Ma perchè mi fanno dei portscan sempre da IP della telecom?

[gpc]

Mentre ero via nessuno mi ha mai fatto nessun portscan, adesso sono collegato da casa da alcune ore e... puf! iniziano i portscan, esattamente come prima che me ne andassi.
Questo qui:

[code]
GeekTools Whois Proxy v5.0.3 Ready.
Checking access for 80.180.19.222... ok.
Final results obtained from whois.ripe.net.
Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-serv...copyright.html

inetnum: 80.117.0.0 - 80.117.255.255
netname: TINIT-ADSL-LITE
descr: Telecom Italia
descr: Accesso ADSL BBB
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse@telecomitalia.it
notify: ripe-staff@telecomitalia.it
mnt-by: TIWS-MNT
changed: net_ti@telecomitalia.it 20020927
source: RIPE

route: 80.117.0.0/16
descr: INTERBUSINESS
origin: AS3269
notify: network@cgi.interbusiness.it
mnt-by: INTERB-MNT
changed: net_ti@telecomitalia.it 20011210
source: RIPE

person: BBBEASYIP STAFF
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff@telecomitalia.it
nic-hdl: BS104-RIPE
notify: ripe-staff@telecomitalia.it
changed: net_ti@telecomitalia.it 20001019
source: RIPE



Results brought to you by the GeekTools WHOIS Proxy
Server results may be copyrighted and are used with permission.
Your host (80.180.19.222) has visited 1 times today.
[/quote]

è il whois fatto con il firewall... adesso non ricordo se sono sempre gli stessi IP che mi fanno il portscan, ma sono sempre della rete della telecom... che può essere?
Comunque mi sa tanto che domani vada a mettere il firewall anche sui computer dei miei, non mi piace 'sta cosa...

[kaioh]

bhe , ci sono dei momenti in cui il contatore degli allarmi di ZA corre più dei secondi dell'orologio....

[Ciaba]

.....è un pò che ci lotto.....ho provato a stargli dietro murando tutto....e sistematicamente da interbusiness cambiavano gli indirizzi....insomma una guerra di pazienza . A questo punto mi chiedo se sia legale. Se qualcuno sà qualcosa ci illumini.

[eraser]

spostato in antivirus e sicurezza

[gpc]

Quote:

Originariamente inviato da Ciaba
.....è un pò che ci lotto.....ho provato a stargli dietro murando tutto....e sistematicamente da interbusiness cambiavano gli indirizzi....insomma una guerra di pazienza . A questo punto mi chiedo se sia legale. Se qualcuno sà qualcosa ci illumini.

A me la cosa che pare molto strana è che capiti solo da IP della telecom... Secondo me c'è qualcuno che controlla...

[gpc]

Quote:

Originariamente inviato da eraser
spostato in antivirus e sicurezza

Grazie scusa, non avevo pensato di postarlo qui...

[gpc]

Toh che caso...

Un portscan alle due e 16 da:

Codice:

GeekTools Whois Proxy v5.0.3 Ready.
Checking access for 80.180.19.222... ok.
Final results obtained from whois.ripe.net.
Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-serv...copyright.html

inetnum:      80.180.128.0 - 80.180.255.255
netname:      TINIT-ADSL
descr:        Telecom Italia
descr:        Accesso ADSL BBB
country:      IT
admin-c:      BS104-RIPE
tech-c:       BS104-RIPE
status:       ASSIGNED PA
remarks:      Please send abuse notification to abuse@telecomitalia.it
notify:       ripe-staff@telecomitalia.it
mnt-by:       TIWS-MNT
changed:      net_ti@telecomitalia.it 20020905
source:       RIPE

route:        80.180.0.0/16
descr:        INTERBUSINESS
origin:       AS3269
notify:       network@cgi.interbusiness.it
mnt-by:       TIWS-MNT
mnt-routes:   INTERB-MNT
changed:      net_ti@telecomitalia.it 20020930
source:       RIPE

person:       BBBEASYIP STAFF
address:      Via Val Cannuta, 250
address:      I-00100 Roma
address:      Italy
phone:        +39 06 36881
e-mail:       ripe-staff@telecomitalia.it
nic-hdl:      BS104-RIPE
notify:       ripe-staff@telecomitalia.it
changed:      net_ti@telecomitalia.it 20001019
source:       RIPE

e ben 6 alle 16.03 da questo IP:

Codice:

GeekTools Whois Proxy v5.0.3 Ready.
Checking access for 80.180.19.222... ok.
Final results obtained from whois.ripe.net.
Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-serv...copyright.html

inetnum:      80.180.0.0 - 80.180.127.255
netname:      TELECOM-ADSL
descr:        Telecom Italia S.p.A.
descr:        E@sy.ip service
descr:        Wholesale service for ISP
country:      IT
admin-c:      BS104-RIPE
tech-c:       BS104-RIPE
status:       ASSIGNED PA
remarks:      Please send abuse notification to abuse@telecomitalia.it
notify:       net_ti@telecomitalia.it
mnt-by:       TIWS-MNT
changed:      network@cgi.interbusiness.it 20020924
changed:      net_ti@telecomitalia.it 20021111
source:       RIPE

route:        80.180.0.0/16
descr:        INTERBUSINESS
origin:       AS3269
notify:       network@cgi.interbusiness.it
mnt-by:       TIWS-MNT
mnt-routes:   INTERB-MNT
changed:      net_ti@telecomitalia.it 20020930
source:       RIPE

person:       BBBEASYIP STAFF
address:      Via Val Cannuta, 250
address:      I-00100 Roma
address:      Italy
phone:        +39 06 36881
e-mail:       ripe-staff@telecomitalia.it
nic-hdl:      BS104-RIPE
notify:       ripe-staff@telecomitalia.it
changed:      net_ti@telecomitalia.it 20001019
source:       RIPE



Results brought to you by the GeekTools WHOIS Proxy
Server results may be copyrighted and are used with permission.
Your host (80.180.19.222) has visited 2 times today.

e casualmente alle 16.04 ricevo una telefonata da una impiegata della Tin.it che mi chiede se sono interessato alle loro offerte per l'adsl.
Sarà un caso questo?

[Galotar]

Succedono anche a me ogni tanto : stessa via e provider.

Nessuno ne sa qualcosa?

[axxaxxa3]

Succedeva anche a me.....moltissime volte al giorno....adeso ho il Firewall e si attaccano....io però ho visionato l'ip e i numeri di telefono degli operatori(tramite ripe search) e li ho chiamati.....mi hanno attaccato il telefono mentre parlavo.....che disonesti....mah!!!

[gpc]

Quote:

Originariamente inviato da axxaxxa3
Succedeva anche a me.....moltissime volte al giorno....adeso ho il Firewall e si attaccano....io però ho visionato l'ip e i numeri di telefono degli operatori(tramite ripe search) e li ho chiamati.....mi hanno attaccato il telefono mentre parlavo.....che disonesti....mah!!!

Aspetta aspetta, com'è che hai fatto ad avere i numeri di telefono?
Io volevo mandare una email ad abuse@quellocheè e segnalare la cosa... ma una telefonata è sempre migliore...

[axxaxxa3]

Quote:

Originariamente inviato da gpc
Aspetta aspetta, com'è che hai fatto ad avere i numeri di telefono?
Io volevo mandare una email ad abuse@quellocheè e segnalare la cosa... ma una telefonata è sempre migliore...

Non posso dirtelo....... .......... ti dico soltanto che se ti impegni......riesci a farlo...

[bob]

A me accade lo stesso, e un amico ingegnere in telecom mi ha spiegato che quello che viene visualizzato dal whois del firewall non è l'autore dello "scan" ma solo il canale attraverso il quale passa l'interrogazione del nostro ip (a me interroga addirittura il kernel). Mi chiedevo se con un programmino tipo Stealther o Jap che nascondono l'ip accadrebbe ugualmente...qualcuno sa dirmi qualcosa?

[gpc]

Quote:

Originariamente inviato da bob
A me accade lo stesso, e un amico ingegnere in telecom mi ha spiegato che quello che viene visualizzato dal whois del firewall non è l'autore dello "scan" ma solo il canale attraverso il quale passa l'interrogazione del nostro ip (a me interroga addirittura il kernel). Mi chiedevo se con un programmino tipo Stealther o Jap che nascondono l'ip accadrebbe ugualmente...qualcuno sa dirmi qualcosa?

Mi pare strano... il firewall mi dice "attacco dall'IP xxx", io gli faccio il backtrace (che è quello di cui parla quel tuo amico, se non ho capito male) che ti ricostruisce la strada per raggiungere quell'ip, poi se tu fai il whois dell'indirizzo che ti ha fatto lo scan vedi le informazioni di quello, non di altri...

[raceman]

Quote:

Originariamente inviato da gpc
Aspetta aspetta, com'è che hai fatto ad avere i numeri di telefono?
Io volevo mandare una email ad abuse@quellocheè e segnalare la cosa... ma una telefonata è sempre migliore...

Manda la mail all'indirizzo abuse di competenza che è quello che consigliano i provider in questi casi specificando:
Il motivo (port scan); l'ip; e postando tutte le info che Geektools ti ha dato.

[gpc]

Quote:

Originariamente inviato da raceman
Manda la mail all'indirizzo abuse di competenza che è quello che consigliano i provider in questi casi specificando:
Il motivo (port scan); l'ip; e postando tutte le info che Geektools ti ha dato.

Sì, farò così...

[mcHorney]

Scusate, ma i geektools sono free?

A questo indirizzo si può scaricare un programma che si chiama GeekTools Win32 Whois Client 5.4.1 , cosa fa? Ci dice da dove è partito l' ip che ci interessa?

http://www.geektools.com/tools.php

Grazie, MC

[gpc]

Il backtrace ricostruisce i nodi per arrivare ad un IP e il whois ti dà tutte le informazioni su un indirizzo.
I resoconti che ho postato io sono stati fatto con un whois... fatto col firewall.

[bob]

Io utilizzo Sygate Firewall 5.1 e relativo whois. Nella maschera del Backtrace Information in corrispondenza di questi attacchi appare quasi sempre un nome di comodo tipo Alex, Tania, Emma, e raramente interbusiness ecc. ecc. Inoltre nel mio caso sui dettagli personali del "presunto attentatore" (whois) compare spesso un identità BBB easyIPstaff, (l'adsl precursore dell'attuale Alice) con un riferimento telefonico identico a quello segnalato da qualcuno in questo thread. La spiegazione del mio amico credo sia convincente, anche se mi ha consigliato di segnalare quanto accade all'abuse di Telecom. Dalla padella alla brace insomma....

[gpc]

Qual'era la spiegazione del tuo amico?
Comunque io ho mandato già due email a abuse@telecomitalia.it...

[bob]

Accessi nei server di interbusiness non monitorati ma comunque assegnati a persone di cui leggiamo le identità attraverso il backtrace. A pensarci bene sembra una specie di controsenso, ma considerando come lavorano in Telecom c'è da prenderlo sul serio (purtroppo). Hai avuto qualche risposta dopo le tue segnalazioni?

Qualcuno per caso sa dirmi se con un programmino di invisibilità dell'ip questi eventi si verificherebbero ugualmente?