[win XP] SYN Flood e Microsoft.com

[Riverside]

Socio, continuo a seguire la discussione: credo sia una delle più interessanti tra quelle aperte negli ultimi 3/4 mesi.

[lancetta]

Quote:

Originariamente inviato da Riverside

Socio, continuo a seguire la discussione: credo sia una delle più interessanti tra quelle aperte negli ultimi 3/4 mesi.

siam tutti curiosi...anche se ormai escludo l'infezione.....
piaciuto il tip per copiare da dos?

[Riverside]

Quote:

Originariamente inviato da lancetta

siam tutti curiosi...anche se ormai escludo l'infezione.....

Siamo in due: per il tips, ottima segnalazione

[xcdegasp]

bello il tips ma è più veloce "netstat opzioni > c:\file.txt"

[bruno1968]

Allora, dovete perdonarmi ma mi sono espresso male. Ha trovato, il doors cleaner, delle porte da chiudere e lo ho fatto, a parte il netbios dove, invece di un circolo verde ho un triangolo giallo....ma non cambia il risultato, la connessione va sempre male.
Qui invece vi posto il log di un netstat http://www.fileup.itadib.com/downloa...UeeVMakCCHVPBz
e vediamo cosa ne esce fuori.

[xcdegasp]

da cmd (schermata dos) dai questo comando e batti invio:
netstat -ab > c:\file_netstat.txt

poi vai in c:\ prendi il file "file_netstat.txt" e lo uppi sul sito fileup e qui inserisci il nuovo link.



nb: ovviamente con emule completamente chiuso

[lancetta]

Quote:

Originariamente inviato da xcdegasp

bello il tips ma è più veloce "netstat opzioni > c:\file.txt"

solo che: su vista non funge mentre in xp devi essere admin....

[xcdegasp]

non devi essere admin per dirottare lo standard output per quanto ne so io...
se è la posizione a dare fastidio, cosa possibile, è facilemnte raggirabile con:
netast -ab > ./file_netstat.txt

con ./ si indica il percorso corrente ossia il percorso che appare nel cmd.

[lancetta]

Quote:

Originariamente inviato da xcdegasp

non devi essere admin per dirottare lo standard output per quanto ne so io...
se è la posizione a dare fastidio, cosa possibile, è facilemnte raggirabile con:
netast -ab > ./file_netstat.txt

con ./ si indica il percorso corrente ossia il percorso che appare nel cmd.

appena provato sempre su xp: non hai i permessi ecc...non sò che dirti
svista invece..... lasciamo perdere và (devo ancora comprenderlo fino in fondo evidentemente)

edit: provato ora su XP da admin:e funge!...mah?
vabbè...fine OT

[bruno1968]

Qui il nuovo file netstat http://www.fileup.itadib.com/downloa...1E9e9Txo1t9jbb

[xcdegasp]

Quote:

Originariamente inviato da lancetta

appena provato sempre su xp: non hai i permessi ecc...non sò che dirti
svista invece..... lasciamo perdere và (devo ancora comprenderlo fino in fondo evidentemente)

edit: provato ora su XP da admin:e funge!...mah?
vabbè...fine OT

togli l'opzione "b" e vedrai che account limitato o no funzionerà
è la b che necessita di account admin e mie ro dimenticato di questa cosuccia...

[GOLDRAKES]

potrei darti una mano visto che ho notato che la situazione è seria ma purtroppo il lavoro......

[Boia11]

io ti consiglio di installare un buon firewall, anche freeware, l'importante che faccia il suo dovere!!!
Io ad esempio da quando ho il firewall installato sul mio pc (4 mesi dal ripristino totale del mio pc) non è entrato più un virus!!! e ne vado fiero!!!

[xcdegasp]

Quote:

Originariamente inviato da bruno1968

Qui il nuovo file netstat http://www.fileup.itadib.com/downloa...1E9e9Txo1t9jbb

hai tanti servizi aperti che non ti servono e dubito che la porta 135 non te l'abbia fatta chiudere il WWDC...
ad ogni modo io per disabilitare i servizi inutili mi baso su una delle tante guida che si trovano nel web, io prendo come riferimento queste due:
servizi di windows -> http://www.tweakness.net/articoli/a5.php
servizi di win XP dopo sp2 -> http://www.tweakness.net/articoli/a17.php

poi fai un riavvio del pc e rifai il netst come hai fatto prima

[bruno1968]

Qui il nuovo log http://www.fileup.itadib.com/downloa...oOBlHOrNgHqDUI

[Riverside]

Per chiudere la porta 135, Bruno, prova in questo modo; portati alla chiave di registro:
● HKEY_LOCAL_MACHINE
● Software
● Microsoft
● OLE
● dovresti trovare un valore EnableDCOM
● la sua impostazione predefinita è Y
● modifica quel valore in N
● Riavvia e ripeti il controllo per verificare che, effettivamente, sia chiusa.

[bruno1968]

Il valore è già settato su N.

[Riverside]

Quote:

Originariamente inviato da bruno1968

Il valore è già settato su N.

bene ..... anzi ..... di male in peggio ...... e si torna ad un punto morto o quasi ...... però ho sempre un piccolo dubbio che avevo, in qualche maniera, già sollevato:

@ Deg, qui l'esperto di Emule sei tu: è normale che il Client rilasci tutte quelle istanze in uscita? oppure è un problema di configurazione? non c'è maniera, in Emule, di nascondere l'I.P.?.
Altra cosa: in un mio post precedente, avevo chiesto a Bruno se usava Mirc ..... lui, giustamente, mi ha detto di no ma, se non sbaglio, all'interno del client di Emule, è implementato, anche MIrc: qualcuno può confermarmi la cosa?.
Se cosi fosse, potremmo aver girato attorno al problema per giorni: SysFlood e Smurf come ho già avuto modo di dire possono essere causati da attacchi portati da MIrc.
Dal log pubblicato da Bruno, vedo che una delle porte utilizzate da Emule è la 3672; generalmente, la porta utilizzata per fare uscire MIrc e connettersi ai server è la 6667 o, comunque, vanno dalla 6660 alla 6669.
Quindi, qualcosa non mi quadra, visto che presumo che, Emule in fase di connessione e download ed il MIrc implementato, girino di pari passo.
E visto che non uso e non ho mai usato Emule ma conosco bene MIrc, svelare l'arcano

[bruno1968]

Quote:

Originariamente inviato da bruno1968

Ci sto provando ora ma tieni presente che non sono il bersaglio bensì l'attaccante...chissà se queste chiavi di registro funzionano anche in uscita ?

Comunque, ho lavorato di nuovo quelle chiavi di registro indicate da igor e ho trovato questo articolo http://www-nuvola-libera.blogspot.co...-tipo-dos.html

e pare che le cose vadano un pochino meglio sui siti esteri, sempre male i siti nazionali.

[murack83pa]

credo di si: emule contiene mirc