Porta 22 aperta

[gattovik]

Ciao ragazzi, dopo aver fatto un test on-line mi risulta che la porta ssh (22) è aperta (e questo su tutti e tre i computer che ci sono collegati)
Sono collegato a internet tramite il router DSL-G624T, e come firewall uso outpost su un computer kerio e mcafee desktop firewall sugli altri due.Volevo sapere come posso fare per poter chiudere o nascondere la sudetta porta.
Grazie a tutti per la vostra attenzione

[xcdegasp]

Quote:

Originariamente inviato da gattovik

Ciao ragazzi, dopo aver fatto un test on-line mi risulta che la porta ssh (22) è aperta (e questo su tutti e tre i computer che ci sono collegati)
Sono collegato a internet tramite il router DSL-G624T, e come firewall uso outpost su un computer kerio e mcafee desktop firewall sugli altri due.Volevo sapere come posso fare per poter chiudere o nascondere la sudetta porta.
Grazie a tutti per la vostra attenzione

è l'errore comune che fanno tutti...
è il router a possere IP pubblico (l'ip che vi assegna il provider e con il qualke dialogate con l'intero mondo di internet) quindi è il router a essere oggetto del test!
è ovvio che il router abbia le porte "standard" aperte, come appunto la TCP22 (porta per protocollo "sh" ossia secure shell, comunicazione criptata), la SMTP quella per inviare la posta, la porta POP3 e IMAP se non che quella 995 che è sempre comunicazione sicura, e le porte 80 e 8080 e 3128..
altrimenti per ogni cosa dovresti creare delle regole, infatti per leggere e inviare la posta e per navigare non hai aperto nessuna porta

hai testato il router ed è normale

[W.S.]

Quote:

è il router a possere IP pubblico (l'ip che vi assegna il provider e con il qualke dialogate con l'intero mondo di internet) quindi è il router a essere oggetto del test!

Di solito è vero, ma non si può generalizzare, dipende dalle regole di nat. Se il router è impostato in modo da inoltrare certi pacchetti (o tutti) verso una macchina interna, è questa ad essere testata, anche se possiede un ip privato.

Quote:

è ovvio che il router abbia le porte "standard" aperte, come appunto la TCP22 (porta per protocollo "sh" ossia secure shell, comunicazione criptata), la SMTP quella per inviare la posta, la porta POP3 e IMAP se non che quella 995 che è sempre comunicazione sicura, e le porte 80 e 8080 e 3128..

Bhe non proprio ovvio... saranno impostazioni di default, ma non vedo perchè dovrebbe avere SMTP, POP3, IMAP, 995 ... aperte in entrata. Posso capire l'80 e la 22 (gestione router) e personalmente non le lascerei aperte dall'esterno ma che se na fà delle altre? E' la prassi avere un server SMTP (o pop3, imap etc) all'interno? In ambito domestico non credo proprio.

Quote:

altrimenti per ogni cosa dovresti creare delle regole, infatti per leggere e inviare la posta e per navigare non hai aperto nessuna porta

Per leggere e inviare la posta e per navigare le connessioni vengono create dall'interno, quindi non servono regole che permettono connessioni in entrata di quel tipo.

Per tornare alla domanda iniziale: Dai un'occhio alle regole di firewalling memorizzate nel router, se sono a posto verifica quelle dei firewall delle macchine.

[xcdegasp]

Quote:

Di solito è vero, ma non si può generalizzare, dipende dalle regole di nat. Se il router è impostato in modo da inoltrare certi pacchetti (o tutti) verso una macchina interna, è questa ad essere testata, anche se possiede un ip privato.

se la nat è attiva succede quello che ho spiegato altrimenti è il pc che dialoga all'esterno senza intermediari come fosse un modem-usb
perchè vorrebbe dire che il router non filtra i pacchetti in entrata

Quote:

Bhe non proprio ovvio... saranno impostazioni di default, ma non vedo perchè dovrebbe avere SMTP, POP3, IMAP, 995 ... aperte in entrata. Posso capire l'80 e la 22 (gestione router) e personalmente non le lascerei aperte dall'esterno ma che se na fà delle altre? E' la prassi avere un server SMTP (o pop3, imap etc) all'interno? In ambito domestico non credo proprio.

sono le porte d'uso comune e ti evitano di settare le regole altrimenti appena connetti il pc al router non riusciresti a fare nulla
provba a chiederti quante regole avresti dovuto settare per programmi d'uso comune (outlook/thunderbird almeno 4 regole lle vuole) esempio email, browser, torrent, emule, ftp, sh, scp, sftp, smtp, msn...
in questo modo sei svincolato dal dover settare innumerevoli regole contando sul fatto che la TCP80 è usata solo in uscita, la SMTP/POP3/IMAP pure, le altre sono connessioni che prevodo una chiave di cifratura tranne la semplice telnet (TCP21) e la semplice FTP, ma in questi due casi per funzionare devono avere un programma che fa da server..
il server SMTP è quello del provider se non hai esegenza specifiche ma la porta che usi è quella
ad ogni modo la gestione del pannello di controllo del router è disabilitato per i client esterni alla lan

[W.S.]

il nat non è fatto per filtrare, quello è un "effetto secondario" estremamente utile, ma posso (e lo faccio ogni giorno) benissimo usare il nat ed essere raggiungibile dall'esterno avendo un ip privato sulla mia macchina, dipende da come è impostato il nat. E' utilissimo quando hai diverse macchine ma un solo ip pubblico e vuoi (ad esempio) rendere raggiungibile una macchina tramite la porta 80 e un'altra tramite la 25.
Che poi solitamente il comportamento di un router che natta è quello che hai descritto siamo d'accordo, infatti ho detto "Di solito è vero".

Sulle porte stai facendo confusione nella "direzione" dei pacchetti che instaurano la connessione. Per la navigazione, la posta, ssh, telnet e l'ftp passivo, la connessione viene instaurata dal client, non c'è bisogno che il router rediriga le connessioni provenienti dall'esterno destinate a quelle porte e non ha senso che il router abbia quelle porte in uno stato diverso dalle altre (come dovrebbe rilevare una scansione sul router) ammenochè tu non abbia un server che fornisce quei servizi all'interno.
Le uniche regole che inserisco in un router sono ad esempio quelle che mi permettono di avere id alto in emule (o bittorrent), in questo caso infatti devo essere raggiungibile dall'esterno, altrimenti appaio "firewalled". Quindi modifico il nat in modo che rediriga le connessioni instaurate dall'esterno e destinate a quelle porte, verso la macchina interna che voglio.

[gattovik]

Ragazzi scusate ma ora ho ancora più confusione di prima.

[xcdegasp]

Quote:

Originariamente inviato da gattovik

Ragazzi scusate ma ora ho ancora più confusione di prima.

esegui questo test "http://www.pcflank.com/scanner1.htm" usando le porte standard e mi raccomando controlla l'ip che loro ricevono in modo da essere certo che sia quello assegnato al tuo router

[gattovik]

Ecco i risultati
21 stealthed
23 stealthed
80 stealthed
135 stealthed
137 stealthed
138 stealthed
139 stealthed
1080 stealthed
1243 stealthed
12348 stealthed
27374 stealthed
31337 stealthed
La porta 22 non viene testata.....che ne pensi?

[xcdegasp]

che è ottimo il risultato.. ora prova a dare solo la 22 e hai la conferma

precedentemente avrai fatto il test su qualche sito un po' troppo di parte...

[gattovik]

Ecco la risposta
22 open

[xcdegasp]

io a questo punto farei una scansioncina con HijackThis così verifichiamo cosa gira nel tuo pc

[gattovik]

Ecco la risposta
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\Microsoft IntelliType Pro\type32.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\tclocklight-040702-3\tclock.exe
C:\Programmi\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programmi\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programmi\FlashGet\getflash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programmi\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - Startup: tclock.exe.lnk = C:\Programmi\tclocklight-040702-3\tclock.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O8 - Extra context menu item: &Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: &Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{215424D0-EF9F-4B24-8DBB-C87542CA81BC}: NameServer = 217.141.250.206,151.99.125.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll,wbsys.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe

[xcdegasp]

le parti che mi lasciano sospettoso sono:

Codice:

O17 - HKLM\System\CCS\Services\Tcpip\..\{215424D0-EF9F-4B24-8DBB-C87542CA81BC}: NameServer = 217.141.250.206,151.99.125.1
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll

e questa?
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab

[gattovik]

017 - alla fine ho riconosciuto i dns impostati alla mia scheda di rete 217.141.. 151.99...
020 - non ho propio idea
020 - è un programma per cambiare l'aspetto di xp (Windowblinds)
016 - ho fatto alcune volte la scansione on-line sul sito di panda antivirus

[xcdegasp]

le 020 sembrano degli accessi remoti... infatti il nome è abbastanza esplicativo klogon.dll

[gattovik]

sul sito di hijack-this mi dicono questo:
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

Diagnosi
Davvero sicuro
Questa voce è stata classificata dai nostri visitatori come sicura.

[xcdegasp]

se è del KAV allora sei a posto

[ThE_RaV[3]N]

Comunque le regole per scaricare la posta, fare FTP o quant'altro non devono per forza essere abilitate sul router come affermato in precedenza. Non sono proprio daccordo....