Router Netgear DG834GT - Come bloccare un IP

Daniele Rossi · 28-10-2008, 21:15

Ciao a tutti,

il mio problema è quello esposto nel titolo: ho un IP che voglio bloccare via router (quindi non via O.S.), ma non ci riesco nonostante le abbia provate di tutte.

Accedendo alle impostazioni del router ho dapprima inserito nella sezione Sicurezza - Blocca siti quello corrispondente all'IP da bloccare (sia in forma [nomesito.com] che in forma IP [***.***.***.***]).
Il router continuava a dare accesso a questo IP in uscita e entrata.

Studiando un pò la situazione, mi sono accorto che l'IP in oggetto usava il DHCP (192.168.0.2:-->forward) per uscire.
Ho disabilitato il DHCP e l'UPnP per sicurezza, senza però ottenere risultati.

Quello che vorrei sapere quindi è: come blocco, in modo totale l'uscita e l'entrata di un determinato IP su tutte le porte?

P.s.
So che questo IP è indubbiamente il risutato di qualche virus/malware/rootkit, ma gli antivirus/antirrotkit non mi trovano nulla (ne ho provati 3 online e 2 normali).
Visto che l'uscita dell'IP avviene quando avvio i browser, anche reistallandoli da zero, per ora vorrei solo riuscire a bloccare tutto come situazione tampone, in attesa di salvare i dati, così da non spedire informazioni chissà dove...

grazie

Daniele Rossi · 29-10-2008, 10:29

Ho risolto

c'erano due problemi, il primo rappresentato da un server virtuale nascosto, stile vnc (ma artigianale a quanto ho visto), che a ogni avvio del browser attivava uno script inserito nel file ntknrlpa.exe (che di per se è parte di windows, ma in alcuni casi può essere usato come veicolo di malware).

Ho avviato in modalità provvisoria, rimosso le voci del programma dal registro (e sostituito il file ntknrlpa.exe, che virustotal.com mi segnava come infetto), con un file valido estratto dal cd originale di Windows.
Il nome dei file e delle cartelle da cercare sul sistema e sul registro nel mio caso era gfdd%62GE46ht2! ma credo sia un qualche tipo di nome generato random, per sfuggire agli antivirus.

Infine, nel file HOSTS (lo trovate in C:\WINDOWS\system32\drivers\etc\hosts) ho rimosso le voci che puntavano all'IP incriminato.

Il secondo problema invece stava nel router: con l'accesso dall'esterno, erano state cambiate alcune impostazioni nelle regole del firewall, a tutta prima non ci avevo fatto caso.
Ad ogni modo anche li risultavano regole di accesso per l'IP di cui sopra, è bastato rimuovere.

saluti

28-10-2008, 21:15	#1
Daniele Rossi Junior Member Iscritto dal: Oct 2008 Città: Lucca Messaggi: 15	[RISOLTO] Router Netgear DG834GT - Come bloccare un IP Ciao a tutti, il mio problema è quello esposto nel titolo: ho un IP che voglio bloccare via router (quindi non via O.S.), ma non ci riesco nonostante le abbia provate di tutte. Accedendo alle impostazioni del router ho dapprima inserito nella sezione Sicurezza - Blocca siti quello corrispondente all'IP da bloccare (sia in forma [nomesito.com] che in forma IP [*...]). Il router continuava a dare accesso a questo IP in uscita e entrata. Studiando un pò la situazione, mi sono accorto che l'IP in oggetto usava il DHCP (192.168.0.2:-->forward) per uscire. Ho disabilitato il DHCP e l'UPnP per sicurezza, senza però ottenere risultati. Quello che vorrei sapere quindi è: come blocco, in modo totale* l'uscita e l'entrata di un determinato IP su tutte le porte? P.s. So che questo IP è indubbiamente il risutato di qualche virus/malware/rootkit, ma gli antivirus/antirrotkit non mi trovano nulla (ne ho provati 3 online e 2 normali). Visto che l'uscita dell'IP avviene quando avvio i browser, anche reistallandoli da zero, per ora vorrei solo riuscire a bloccare tutto come situazione tampone, in attesa di salvare i dati, così da non spedire informazioni chissà dove... grazie Ultima modifica di Daniele Rossi : 29-10-2008 alle 10:32.

29-10-2008, 10:29	#2
Daniele Rossi Junior Member Iscritto dal: Oct 2008 Città: Lucca Messaggi: 15	Ho risolto c'erano due problemi, il primo rappresentato da un server virtuale nascosto, stile vnc (ma artigianale a quanto ho visto), che a ogni avvio del browser attivava uno script inserito nel file ntknrlpa.exe (che di per se è parte di windows, ma in alcuni casi può essere usato come veicolo di malware). Ho avviato in modalità provvisoria, rimosso le voci del programma dal registro (e sostituito il file ntknrlpa.exe, che virustotal.com mi segnava come infetto), con un file valido estratto dal cd originale di Windows. Il nome dei file e delle cartelle da cercare sul sistema e sul registro nel mio caso era gfdd%62GE46ht2! ma credo sia un qualche tipo di nome generato random, per sfuggire agli antivirus. Infine, nel file HOSTS (lo trovate in C:\WINDOWS\system32\drivers\etc\hosts) ho rimosso le voci che puntavano all'IP incriminato. Il secondo problema invece stava nel router: con l'accesso dall'esterno, erano state cambiate alcune impostazioni nelle regole del firewall, a tutta prima non ci avevo fatto caso. Ad ogni modo anche li risultavano regole di accesso per l'IP di cui sopra, è bastato rimuovere. saluti

Strumenti
Mostra una versione stampabile Invia questa pagina per email