|
|||||||
|
|
|
![]() |
|
|
Thread Tools |
|
|
#5281 |
|
Member
Join Date: Sep 2008
Posts: 129
|
..anca mi a gho un po' di "Alert Kernel Intrusion":
Code:
Apr 29 16:33:56 user alert kernel: Intrusion -> IN= ppp0_1 OUT= MAC= SRC=84.78.237.43 DST=82.53.173.158 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=22389 DF PROTO=TCP SPT=4856 DPT=51711 WINDOW=64240 RES=0x00 SYN URGP=0 Apr 29 16:33:59 user alert kernel: Intrusion -> IN= ppp0_1 OUT= MAC= SRC=84.78.237.43 DST=82.53.173.158 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=22670 DF PROTO=TCP SPT=4856 DPT=51711 WINDOW=64240 RES=0x00 SYN URGP=0 Apr 29 16:34:05 user alert kernel: Intrusion -> IN= ppp0_1 OUT= MAC= SRC=84.78.237.43 DST=82.53.173.158 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=23158 DF PROTO=TCP SPT=4856 DPT=51711 WINDOW=64240 RES=0x00 SYN URGP=0 Apr 29 16:34:43 user alert kernel: Intrusion -> IN= ppp0_1 OUT= MAC= SRC=221.192.199.48 DST=82.53.173.158 LEN=40 TOS=0x00 PREC=0x00 TTL=114 ID=256 DF PROTO=TCP SPT=12200 DPT=8085 WINDOW=8192 RES=0x00 SYN URGP=0
|
|
|
|
|
|
#5282 | |
|
Senior Member
Join Date: Apr 2007
Location: (PD)
Posts: 1,335
|
Quote:
Che io sappia l'NTP (ntp1.dlink.com) server è sempre in uscita per la sincronizzazione dell'orologio in automatico, quindi non è il server che si collega a tè, ma tu al server, quindi come fa a registrarlo come attacco esterno? e solo uno scanning massivo delle porte sul server dove era collegato, infatti risulta anche l'ip del computer che fà lo scanning, anzi più di uno (oppure con tentativi simultanei anche via proxi) come nella tradizione di hacker ben preparati e decisi a fare qualche serio guaio se trovano il modo di entrare da qualche parte. Per fortuna che almeno nel firewall dlink non scherza affatto...
__________________
Perché si chiama Sala-Parto se ha solo nuovi arrivi? Last edited by pasky5 : 29-04-2010 at 16:53. |
|
|
|
|
|
|
#5283 |
|
Senior Member
Join Date: Jun 2005
Posts: 509
|
Come time server avevo impostarto ntp1.inrim.it ed in ogni caso non credo possa essere il motivo. Gli ip sono sicuramente di proxy. Il portscanning compulsivo anche verso porte gia' scansionate pero' e' abbastanza strano, sembrerebbe opera di uno script o di un programma automatico lasciato in loop. Inoltre le richieste sono sempre SYN direttamente all'interfaccia esterna del router, possibile che un cracker umano non si renda conto che sta cercando di aprire una connessione con un router e non con un computer??
In ogni caso il mistero vero e' come sia possibile che tutti gli ip che ottengo siano soggetti a questo genere di attacchi. Cioe', ci fosse una connessione outbound che quindi puo' fornire l'IP all'eventuale attaccante capirei anche. Ma qui succede con solo il router acceso, daccordo, qualche ip precedentemente in uso potrebbe essere stato gia' sotto attacco, ma tutti!? O portscannano grossi range di ip come dicevo prima, oppure non me lo spiego. L'idea forse potrebbe non essere assurda, se uno volesse farsi una botnet probabilmente cercherebbe in automatico hosts con porte aperte e credo sia un lavoro che non viene fatto a manina IP x IP. Altri utenti rilevano allert simili? |
|
|
|
|
|
#5284 |
|
Member
Join Date: Sep 2008
Posts: 129
|
che significa questo messaggio classificato di livello "emergenza" !?
![]() edit: continuano gli attacchi!!! ![]() ..ma siamo sicuri che funziona bene 'sto "Sistem Log" ??? edit2: c'è un altro avviso di emergenza.. help!
Last edited by MarkoRussinuovo : 29-04-2010 at 18:06. Reason: 2edit |
|
|
|
|
|
#5285 |
|
Senior Member
Join Date: Feb 2006
Posts: 9,526
|
Cambiata la password di accesso di default?
Disabilitata la risposta del router al ping? Disabilitata la risposta del telnet sulla WAN? Disabilitato il management remoto da WAN?
__________________
Unofficial D-Link Forum |
|
|
|
|
|
#5286 | |
|
Senior Member
Join Date: Feb 2005
Location: Roma
Posts: 1,581
|
Quote:
__________________
Intel i5-4690 |
|
|
|
|
|
|
#5287 |
|
Member
Join Date: Sep 2008
Posts: 129
|
Cambiata la password di accesso di default? SI era già cambiata
Disabilitata la risposta del router al ping? SI è disabilitata Disabilitata la risposta del telnet sulla WAN? SI è disabilitata è abilitata solo su LAN Disabilitato il management remoto da WAN? SI è disabilitata Ho solo abilitato il QOS SETUP e abilitate le opzioni del firewall (vedi shots) ![]() |
|
|
|
|
|
#5288 | |
|
Senior Member
Join Date: Apr 2007
Location: (PD)
Posts: 1,335
|
Quote:
Alle 19:03 sei stato "floddato" da richieste IP scan, intanto come ha giustamente ricordato Carciofone, in attesa di firmware con Funzione HNAP, attuate tutte quelle misure necessarie per evitare di farvi infettare il router con qualche virus, e trovarvi inprovvisamente tutto aperto come alla Reggia di Versaille. Quello che invece non capisco, è il perchè segna lo stato di emergenza della BusyBox allo start. ... mmmm guardando bene, alle 19:03 l'ip del tuo gateway su ethernet è per caso 192.168.1.3 ? e l'ip internet assegnato dalla centrale era 213.236.208.135 ? ... perchè se così ti sei attaccato da solo!
__________________
Perché si chiama Sala-Parto se ha solo nuovi arrivi? Last edited by pasky5 : 29-04-2010 at 18:51. |
|
|
|
|
|
|
#5289 | ||
|
Member
Join Date: Sep 2008
Posts: 129
|
Quote:
Quote:
|
||
|
|
|
|
|
#5290 |
|
Senior Member
Join Date: Apr 2000
Location: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Posts: 53,963
|
Dai una controllatina ai tuoi PC con a-squared AntiMalware e MBAM
|
|
|
|
|
|
#5291 | ||
|
Senior Member
Join Date: Jun 2005
Posts: 509
|
Quote:
Quote:
|
||
|
|
|
|
|
#5292 |
|
Senior Member
Join Date: Feb 2006
Posts: 9,526
|
Xtutti: la scheda di Gr8Wings è corretta. La voce specifica del ping si trova in Advanced\Advanced LAN. ICMP su WAN abilitato costringe il router a rispondere a varie queries (tra cui anche Where are you di IPV6), mentre se è disabilitato il router non risponde e mantiene la modalità stealth e, dopo un pò, di solito la smettono. Bisogna vedere, però se disabilitandolo il router funziona bene con il vostro provider...
__________________
Unofficial D-Link Forum Last edited by Carciofone : 29-04-2010 at 20:16. |
|
|
|
|
|
#5293 |
|
Member
Join Date: Sep 2008
Posts: 129
|
Scusami Carciofone (che tra l'altro ringrazio perchè utente bravo e disponibile), ma non ho capito. Lui (Gr8Wings) l'Internet Control Message Protocol (ICMP) ce lo ha abilitato su WLAN come da figura
![]() E questo è il contrario di quello che dici tu. Parrebbe un settaggio non corretto ed a rischio ping esterni, giusto ?? |
|
|
|
|
|
#5294 |
|
Senior Member
Join Date: Feb 2006
Posts: 9,526
|
No, beh, rivedi il msg precedente modificato perchè non era chiaro.
Nel tuo caso, però, le intrusioni vengono dalla Turchia e dall'Australia, quindi o usi qualche proxy turco o hai il pc infettato da qualche spyware preso su quella montagna di siti turchi di file sharing, oppure sei un ignaro bersaglio di spoorfing vario, cui però il router è in grado di resistere senza il minimo problema. Purtroppo su internet è così: ci sono continuamente rompic....i che continuano a suonare il campanello di casa e sta al router rispondere o meno. Sempre nel tuo caso un attacco è passato attraverso il router perchè diretto alla porta 80 ed infatti è classificato "Emerg". In quel caso dopo le prime richieste sono intervenuti gli algoritmi di difesa del firewall a seconda del tipo di attacco perchè la porta era aperta.
__________________
Unofficial D-Link Forum Last edited by Carciofone : 29-04-2010 at 20:46. |
|
|
|
|
|
#5295 |
|
Senior Member
Join Date: Apr 2007
Location: (PD)
Posts: 1,335
|
... nello specifico ti sei Autodeflorato assegnando l'IP anche al vibratore
__________________
Perché si chiama Sala-Parto se ha solo nuovi arrivi? |
|
|
|
|
|
#5296 |
|
Member
Join Date: Sep 2008
Posts: 129
|
..va bene, l'importante è non farsi del male
![]() edit: cmq mo lo butto via 'sto router! non lo so ancora se è un buon acquisto o meno. Last edited by MarkoRussinuovo : 29-04-2010 at 21:37. |
|
|
|
|
|
#5297 | |
|
Senior Member
Join Date: Apr 2007
Location: (PD)
Posts: 1,335
|
Quote:
__________________
Perché si chiama Sala-Parto se ha solo nuovi arrivi? |
|
|
|
|
|
|
#5298 |
|
Member
Join Date: Sep 2008
Posts: 129
|
si, però le porte ce le avevo e ce le ho tutte chiuse, come le gambe di una verginella che va in chiesa ogni domenica mattina, altro che Eva Henger.
Manco uno spillo ci deve passare se il router è buono e fa il suo dovere. Ho l'impressione, invece, che il firmware di tale router è un po' arronzato e confusionario e a volte poco razionale. Ad esempio: - i vari settaggi del WiFI sono sparsi almeno in 4 menù diversi ed alcune voci si sovrappongono; - se voglio vedere l'indirizzo IP che mi è stato assegnato dal provider e lo voglio cambiare (anche per motivi di sicurezza) devo andare su un'altro menù. Insomma non è agevole e per niente razionale. Erano meglio i vecchi d-link. @cionci-> come antivirus ho avira, cmq per scrupolo ho effettuato una controllatina con AntiMalware e MBAM, che sono programmi che non conoscevo. Il risultato è stato negativo. I computers sono puliti. PS: mi è piaciuto AntiMalware, anche se per il momento, viste le statistiche, rimango fedele ad Avira. Ciao e grazie cmq dei suggerimenti. |
|
|
|
|
|
#5299 | |
|
Senior Member
Join Date: Feb 2006
Posts: 9,526
|
Quote:
Il networking è una scienza esatta (quasi Non è che ogni volta che esce un modello nuovo, il know-how precedente in fatto di firmware va perso perchè mettono lì 4 dodicenni a farlo: certe parti sono consolidate e rimangono quelle. Anche da profano dovrebbe venirti un dubbio: ma come fanno il mio browser a navigare, l'antivirus e il sistema operativo ad aggiornarsi automaticamente, il messenger, skype et similia a collegarsi senza aver aperto tutte le singole porte sul router? Un browser in multitasking ne usa anche decine contemporaneamente. Chiaro che il firewall, identificato processo e protocollo, autorizzati per default dalla sua programmazione, apre le porte e trasmette dati, nonchè ne riceve. E' altrettanto chiaro che con qualsiasi router, se dopo 20 sec che l'antivirus si è aggiornato sulla porta x arriva un attacco vero o simulato che sia, automatico o mirato, la porta è aperta e sarà l'SPI ad interpretarne la struttura e a bloccarlo, eventualmente. Non dimentichiamo che stai leggendo un log che ti dice cosa è successo, mica hai avuto problemi, blocchi del pc, intrusioni etc... Quanto alla probabilità che tu sia oggetto di simili attacchi, sei cliente di uno dei maggiori provider italiani ed europei, mica di "adsl-stroppari": chiaro che quando programmano i robot impostano range di milioni di IP e ci può essere dentro anche il tuo. E poi, a parte la segnalazione Emerg sulla porta 80, le altre riguardano porte chiaramente anonime per uso P2P: se chi aveva il tuo ip prima di disconnettersi ha usato emule o bittorrent (o qualcun altro delle decine di programmi di filesharing e protocolli che esistono) contattando, mettiamo, 10.000 utenti vari, hai voglia che questi si dimentichino di quell'IP in fretta... Passeranno ore, anche decine, prima che mollino l'osso.
__________________
Unofficial D-Link Forum |
|
|
|
|
|
|
#5300 |
|
Junior Member
Join Date: Apr 2010
Posts: 4
|
Quale firmware?
Salve,
qualche giorno fa mi era stato consigliato di aggiornare il firmware del D-Link DSL-270B E1 al 5.17b49. Avevo fatto notare però che alcuni utenti hanno lamentato problemi col wireless dopo l'aggiornamento, e avevo chiesto se, a fronte di questi problemi, convenisse effettivamente aggiornare o tenermi l'attuale firmware EU_5.14. Non ho ottenuto risposte e sono ancora indeciso sul da farsi, quindi torno a porre la domanda, sperando in un aiuto: mi conviene comunque aggiornare al 5.17b49 o rischio di avere problemi anche col wireless? Grazie a chi mi aiuterà. |
|
|
|
|
«
Previous Thread
|
Next Thread
»
|
|
All times are GMT +1. The time now is 10:47.


























