Attacco DCOM Exploit tcp

[Ayoub93]

Ciao a tutti,
da parecchie settimane Avast 5 antivirus mi avvisa che è stato bloccato un attacco dcom exploit tcp da parte dell'ip 79.31.234.110 sulla porta 135.
E questi attacchi non avvengono con continuità... a volte ci possono essere 3 o 4 attacchi nell'arco di 2 minuti e a volte spariscono per ore...
Tramite http://www.ip2location.com/free.asp sono riusciuto ad arrivare al luogo da cui partono queste minaccie, cioè Bari.
Non mi sono mai imbattuto in questo tipo di minaccia e quindi con un po' di inesperienza volevo chiedervi cosa dovrei fare per bloccare definitivamente gli attacchi.

I software che utilizzo per la sicurezza sono i seguenti:
Avast Antivirus 5
Comodo Firewall
PeerBlock
Malwarebytes - AntiMalware

S.O. windows 7 64bit
Connessione con cavo Ethernet ad Alice Adsl mediante modem Pirelli Gate, e un altro pc è collegato allo stesso modem tramite usb.

Grazie in anticipo!

[xcdegasp]

installa un firewall di terze parti (ossia non microsoft) e vediamo come va, tra i free puoi usare o Comodo-Firewall o Agnitum Outpost Firewall-Free o PersonalFirewall

Il firewall fornirà nuove ed essenziali informazioni per comprendere se il tuo pc lancia inpuut nella rete e in che modo si concretizzano questi attacchi.

[Ayoub93]

Quote:

Originariamente inviato da xcdegasp

installa un firewall di terze parti (ossia non microsoft) e vediamo come va, tra i free puoi usare o Comodo-Firewall o Agnitum Outpost Firewall-Free o PersonalFirewall

Il firewall fornirà nuove ed essenziali informazioni per comprendere se il tuo pc lancia inpuut nella rete e in che modo si concretizzano questi attacchi.

Nel post ho già scritto che uso Comodo Firewall 4 e che non mi rileva nulla al riguardo...

[xcdegasp]

più che rilevare attacchi dovrebbe segnallarti eventuali anomali di manipolazione processi e porte in ascolto

[Ayoub93]

Quote:

Originariamente inviato da xcdegasp

più che rilevare attacchi dovrebbe segnallarti eventuali anomali di manipolazione processi e porte in ascolto

Si, però non mi ha rilevato nulla...

Qualche minuto fa è comparso di nuovo un altro messaggio di Avast per aver bloccato un altro tentativo di accesso, ma sta volta da un altro indirizzo ip---> 79.121.120.211 e sempre dalla porta 135...
Aggiungo che questa volta proviene da Budapest, Ungheria.
Una soluzione non potrebbe essere quella di bloccare la suddetta porta?
....
Adesso un altro dalla Polonia... 79.162.171.123 stessa porta...
com'è possibile??

[xcdegasp]

ma stai usando qualche programma di p2p?

[Ayoub93]

Quote:

Originariamente inviato da xcdegasp

ma stai usando qualche programma di p2p?

No, non li utilizzo da svariate settimane... tutto ciò però succedeva anche quando li usavo però se il problema c'è ancora penso proprio che non c'entrino...
Intanto mi sono arrivati altri attacchi da ip tedeschi, polacchi e americani... tutti sulla porta 135 e uno nella 445
Diversamente dagli altri, uno era un attacco exploit LSASS E2K.
Ho provato a bloccare le porte mediante Windows Worms Doors Cleaner, ma "blocca" solamente la 135, ho messo le virgolette perchè poi controllando online la porta è risultata ancora aperta...
In che maniera potrei chiudere queste due porte in maniera definitiva??

[xcdegasp]

vista la particolarità delle segnalazioni che ricevi da avast è meglio se segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

la tcp135 in se' non è un problema è dhcp server, c'è da chiedersi perchè hai il servizio attivo

[Ayoub93]

Ok, intanto ieri sono riuscito a chiudere la porta 135 e infatti avast non rileva più attacchi però per sicurezza seguirò la guida e poi posterò i file log.
dhcp server è attivo perchè un mesetto fa stavo smanettando per creare una rete lan che poi ho abbandonato.

[Kohai]

Prova ad installare ed eseguire questo programmino e vedi come va:

-> http://en.kioskea.net/download/downl...-doors-cleaner

Poi leggi dal post numero 80 di questo topic e vedi se puo' tornarti utile
-> http://www.hwupgrade.it/forum/showth...2173386&page=4

[Ayoub93]

Quote:

Originariamente inviato da Kohai

Prova ad installare ed eseguire questo programmino e vedi come va:

-> http://en.kioskea.net/download/downl...-doors-cleaner

Poi leggi dal post numero 80 di questo topic e vedi se puo' tornarti utile
-> http://www.hwupgrade.it/forum/showth...2173386&page=4

Si, wwdc l'ho già usato come ho già detto, e ho disabilitato sia la porta 135 e la 445 e infatti non avverto più segnalazioni da avast, però seguirò lo stesso la guida per infetti, perchè penso di aver beccato qualcosina lo stesso... poi posterò i log per ciò che non capirò.

[Ayoub93]

Sto facendo le varie scansioni delle guide... adesso sto facendo quella con dr.Web e dopo 5 ore non è nemmeno alla metà e per adesso non ha rilevato nulla... ho visto anche che molte cartelle le riguarda dopo un po', nel senso che penso rifaccia sempre tutto da capo, la cartella "programmi" la scansiona tutta poi dopo un po' la controlla di nuovo... è normale???
ha scansionato 650000files e dice che ce ne sono un milione e mezzo...

[Ayoub93]

Come ho già detto, disabilitando la porta 135 e la 445 non riscontro più alcun attacco e ho anche disattivato dhcp server che era attivo per un mio errore.
Ho fatto lo stesso le varie scansioni della guida e non ho riscontrato nulla tranne per kspersky removal tool che ha trovato qualche trojan però penso siano dei falsi positivi perchè sono delle patch di alcuni giochi.
Grazie mille per la vostra disponibilità!

[xcdegasp]

non forniamo assistenza a chi possiede materiale piratato sei pregato la prossima volta di non aprire thread di richiesta d'assistenza a meno che i software illegali non siano precedentemente stati rimossi.

possedere materiale pirata rientra nella legislazione del Codice Penale ed è punibile con il carcere

il thread viene chiuso!