio IP
Indirizzo di destinazione: l'IP del router
Porta di origine: Qualsiasi
Porta di destinazione: 5431

So che l'UPnP usa anche la porta 5000 (TCP) e l'altro servizio, SSDP, usa la porta 1900 (UDP), ma io non ho trovato richieste in tal senso e quindi non ho creato le regole e mai le creerò visto che l'ho anche disabilitato

3 - Regola per IANA

Azione: Consenti
Protocollo: UDP
Direzione: in Uscita
Indirizzo di origine: il mio IP
Indirizzo di destinazione: 239.255.255.250
Porta di origine: Qualsiasi
Porta di destinazione: 1900

Non so perchè abbia bisogno di contattare IANA, ma trattandosi di IANA, ho concesso il permesso. In realtà la porta di origine si può limitare alle 1025/1040, però va bene anche così

System non è bloccato, ma non ho trovato niente nel log

Ciao ciao

Ciao Roby

Regola 1 OK

Regola 2 mai vista

Regola 3 Questa è per l'UPnP

Con tutti i servizi Windows abilitati collegandomi ad un router via wireless queste sono le mie regole attuali... in più ho UDP OUT sulla 123 verso Microsoft per l'agg. dell'orario, DHCP sulla 67, per la loopback zone sulle UWKP e Link-Local Multicast Name Resolution sulla 5355.

[@Sirio@]

Quote:

Originariamente inviato da Bladegirl

Le sorprese non sono finite a quanto pare......



E questa ora cos'è?

Benvenuta Bladegirl

...qualche cinese che tenta di introfolarsi..

[Bladegirl]

Quote:

Originariamente inviato da @Sirio@

Benvenuta Bladegirl

...qualche cinese che tenta di introfolarsi..

C'è da preoccuparsi?
Non conosco quell'ip e tengo la protezione attiva sia sul router sia su comodo

[ShineOn]

Quote:

Originariamente inviato da Roby_P

Ma nel gruppo Applicazioni aggiornamento Windows c'è anche svchost.exe e la regola è più che sufficiente
Consenti TCP o UDP in uscita da IP qualsiasi a IP qualsiasi dove la porta di origine è qualsiasi e la porta di destinazione è qualsiasi

Visto che non mi hai risporto, te lo chiedo ancora
Hai messo la regola per bloccare svchost SOTTO alla regola per il gruppo Applicazioni aggiornamento Windows?

mi spiace, ma se lo metto dove dite voi mi compare la richiesta UDP tramite porta 53 col mio indirizzo dns all'infinito, in pratica anche se gli do il consenso sembra che non capisca...quanto ad applicazioni aggiornamento windows io ce l'ho ancora col punto di domanda, per cui non mi ha ancora chiesto di accedere...

[Bladegirl]

Intanto la situazione progredendo peggiora

[Roby_P]

Quote:

Originariamente inviato da @Sirio@

Ciao Roby

Regola 1 OK

Regola 2 mai vista

Regola 3 Questa è per l'UPnP

Con tutti i servizi Windows abilitati collegandomi ad un router via wireless queste sono le mie regole attuali... in più ho UDP OUT sulla 123 verso Microsoft per l'agg. dell'orario, DHCP sulla 67, per la loopback zone sulle UWKP e Link-Local Multicast Name Resolution sulla 5355.

Allora la regola sulla porta TCP(5431) l'ho fatta perchè nel log avevo molte richieste.
Poi ho fatto una ricerca su internet ed ho scoperto che è utilizzata da un servizio Port Agent (mai sentito prima )
Altra ricerchina e trovo che a chi si lamentava di avere molte connessioni di svchost.exe sulla porta 5431 verso l'IP del router veniva consigliato di disabilitare l'UPnP.
Io l'ho disabilitato, ma per altri motivi (se sei curioso clicca qui) e puf!! tutte le richieste sono sparite
Ora che mi ci fai pensare sono sparite pure quelle verso l'IP di IANA

Per le altre regole che hai fatto tu, io l'ora di Windows l'ho disabilitato, DHCP è attivo, ma niente richieste, per l'accesso alla loopbak zone ho avuto una sola richiesta e quindi non avevo ancora fatto la regola (), la porta 5355 viene usata per le richieste DNS da Vista in poi, quindi per me niente (l'ho letto qui)
Quindi se escludiamo quella cosa strana che mi ha fatto l'UPnP quando ho installato i driver della scheda madre e del chipset e le differenze dei due SO direi che le regole si equivalgono
Devo solo indagare sul DHCP che è attivo, ma non ho richieste sulla porta 67

Grazie dell'aiuto


PS: Mentre facevo le mie brave ricerche, ho trovato questo sul sito di IANA, l'assegnazione dei numeri di porta
http://www.iana.org/assignments/port-numbers
poi ho trovato un articolo con la lista delle porte usate da alcune applicazioni di uso comune
http://www.practicallynetworked.com/..._port_list.htm
e questo sito dove si può andare a controllare per cosa viene usata una certa porta
http://www.pc-library.com/ports/
Ho pensato che potessero essere utili anche ad altri

[Roby_P]

Quote:

Originariamente inviato da ShineOn

mi spiace, ma se lo metto dove dite voi mi compare la richiesta UDP tramite porta 53 col mio indirizzo dns all'infinito, in pratica anche se gli do il consenso sembra che non capisca...quanto ad applicazioni aggiornamento windows io ce l'ho ancora col punto di domanda, per cui non mi ha ancora chiesto di accedere...

Strano che tu abbia ancora il punto interrogativo, non era mai capitato.
Cmq è sicuramente quello il problema.

Tu rispondi a tutte le richieste di svchost.exe dando il consenso e magari ricorda pure la risposta, poi se ti va posta le regole che si sono create e se c'è qualcosa di strano le correggiamo
In fondo è sempre un'applicazione di sistema, puoi acconsentire alle richieste

[Roby_P]

Quote:

Originariamente inviato da Trustman87

Che strano problema caspita.
Anche io tengo abilitato l'IPV6 ma non ho di queste segnalazioni..

Io ho Xp, quindi niente IPv6, ma credo dipenda molto dalle situazioni. Magari la linea che ha lei non permette di utilizzare certi protocolli per il trasporto dei pacchetti IPv6 via IPv4 o magari lei senza saperlo li ha bloccati ed il SO ne utilizza altri

[Roby_P]

Quote:

Originariamente inviato da Bladegirl

Intanto la situazione progredendo peggiora

Usi eMule o programmi per il P2P?
Messenger, skype, programmi voip, chat...

[Bladegirl]

Quote:

Originariamente inviato da Roby_P

Usi eMule o programmi per il P2P?
Messenger, skype, programmi voip, chat...

Non uso emule o programmi p2p.
In quel momento avevo tutto chiuso anche messenger.

[Roby_P]

Non ti ricordi cosa stavi facendo poco prima?
Che programmi stavi usando?

[Bladegirl]

Quote:

Originariamente inviato da Roby_P

Non ti ricordi cosa stavi facendo poco prima?
Che programmi stavi usando?

Stavo navigando in internet normalmente senza usare nessun programma in particolare.

[bender8858]

Quote:

Stavo navigando in internet normalmente senza usare nessun programma in particolare.

Che DNS usi?
Fai scansioni regolari con antimalware/antispyware etc.etc.?

[Bladegirl]

Quote:

Originariamente inviato da bender8858

Che DNS usi?
Fai scansioni regolari con antimalware/antispyware etc.etc.?

Di solito uso i dns Open Dns oppure cerco i più veloci con questo programma: http://www.sordum.com/?p=2752

Scansioni intendi per i cookies e i pop-up?

[bender8858]

Quote:

Originariamente inviato da Bladegirl

Di solito uso i dns Open Dns oppure cerco i più veloci con questo programma

Ora quali DNS stai usando?

Quote:

Scansioni intendi per i cookies e i pop-up?

Cosa intendi con "scansione pop-up"?
Comunque non intendo scansione tracking cookies, intendo scansione malware

[Bladegirl]

Quote:

Originariamente inviato da bender8858

Ora quali DNS stai usando?



Cosa intendi con "scansione pop-up"?
Comunque non intendo scansione tracking cookies, intendo scansione malware

Ora sto usando gli Open dns.
Per quanto riguarda i malware intendi i trojan,worm o cose simili?
Ripensandoci comunque è strano che quegli indirizzi ip siano in entrata verso il mio pc dal processo Windows Operanting System.

[Roby_P]

Windows Operanting System è un nome di fantasia che usa Comodo quando non sa quale applicazione stiano cercando di contattare

[bender8858]

Quote:

Originariamente inviato da Bladegirl

Ora sto usando gli Open dns.
Per quanto riguarda i malware intendi i trojan,worm o cose simili?

Sì. Ti consiglio a questo punto di fare scansioni varie con software vari (a-squared free, prevx, hitman pro, gmer, MBAM...).
Vedi qui:
http://www.hwupgrade.it/forum/showthread.php?t=1599737

[Kohai]

Quote:

Originariamente inviato da Bladegirl

Stavo navigando in internet normalmente senza usare nessun programma in particolare.

Ascoltavi musica o altro? Hai scritto "nessun programma in particolare", quindi ho pensato che dovremmo spulciare in quella frase
Mentre sei in internet, abitualmente cosa usi/fai?
Come appunto stavo dicendo prima, usi un programma per ascoltare musica ot similia?
Il motivo della domanda e' anche perche' ho notato che son tutte connessioni UDP, quindi veloci, tipiche di quando si inviano e ricevono file di immagine e voce...