|
|||||||
|
|
|
 |
|
|
Strumenti |
28-04-2010, 22:51
|
#5221 |
|
Member
Iscritto dal: Sep 2008
Messaggi: 129
|
..cmq speedtest.net è proprio 'na sòla!!
 ..a meno che, tali velocità non siano imputabili al nuovo firmware..   
|
|
|
|
28-04-2010, 22:53
|
#5222 | |
|
Senior Member
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
|
Quote:
|
|
|
|
|
|
28-04-2010, 23:16
|
#5223 |
|
Senior Member
Iscritto dal: Jun 2005
Messaggi: 509
|
Da qualche giorno ho notato che il log del router ha diverse voci relativi a tentativi di intrusione, sembrerebbero piu' che altro dei portscanning, tuttavia non capisco come sia possibile che comincino appena acceso il router e senza che i pc di casa siano accesi...
In teoria se l'isp mi ha appena assegnato un ip all'accensione del router, questo dovrebbe essere sconosciuto a terzi se non ho effettuato alcun tipo di traffico verso internet, o mi sbaglio? - Posso escludere che qualcuno usi la connessione wireless di straforo, perche' ho anche provato a disattivare il wireless e le segnalazioni continuavano. - Posso escludere che i pc siano la causa in quanto, come dicevo, i messaggi di allert compaiono anche a router appena avviato e con tutti i pc spenti. - Ho notato che la destination port piu' bersagliata e' la 1080 (protocollo TCP) I logs dei firewall (iptables x linux e comodo x windows) non segnalano nulla, il che probabilmente significa che il router filtra gia' tutto. Riporto un pezzo del log del router: Apr 28 15:58:07 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=122.225.56.45 DST=82.84.167.212 LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1080 WINDOW=16384 RES=0x00 SYN URGP=0 Apr 28 16:11:25 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=123.64.193.238 DST=82.84.167.212 LEN=52 TOS=0x00 PREC=0x00 TTL=48 ID=4883 DF PROTO=TCP SPT=3172 DPT=32162 WINDOW=65535 RES=0x00 SYN URGP=0 Apr 28 16:11:28 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=123.64.193.238 DST=82.84.167.212 LEN=52 TOS=0x00 PREC=0x00 TTL=48 ID=4893 DF PROTO=TCP SPT=3172 DPT=32162 WINDOW=65535 RES=0x00 SYN URGP=0 Apr 28 16:45:30 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=202.238.91.96 DST=82.84.167.212 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=9501 DF PROTO=TCP SPT=46709 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 Apr 28 16:45:33 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=202.238.91.96 DST=82.84.167.212 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=9502 DF PROTO=TCP SPT=46709 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 Apr 28 17:27:21 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=122.225.56.45 DST=82.84.167.212 LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1080 WINDOW=16384 RES=0x00 SYN URGP=0 Apr 28 17:45:06 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=61.54.100.102 DST=82.84.167.212 LEN=40 TOS=0x00 PREC=0x00 TTL=108 ID=256 PROTO=TCP SPT=6000 DPT=2967 WINDOW=16384 RES=0x00 SYN URGP=0 Apr 28 17:49:05 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=61.54.100.102 DST=82.84.167.212 LEN=40 TOS=0x00 PREC=0x00 TTL=108 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0 Apr 28 18:42:19 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=202.106.62.33 DST=82.84.167.212 LEN=40 TOS=0x00 PREC=0x00 TTL=116 ID=36804 PROTO=TCP SPT=110 DPT=110 WINDOW=61551 RES=0x00 SYN URGP=0 Apr 28 18:54:38 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=122.225.56.45 DST=82.84.167.212 LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1080 WINDOW=16384 RES=0x00 SYN URGP=0 Apr 28 19:25:27 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=58.215.75.62 DST=82.84.167.212 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=26091 PROTO=TCP SPT=36843 DPT=10000 WINDOW=65535 RES=0x00 SYN URGP=0 Apr 28 19:45:57 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=222.73.205.9 DST=82.84.167.212 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=57717 DF PROTO=TCP SPT=60929 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 Apr 28 19:46:00 user alert kernel: Intrusion -> IN=ppp_0_8_35_1 OUT= MAC= SRC=222.73.205.9 DST=82.84.167.212 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=57718 DF PROTO=TCP SPT=60929 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 Qualche idea?? |
|
|
|
|
29-04-2010, 00:58
|
#5224 | |
|
Senior Member
Iscritto dal: Apr 2007
Città: (PD)
Messaggi: 1335
|
Quote:
E comunque non e detto che questi signori siano sempre degli esperti come nei film, a volte con un buon programma sottomano, puoi anche farlo entrare aprendo la porta che più si concentra, e poi ti ci metti a giocare, sempre pronto a chiudere tutto se la situazione dovesse sfuggirti di mano, magari anche infettandolo con qualche trojan o virus per caso capitato nel tuo computer, un po di sano divertimento non guasta mai.
__________________
Perché si chiama Sala-Parto se ha solo nuovi arrivi? Ultima modifica di pasky5 : 29-04-2010 alle 01:07. |
|
|
|
|
|
29-04-2010, 09:58
|
#5225 |
|
Senior Member
Iscritto dal: Nov 2004
Messaggi: 3568
|
Messaggio cancellato perché ho sbagliato topic.
__________________
Intel Core i5 9600K + Case: CM 690 II + CM Hyper 212 LED BLACK EDITION - Mobo: ASUS Z390-A PRIME + 32 GB DDR4 CORSAIR LPX 3200MHz PSU: Corsair CX650M 650W - VGA: ASUS GTX 1660s EVO OC 6GB - Monitor AOC C24G1 FreeSync - Sound Blaster AE-5 PURE EDITION + EMPIRE PS-2120D - Fritz!Box 7590 - TIM - XBOX 360 SLIM 320 GB - Galaxy S9 & iPad Pro 11 - NOTEBOOK ASUS K53SC
Ultima modifica di luki : 29-04-2010 alle 10:18. Motivo: Ho sbagliato topic |
|
|
|
|
29-04-2010, 15:18
|
#5226 | |
|
Senior Member
Iscritto dal: Jun 2005
Messaggi: 509
|
Quote:
Sul fatto che il firewall del router tenga, dipende: se il messaggio di intrusion si riferisce ad un tentativo sventato allora si, se si riferisce ad un'intrusione avvenuta allora non molto  In ogni caso sembra che la destinazione del portscanning sia solo sul'interfaccia esterna del router, quindi per ora sto abbastanza tranquillo dato che c'e' ben poco a cui collegarsi. |
|
|
|
|
|
29-04-2010, 16:46
|
#5227 |
|
Member
Iscritto dal: Sep 2008
Messaggi: 129
|
..anca mi a gho un po' di "Alert Kernel Intrusion":
Codice:
Apr 29 16:33:56 user alert kernel: Intrusion -> IN= ppp0_1 OUT= MAC= SRC=84.78.237.43 DST=82.53.173.158 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=22389 DF PROTO=TCP SPT=4856 DPT=51711 WINDOW=64240 RES=0x00 SYN URGP=0 Apr 29 16:33:59 user alert kernel: Intrusion -> IN= ppp0_1 OUT= MAC= SRC=84.78.237.43 DST=82.53.173.158 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=22670 DF PROTO=TCP SPT=4856 DPT=51711 WINDOW=64240 RES=0x00 SYN URGP=0 Apr 29 16:34:05 user alert kernel: Intrusion -> IN= ppp0_1 OUT= MAC= SRC=84.78.237.43 DST=82.53.173.158 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=23158 DF PROTO=TCP SPT=4856 DPT=51711 WINDOW=64240 RES=0x00 SYN URGP=0 Apr 29 16:34:43 user alert kernel: Intrusion -> IN= ppp0_1 OUT= MAC= SRC=221.192.199.48 DST=82.53.173.158 LEN=40 TOS=0x00 PREC=0x00 TTL=114 ID=256 DF PROTO=TCP SPT=12200 DPT=8085 WINDOW=8192 RES=0x00 SYN URGP=0 
|
|
|
|
|
29-04-2010, 17:50
|
#5228 | |
|
Senior Member
Iscritto dal: Apr 2007
Città: (PD)
Messaggi: 1335
|
Quote:
Che io sappia l'NTP (ntp1.dlink.com) server è sempre in uscita per la sincronizzazione dell'orologio in automatico, quindi non è il server che si collega a tè, ma tu al server, quindi come fa a registrarlo come attacco esterno? e solo uno scanning massivo delle porte sul server dove era collegato, infatti risulta anche l'ip del computer che fà lo scanning, anzi più di uno (oppure con tentativi simultanei anche via proxi) come nella tradizione di hacker ben preparati e decisi a fare qualche serio guaio se trovano il modo di entrare da qualche parte. Per fortuna che almeno nel firewall dlink non scherza affatto...
__________________
Perché si chiama Sala-Parto se ha solo nuovi arrivi? Ultima modifica di pasky5 : 29-04-2010 alle 17:53. |
|
|
|
|
|
29-04-2010, 18:33
|
#5229 |
|
Senior Member
Iscritto dal: Jun 2005
Messaggi: 509
|
Come time server avevo impostarto ntp1.inrim.it ed in ogni caso non credo possa essere il motivo. Gli ip sono sicuramente di proxy. Il portscanning compulsivo anche verso porte gia' scansionate pero' e' abbastanza strano, sembrerebbe opera di uno script o di un programma automatico lasciato in loop. Inoltre le richieste sono sempre SYN direttamente all'interfaccia esterna del router, possibile che un cracker umano non si renda conto che sta cercando di aprire una connessione con un router e non con un computer??
In ogni caso il mistero vero e' come sia possibile che tutti gli ip che ottengo siano soggetti a questo genere di attacchi. Cioe', ci fosse una connessione outbound che quindi puo' fornire l'IP all'eventuale attaccante capirei anche. Ma qui succede con solo il router acceso, daccordo, qualche ip precedentemente in uso potrebbe essere stato gia' sotto attacco, ma tutti!? O portscannano grossi range di ip come dicevo prima, oppure non me lo spiego. L'idea forse potrebbe non essere assurda, se uno volesse farsi una botnet probabilmente cercherebbe in automatico hosts con porte aperte e credo sia un lavoro che non viene fatto a manina IP x IP. Altri utenti rilevano allert simili? |
|
|
|
|
29-04-2010, 18:57
|
#5230 |
|
Member
Iscritto dal: Sep 2008
Messaggi: 129
|
che significa questo messaggio classificato di livello "emergenza" !?
 edit: continuano gli attacchi!!!  ..ma siamo sicuri che funziona bene 'sto "Sistem Log" ??? edit2: c'è un altro avviso di emergenza.. help! 
Ultima modifica di MarkoRussinuovo : 29-04-2010 alle 19:06. Motivo: 2edit |
|
|
|
|
29-04-2010, 19:16
|
#5231 |
|
Senior Member
Iscritto dal: Feb 2006
Messaggi: 9526
|
Cambiata la password di accesso di default?
Disabilitata la risposta del router al ping? Disabilitata la risposta del telnet sulla WAN? Disabilitato il management remoto da WAN?
__________________
Unofficial D-Link Forum |
|
|
|
|
29-04-2010, 19:32
|
#5232 | |
|
Senior Member
Iscritto dal: Feb 2005
Città: Roma
Messaggi: 1585
|
Quote:
__________________
Intel i5-4690  Asrock Fatal1ty H97 Performance Cosmos 1000 32GB DDR3 G.Skill & Corsair Corsair HX620W ATI HD7870-2GB Samsung SSD 840 EVO + 2x3TB WD Red Raid1 Samsung 23" fullHD F2380M |NIKON D810 + D750  varie lenti qua e là ... SB 910 | Samsung S23 Ultra
|
|
|
|
|
|
29-04-2010, 19:33
|
#5233 |
|
Member
Iscritto dal: Sep 2008
Messaggi: 129
|
Cambiata la password di accesso di default? SI era già cambiata
Disabilitata la risposta del router al ping? SI è disabilitata Disabilitata la risposta del telnet sulla WAN? SI è disabilitata è abilitata solo su LAN Disabilitato il management remoto da WAN? SI è disabilitata Ho solo abilitato il QOS SETUP e abilitate le opzioni del firewall (vedi shots)     
|
|
|
|
|
29-04-2010, 19:36
|
#5234 | |
|
Senior Member
Iscritto dal: Apr 2007
Città: (PD)
Messaggi: 1335
|
Quote:
Alle 19:03 sei stato "floddato" da richieste IP scan, intanto come ha giustamente ricordato Carciofone, in attesa di firmware con Funzione HNAP, attuate tutte quelle misure necessarie per evitare di farvi infettare il router con qualche virus, e trovarvi inprovvisamente tutto aperto come alla Reggia di Versaille. Quello che invece non capisco, è il perchè segna lo stato di emergenza della BusyBox allo start. ... mmmm guardando bene, alle 19:03 l'ip del tuo gateway su ethernet è per caso 192.168.1.3 ? e l'ip internet assegnato dalla centrale era 213.236.208.135 ? ... perchè se così ti sei attaccato da solo!
__________________
Perché si chiama Sala-Parto se ha solo nuovi arrivi? Ultima modifica di pasky5 : 29-04-2010 alle 19:51. |
|
|
|
|
|
29-04-2010, 19:53
|
#5235 | ||
|
Member
Iscritto dal: Sep 2008
Messaggi: 129
|
Quote:
  Quote:
|
||
|
|
|
|
29-04-2010, 19:56
|
#5236 |
|
Senior Member
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
|
Dai una controllatina ai tuoi PC con a-squared AntiMalware e MBAM
|
|
|
|
|
29-04-2010, 20:41
|
#5237 | ||
|
Senior Member
Iscritto dal: Jun 2005
Messaggi: 509
|
Quote:
Quote:
|
||
|
|
|
|
29-04-2010, 21:06
|
#5238 |
|
Senior Member
Iscritto dal: Feb 2006
Messaggi: 9526
|
Xtutti: la scheda di Gr8Wings è corretta. La voce specifica del ping si trova in Advanced\Advanced LAN. ICMP su WAN abilitato costringe il router a rispondere a varie queries (tra cui anche Where are you di IPV6), mentre se è disabilitato il router non risponde e mantiene la modalità stealth e, dopo un pò, di solito la smettono. Bisogna vedere, però se disabilitandolo il router funziona bene con il vostro provider...
__________________
Unofficial D-Link Forum Ultima modifica di Carciofone : 29-04-2010 alle 21:16. |
|
|
|
|
29-04-2010, 21:15
|
#5239 |
|
Member
Iscritto dal: Sep 2008
Messaggi: 129
|
Scusami Carciofone (che tra l'altro ringrazio perchè utente bravo e disponibile), ma non ho capito. Lui (Gr8Wings) l'Internet Control Message Protocol (ICMP) ce lo ha abilitato su WLAN come da figura
 E questo è il contrario di quello che dici tu. Parrebbe un settaggio non corretto ed a rischio ping esterni, giusto ?? |
|
|
|
|
29-04-2010, 21:32
|
#5240 |
|
Senior Member
Iscritto dal: Feb 2006
Messaggi: 9526
|
No, beh, rivedi il msg precedente modificato perchè non era chiaro.
Nel tuo caso, però, le intrusioni vengono dalla Turchia e dall'Australia, quindi o usi qualche proxy turco o hai il pc infettato da qualche spyware preso su quella montagna di siti turchi di file sharing, oppure sei un ignaro bersaglio di spoorfing vario, cui però il router è in grado di resistere senza il minimo problema. Purtroppo su internet è così: ci sono continuamente rompic....i che continuano a suonare il campanello di casa e sta al router rispondere o meno. Sempre nel tuo caso un attacco è passato attraverso il router perchè diretto alla porta 80 ed infatti è classificato "Emerg". In quel caso dopo le prime richieste sono intervenuti gli algoritmi di difesa del firewall a seconda del tipo di attacco perchè la porta era aperta.
__________________
Unofficial D-Link Forum Ultima modifica di Carciofone : 29-04-2010 alle 21:46. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 15:41.
