Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > AV e sicurezza in generale

 Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco
Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco
MiniLED di fascia media con local dimming a 192 zone, 144 Hz nativi e audio firmato Devialet. La prova strumentale riscontra colori affidabili e gaming reattivo, per un prodotto molto accessibile e convincente. Ma la soundbar aggiuntiva è quasi d'obbligo
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto
Amazon porta i colori sul suo Kindle da scrittura più grande: schermo Colorsoft a 11 pollici, processore quad-core, penna premium più reattiva e strumenti IA per le note, sono le note salienti. Il salto di prezzo rispetto al modello in bianco e nero si fa sentire, anche se la percezione è quella di trovarsi di fronte a un prodotto di fascia altissima, per veri appassionati
L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint
L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint
Abbiamo intervistato Sumit Dhawan, CEO di Proofpoint, per capire come stia cambiando il mondo della sicurezza con l'avvento dell'intelligenza artificiale e con il ritmo sempre più serrato a cui vengono trovate vulnerabilità nel software. Un problema significativo, che richiederà del tempo per essere risolto (o quantomeno arginato)
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 18-06-2006, 13:12   #1
Tiziano R.
Member
 
L'Avatar di Tiziano R.
 
Iscritto dal: May 2006
Città: Florence
Messaggi: 61
Problema di sicurezza non identificabile

Ciao ragazzi , vi spiego il mio problema :

Uso :
-Un normale pc desktop
-WinXp ver. Pro.
-Firefox (ultima versione)
-Un client torrent per i download
-Il pc mi serve solo per navigare e scaricare, non uso altro (video, audio, posta, ftp,etc..)

Dopo aver ripartizionato e formattato il disco fisso e istallato il sistema operativo (inserito pass da admin complessa), e prima di accedere alla rete, eseguo il seguente scan usando i pattern aggiornati :

sysclean.com + pattern lpt511 (l'ultimo a quel che vedo)
Non vengono riscontrati problemi.


Risultando pulito il pc, provvedo ad istallare e configurare :
(i file seguenti sono stati scaricati dal portatile che utilizza Knoppix per navigare, e sottoposti a scan successivamente, risultando puliti)

-F-Secure Blacklight e Rootkit Revealer (per i rootkit)

-AVG Free Edition (per i virus)

-Jetico Personal Firewall con le impostazioni Optimal Protection dopo aver consultato questa e altre guide in rete (lascio passare solo firefox come browser e il client torrent come TCP/IP).

-Copio HijackThis.exe in c:\

-RegSeeker.

-Spybot - Search & Destroy.

-CCleaner

-copio WindowsWormsDoorCleaner in c:\

Lancio quindi AVG per primo, che non rileva problemi.

Lancio F-Secure Blacklight e Rootkit Revealer che non rilevano minacce.

Lancio HijackThis che non rileva problemi :
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Documents and Settings\Tiziano\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

Lancio Spybot che non rileva problemi (solo alexa integrato in xp, che provvedo a rimuovere).

Lancio CCleaner che non rileva problemi, pulendo tutto il possibile.

Lancio ReegSeeker che non rileva problemi, anche qui pulisco le voci non pericolose indicate.

Lancio WindowsWormsDoorCleaner e provvedo alla chiusura delle porte.


Fatte le pulizie, provvedo a disabilitare i servizi inutili come elencato in questa tabella .

Tutto sembra ok, e' arrivato il momento di riavviare il sistema.
Riavvio...e iniziano i problemi :

1-Appena carico i driver per il modem usb fastrate di Alice (sia che carico i driver ufficiali forniti con il kit-Cd di AliceAdsl sia che carico i driver della casa madre, ovvero i Bewan) e stabilisco la prima connessione, subito il processo SVCHOST apre un sacco di porte UDP (a caso).
Le porte le apre quando sono loggato come user normale e quando mi loggo come admin, non c'e' differenza.
Le porte aperte le vedo con netstat -[opzioni] oppure con Tcp/View e Jetico.

2-Dal log di Jetico risultano un sacco di tentativi per connessioni in entrata, piccoli pacchetti da 40-70k con protocolli TCP, UDP e IGMP, vengono rilevati a cadenza regolare (uno ogni 30-50 secondi) anche se non navigo.
La cosa curiosa sta nel fatto che l'ip sorgente e' nel mio stesso range (sempre e comunque).
Esempio :
se il mio Ip e' 60.30.100.150 l'attaccante sara' 60.30.xxx.xxx
se il mio IP e' 88.130.100.150 l'attaccante sara' 88.130.xxx.xxx
Le porte attaccate sono in genere la 445, la 135 e la 1026.
Da premettere che queste porte facendo un test su pc-flank risultano in stealth.

3-Premendo CTRL+ALT+CANC ho accesso al taskmanager, ma nella colonna centrale (dove si riporta il Nome Utente) non appare piu' nessun nome, mentre di regola dovrebbe apparire il nome che ho scelto, il nome Admin oppure il nome SYSTEM.

4-Compaiono sempre nel task manager i processi SVCHOST.EXE aggiuntivi, spuntati da non si sa dove.
Anche terminandoli ricompaiono dopo poco.

La procedura che ho descritto e' stata ripetuta con diversi firewall e diversi antivirus, il risultato non cambia.


Avrei bisogno di sapere :

-E' possibile istallare un rootkit nel bios, e se si, come lo rintraccio e rimuovo ?(eventualmente eliminando e/o aggiornando il bios stesso)

-I programmi standard non rilevano problemi o intrusioni, pero' risulta palese che ci siano problemi di sicurezza, conoscete alternative a quelle sopra esposte ?

-Ipotizzando che siano determinati file o script lanciati durante l'istallazione di windows a causare il problema, come posso controllare passo passo l'istallazione ?
Ho provato a ridurre il sistema usando Nlite, falcidiando tutti i servizi non essenziali, ma il risultato non cambia, il problema si ripresenta.

-Se i miei file di sistema sono corrotti, dove trovo dei file affidabili ?

-Puo' essere che qualcuno all'interno del mio ISP si stia divertendo a mie spese ?...come faccio a tracciare questi abusi ?


-Infine ringrazio chiunque abbia avuto la pazienza anche solo di leggere fino a qui sono 2 mesi che cerco risposta al problema, quindi non scrivetemi cose tipo "cambia pc" o "cambia ISP", non credo siano soluzioni adatte.
Soprattutto non contattatemi in privato chiedendo di loggarvi al mio pc per controllare... la ritengo una misura poco utile e lesiva per la privacy.
__________________
Saggio e' colui che sa ascoltare, parlando a proposito quando interpellato.

Linspire (conosciuta in precedenza come Lindows o LindowsOS) è una distribuzione commerciale del sistema operativo Linux orientata all'utilizzo desktop, anche da parte di principianti.

Ultima modifica di Tiziano R. : 18-06-2006 alle 13:18.
Tiziano R. è offline   Rispondi citando il messaggio o parte di esso
Old 21-06-2006, 20:08   #2
Tiziano R.
Member
 
L'Avatar di Tiziano R.
 
Iscritto dal: May 2006
Città: Florence
Messaggi: 61
Scusate se riporto su il post, ma proprio non riesco a trovare una qualche soluzione al problema...
Possibile che l'unico modo per liberarmi di questo problema, come ho letto in giro, sia quello di buttare il disco fisso e la scheda madre ?...
__________________
Saggio e' colui che sa ascoltare, parlando a proposito quando interpellato.

Linspire (conosciuta in precedenza come Lindows o LindowsOS) è una distribuzione commerciale del sistema operativo Linux orientata all'utilizzo desktop, anche da parte di principianti.
Tiziano R. è offline   Rispondi citando il messaggio o parte di esso
Old 22-06-2006, 13:47   #3
Kars
Senior Member
 
L'Avatar di Kars
 
Iscritto dal: Jan 2003
Città: Roma
Messaggi: 2822
Mostraci una schermata di netstat -an ,cosi per renderci idea dei servizi e processi rimasti attivi. Inoltre bisognerebbe dare una controllata per vedere la natura dei pacchetti in entrata/uscita con uno sniffer, ti consiglio ipsniffer piccolo e leggero. Se fossero solo pacchetti in entrata molto probabilmente sono altri sistemi infetti che usano il tuo stesso provider e scandagliano la stessa sottorete.
Discorso rootkit, con i sistemi che hai utilizzato non necessariamente dovresti sentirti troppo sicuro, usando delle tecniche particolari si puo' injectare comandi nei processi in memoria, eludendo talvolta tool che controllano queste operazioni. E' da escludere bios corrotto. Importante invece disattivare i processi relativi al netbios che usano le porte piu' prese di mira: 135,445 ecc. Su google ce' tutta la procedura e qualche utility che ti consentono di rimuovere questi processi/servizi. SVCHOST e' un processo usato da piu' servizi, per intenderci, quindi e' normale averne piu' di uno nel output del taskmanager.
ciao



_____
Kars2
Kars è offline   Rispondi citando il messaggio o parte di esso
Old 22-06-2006, 20:17   #4
Tiziano R.
Member
 
L'Avatar di Tiziano R.
 
Iscritto dal: May 2006
Città: Florence
Messaggi: 61
Ciao Kars, intanto grazie per la risposta, allora :

Quote:
Originariamente inviato da Kars
Mostraci una schermata di netstat -an ,cosi per renderci idea dei servizi e processi rimasti attivi.
Netstat non e' piu' attivo, questa copia di xp e' stata passata al setaccio con nLite e ho eliminato praticamente tutto il possibile, nella speranza di ovviare al problema (non ha funzionato...ma ora certo prima di riformattare e reistallare voglio accertarmi di cosa effettivamente ci sia che non va)

Quote:
Inoltre bisognerebbe dare una controllata per vedere la natura dei pacchetti in entrata/uscita con uno sniffer, ti consiglio ipsniffer piccolo e leggero. Se fossero solo pacchetti in entrata molto probabilmente sono altri sistemi infetti che usano il tuo stesso provider e scandagliano la stessa sottorete.
Da quello che vedo sono tutti pacchetti in entrata TCP, UDP e IGMP.
La stessa cosa me la riporta il firewall , tutti pacchetti in entrata.

Quote:
Discorso rootkit, con i sistemi che hai utilizzato non necessariamente dovresti sentirti troppo sicuro, usando delle tecniche particolari si puo' injectare comandi nei processi in memoria, eludendo talvolta tool che controllano queste operazioni. E' da escludere bios corrotto.
Per il fatto che non sempre i rootkit possano essere individuati ok, avevo letto di questa cosa in giro, pero'... perche' subito dalla prima istallazione il problema si presenta anche se non mi sono mai connesso ?
I software utilizzati sono puliti, e poi ne ho cambiati parecchi, facendo diversi tentativi, mi par strano che sia un problema di rootkit solo software.
Come mai escludi in modo cosi' fermo un rootkit nel bios ?

Quote:
Importante invece disattivare i processi relativi al netbios che usano le porte piu' prese di mira: 135,445 ecc. Su google ce' tutta la procedura e qualche utility che ti consentono di rimuovere questi processi/servizi.
Fatto, come descritto nel primo post

Quote:
SVCHOST e' un processo usato da piu' servizi, per intenderci, quindi e' normale averne piu' di uno nel output del taskmanager.
Il vero problema e' quando inizia ad avviare sottoprocessi che non dovrebbero avviarsi...specie su porte UDP e destinazioni che io non ho contattato volontariamente.
In ogni caso ho sospeso tutti i processi non indispensabili alla connessione, ora come ora l'unica cosa che puo' fare il pc e' (dovrebbe essere...) navigare in rete e usare un client torrent.
__________________
Saggio e' colui che sa ascoltare, parlando a proposito quando interpellato.

Linspire (conosciuta in precedenza come Lindows o LindowsOS) è una distribuzione commerciale del sistema operativo Linux orientata all'utilizzo desktop, anche da parte di principianti.

Ultima modifica di Tiziano R. : 23-06-2006 alle 03:21.
Tiziano R. è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


 Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco Hisense 55U7SE: tuttofare e accessibile, il Min...
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto Kindle Scribe Colorsoft: riduce le cornici e div...
L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint L'IA cambia tutte le regole della sicurezza tra ...
L'Europa conta nella tecnologia e può essere autonoma. Cosa si è detto al Nextcloud Summit 2026 L'Europa conta nella tecnologia e può ess...
Dreame X60 Pro Ultra Complete: i bracci si estendono sempre di più Dreame X60 Pro Ultra Complete: i bracci si esten...
GeForce RTX 5050 9 GB, il progetto sareb...
Blue Origin sta ricostruendo velocemente...
La sovranità digitale non è...
ESS obbligatorio da luglio: il rivoluzio...
Batterie Tesla rubate direttamente fuori...
Il Governo statunitense anticipa di 5 an...
Steam Machine costa troppo? Non per i ba...
AWS e Azure sono gatekeeper e vanno rego...
Huawei presenta una nuova infrastruttura...
Logitech G e Activision uniscono le forz...
Snapdragon Summit 2026: ecco quando sara...
Sardegna, debutta il primo treno a idrog...
CXMT non ci salverà dai prezzi de...
Tidal contro la musica creata con l'inte...
Videproiettore compatto XGIMI MoGo 2 Pro...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 05:32.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Served by www3v