Scanning sospetti

simoTDI · 29-12-2005, 14:28

ciao, oggi apro Sygate e la lista di IP bloccati .. dato che ho scoperto un nuovo sito che ti dice la regione e la città di residenza dell IP (facendo una prova, la regione è quella nel 100% dei casi

mentre la città si sbaglia spesso) scopro che molti contatti sono di IP italiani... campania, piemonte, ecc..

e che le porte controllate sono sempre le stesse:

Port Scan Minor Incoming TCP 82.50.xxx.xxx
12/28/2005 21:38:20 12/28/2005 21:38:20

5000, 4460, 445, 139 , 80 have scanned

spesso è questo ip che mi contatta... cambiano le ultime cifre, dunque presumo che sia lo stesso e usi una ADSL come me (di telecom, ndr).
come posso contattarlo?

o sapere chi è piu precisamente? devo sentire la telecom?

wgator · 29-12-2005, 15:58

Ciao,

niente di grave, è il più classico dei port scan. Serve per capire quale SO gira sul tuo PC, (porta 5000) se hai eventuali cartelle in condivisione, se hai qualche ospite a bordo (trojan, worm)...

Potrebbe non essere intenzionale, nel senso che potrebbe partire da qualche macchina "inconsapevole" cioè che ha beccato qualche schifezza e che ora cerca altre vittime (computer zombie)

Se superi questi test: https://www.grc.com/x/ne.dll?bh0bkyd2 non hai nulla di cui preoccuparti

BravoGT83 · 29-12-2005, 16:10

Quote:

Originariamente inviato da wgator

Ciao,

niente di grave, è il più classico dei port scan. Serve per capire quale SO gira sul tuo PC, (porta 5000) se hai eventuali cartelle in condivisione, se hai qualche ospite a bordo (trojan, worm)...

Potrebbe non essere intenzionale, nel senso che potrebbe partire da qualche macchina "inconsapevole" cioè che ha beccato qualche schifezza e che ora cerca altre vittime (computer zombie)

Se superi questi test: https://www.grc.com/x/ne.dll?bh0bkyd2 non hai nulla di cui preoccuparti

proprio cosi

simoTDI · 30-12-2005, 14:44

Attempting connection to your computer. . .
Shields UP! is now attempting to contact the Hidden Internet Server within your PC. It is likely that no one has told you that your own personal computer may now be functioning as an Internet Server with neither your knowledge nor your permission. And that it may be serving up all or many of your personal files for reading, writing, modification and even deletion by anyone, anywhere, on the Internet!

Your Internet port 139 does not appear to exist!
One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet behavior requires port connection attempts to be answered with a success or refusal response. Therefore, only an attempt to connect to a nonexistent computer results in no response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion.

Unable to connect with NetBIOS to your computer.
All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet.

mi pare a posto
poi però in "common port" appare

135
RPC
OPEN! (Remote Procedure Call) This impossible-to-close port appears in most Windows systems. Since many insecure Microsoft services use this port, it should never be left "open" to the outside world. This port has been exploited to send "Messenger Spam" pop-ups to Microsoft windows users. Since it is impossible to close, you will need a personal firewall or NAT router to block it from external access. Do it soon!

ma io ho disattivato messenger... e nn so come bloccare quella porta. posso cmq ritenermi al sicuro secondo voi?

andorra24 · 30-12-2005, 15:15

Quote:

Originariamente inviato da simoTDI

[i]
135
RPC
OPEN! (Remote Procedure Call) This impossible-to-close port appears in most Windows systems. Since many insecure Microsoft services use this port, it should never be left "open" to the outside world. This port has been exploited to send "Messenger Spam" pop-ups to Microsoft windows users. Since it is impossible to close, you will need a personal firewall or NAT router to block it from external access. Do it soon!

ma io ho disattivato messenger... e nn so come bloccare quella porta. posso cmq ritenermi al sicuro secondo voi?

Ma hai provato con wwdc per disabilitare il DCOM RPC che usa la porta 135?

simoTDI · 30-12-2005, 18:24

Quote:

Originariamente inviato da andorra24

Ma hai provato con wwdc per disabilitare il DCOM RPC che usa la porta 135?

wwdc che programma è? io ho solo sygate

andorra24 · 30-12-2005, 18:26

Quote:

Originariamente inviato da simoTDI

wwdc che programma è? io ho solo sygate

Sarebbe questo:http://www.firewallleaktester.com/wwdc.htm

ciskje · 30-12-2005, 21:25

ascolta io mi sono scaricato il programmino wwdc.exe e uno volta lanciato mi dice: 1 )warning DCOM RPC(port 135) is enabled in your pc. disable dcom 2) warning RPC LOCATOR (port 445)is enabled in your pc. close 445 3)warning NETBIOS(port 137/138/139)is enabled in your pc. close137/139.gli altri 2 avvisi sono ok.ma ora io devochiudere queste porte?non mi crea qualche problema? se l'hai già provato potresti darmi un consiglio?ti ringrazio ciao(ho provato a cliccare nei link dopo le descrizioni ma non mi apre il sito microsoft )

wgator · 30-12-2005, 21:41

Ciao,

chiudile tranquillamente tutte, l'operazione è comunque perfettamente reversibile... l'uniche cose che potrebbero crearti problemi sono il "browser di rete" e le periferiche "universal plug and play" (riguardano la rete)... ma nel 99% dei casi queste cose non le usiamo

ciskje · 30-12-2005, 21:47

grazie 1000000000000

simoTDI · 31-12-2005, 16:42

come si comporta sto suddetto firewall rispetto a Sygate? e con i programmi p2p ???

simoTDI · 12-01-2006, 23:26

abbelli!

29-12-2005, 14:28	#1
simoTDI Senior Member Iscritto dal: Feb 2003 Città: LU Messaggi: 5592	Scanning sospetti ciao, oggi apro Sygate e la lista di IP bloccati .. dato che ho scoperto un nuovo sito che ti dice la regione e la città di residenza dell IP (facendo una prova, la regione è quella nel 100% dei casi mentre la città si sbaglia spesso) scopro che molti contatti sono di IP italiani... campania, piemonte, ecc.. e che le porte controllate sono sempre le stesse: Port Scan Minor Incoming TCP 82.50.xxx.xxx 12/28/2005 21:38:20 12/28/2005 21:38:20 5000, 4460, 445, 139 , 80 have scanned spesso è questo ip che mi contatta... cambiano le ultime cifre, dunque presumo che sia lo stesso e usi una ADSL come me (di telecom, ndr). come posso contattarlo? o sapere chi è piu precisamente? devo sentire la telecom?

29-12-2005, 15:58	#2
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, niente di grave, è il più classico dei port scan. Serve per capire quale SO gira sul tuo PC, (porta 5000) se hai eventuali cartelle in condivisione, se hai qualche ospite a bordo (trojan, worm)... Potrebbe non essere intenzionale, nel senso che potrebbe partire da qualche macchina "inconsapevole" cioè che ha beccato qualche schifezza e che ora cerca altre vittime (computer zombie) Se superi questi test: https://www.grc.com/x/ne.dll?bh0bkyd2 non hai nulla di cui preoccuparti __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

30-12-2005, 14:44	#4
simoTDI Senior Member Iscritto dal: Feb 2003 Città: LU Messaggi: 5592	Attempting connection to your computer. . . Shields UP! is now attempting to contact the Hidden Internet Server within your PC. It is likely that no one has told you that your own personal computer may now be functioning as an Internet Server with neither your knowledge nor your permission. And that it may be serving up all or many of your personal files for reading, writing, modification and even deletion by anyone, anywhere, on the Internet! Your Internet port 139 does not appear to exist! One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet behavior requires port connection attempts to be answered with a success or refusal response. Therefore, only an attempt to connect to a nonexistent computer results in no response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion. Unable to connect with NetBIOS to your computer. All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet. mi pare a posto poi però in "common port" appare 135 RPC OPEN! (Remote Procedure Call) This impossible-to-close port appears in most Windows systems. Since many insecure Microsoft services use this port, it should never be left "open" to the outside world. This port has been exploited to send "Messenger Spam" pop-ups to Microsoft windows users. Since it is impossible to close, you will need a personal firewall or NAT router to block it from external access. Do it soon! ma io ho disattivato messenger... e nn so come bloccare quella porta. posso cmq ritenermi al sicuro secondo voi? Ultima modifica di simoTDI : 30-12-2005 alle 14:48.

30-12-2005, 21:25	#8
ciskje Member Iscritto dal: Jan 2005 Messaggi: 299	x andorra ascolta io mi sono scaricato il programmino wwdc.exe e uno volta lanciato mi dice: 1 )warning DCOM RPC(port 135) is enabled in your pc. disable dcom 2) warning RPC LOCATOR (port 445)is enabled in your pc. close 445 3)warning NETBIOS(port 137/138/139)is enabled in your pc. close137/139.gli altri 2 avvisi sono ok.ma ora io devochiudere queste porte?non mi crea qualche problema? se l'hai già provato potresti darmi un consiglio?ti ringrazio ciao(ho provato a cliccare nei link dopo le descrizioni ma non mi apre il sito microsoft ) __________________ SONY VAYO INTELL PENTUM 4 ,2,8GHZ WINDOWS XP HOME sp2 SCHEDA SAPPHIRE HD 3850 DDR3 512 , 1.5 G DI RAM ,ASUSTEK P4SD-VL,schermo samsung syncmaster 19'',+skystar 2,kaspersky internet security+audigy2 zs.

30-12-2005, 21:41	#9
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, chiudile tranquillamente tutte, l'operazione è comunque perfettamente reversibile... l'uniche cose che potrebbero crearti problemi sono il "browser di rete" e le periferiche "universal plug and play" (riguardano la rete)... ma nel 99% dei casi queste cose non le usiamo __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

30-12-2005, 21:47	#10
ciskje Member Iscritto dal: Jan 2005 Messaggi: 299	grazie 1000000000000 __________________ SONY VAYO INTELL PENTUM 4 ,2,8GHZ WINDOWS XP HOME sp2 SCHEDA SAPPHIRE HD 3850 DDR3 512 , 1.5 G DI RAM ,ASUSTEK P4SD-VL,schermo samsung syncmaster 19'',+skystar 2,kaspersky internet security+audigy2 zs.

31-12-2005, 16:42	#11
simoTDI Senior Member Iscritto dal: Feb 2003 Città: LU Messaggi: 5592	come si comporta sto suddetto firewall rispetto a Sygate? e con i programmi p2p ???

12-01-2006, 23:26	#12
simoTDI Senior Member Iscritto dal: Feb 2003 Città: LU Messaggi: 5592	abbelli!

Strumenti
Mostra una versione stampabile Invia questa pagina per email