Fastweb e portscan...

zal · 26-01-2008, 10:27

Ciao a tutti,
da una settimana ho cambiato provider e sono passato da tin.it a fastweb. Da quando è partita la connessione a fastweb (prima no) il firewall sygate mi segnala ogni giorno diversi portscan come segue sempre dallo stesso ip:

Somebody is scanning your computer.
Your computer's UDP ports:
4164, 4203, 4221, and 4232 have been scanned from 213.140.2.49..

Qualcuno sa spiegarmi che roba è?
E' veramente un tentativo di intrusione?
Devo preoccuparmi?

Txh in adv

BTS · 26-01-2008, 13:29

prova a fare un "whois" su quel ip... vedi che informazioni trovi

Harry_Callahan · 26-01-2008, 13:38

Fastweb

pegasolabs · 27-01-2008, 08:26

Comunque, parlando in generale, in questi casi puoi scrivere all'abuse:
In case of improper use originating from our network,
please mail customer or [email protected]
con la data e l'ora precisa.

BTS · 27-01-2008, 08:27

quindi non sei ben visto dal tuo provider...

Devil! · 27-01-2008, 10:17

non mi sembra un IP residenziale Fastweb, prova a fare anche un traceroute

Rottweiler · 27-01-2008, 18:58

E' uno dei dns di fastweb.
non è un tentativo di intrusione.
stai tranquillo

BTS · 28-01-2008, 08:03

io sapevo che i client chiedono ai dns le informazioni... non viceversa

zal · 28-01-2008, 09:23

I portscan proseguono imperterriti facendo il backtrace e whois dell' ip esce questo

Sembrerebbe provenire dalla sede fastweb, oppure dalla RETE fastweb quidni da qualche utente?

Nel dubbio mando una mail all'abuse...

Ma com'è sto fastweb???

Rottweiler · 28-01-2008, 11:15

Quello E' uno dei dns di Fastweb.. prova ad interrogarlo.

La mia opinione è che il tuo firewall mal interpreta i reply di quel dns.

BTS · 28-01-2008, 11:19

non possiamo escludere che un dns faccia solo il dns...

Rottweiler · 28-01-2008, 11:26

guarda, secondo me è molto più probabile che quel server faccia solo il dns che che faccia anche portscan

ma poi scusa, se mai avessi questo dubbio, la prima cosa che farei sarebbe quella di guardare dentro quei pacchetti. e se dovessi scommetere, direi che è traffico dns..

BTS · 28-01-2008, 12:23

e allora sniffiamo e togliamoci il dubbio

zal · 29-01-2008, 17:48

Quote:

Originariamente inviato da Rottweiler

ma poi scusa, se mai avessi questo dubbio, la prima cosa che farei sarebbe quella di guardare dentro quei pacchetti.

...fossi capace...

Fastweb non risponde alla mail dell'abuse... attendiamo fiduciosi...

zal · 07-02-2008, 10:14

Concludo il thread.

Ho notato che il problema si presnta solo con outlook aperto e invio/ricezione automatico. Probabilmente il firewall rileva come errore un reply del DNS. Non mi spiego cmq perchè ciò avviene ogni tanto e non sempre... teniamocelo così.

Alla mail dell'abuse non ha risposto nessuno, ma forse perchè in effetti un problema non c'è, mi auguro che abbiano almeno verificato però...

ciao a tutti

26-01-2008, 10:27	#1
zal Member Iscritto dal: Nov 2002 Città: Milano Messaggi: 198	Fastweb e portscan... Ciao a tutti, da una settimana ho cambiato provider e sono passato da tin.it a fastweb. Da quando è partita la connessione a fastweb (prima no) il firewall sygate mi segnala ogni giorno diversi portscan come segue sempre dallo stesso ip: Somebody is scanning your computer. Your computer's UDP ports: 4164, 4203, 4221, and 4232 have been scanned from 213.140.2.49.. Qualcuno sa spiegarmi che roba è? E' veramente un tentativo di intrusione? Devo preoccuparmi? Txh in adv

26-01-2008, 13:29	#2
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	prova a fare un "whois" su quel ip... vedi che informazioni trovi __________________ Microsoft? MAI-crosoft!

26-01-2008, 13:38	#3
Harry_Callahan Senior Member Iscritto dal: Dec 2006 Messaggi: 9542	Fastweb __________________ Harry Callahan: We're not just going to let you walk out of here. Crook: Who's "we", sucker? Harry Callahan: Smith, and Wesson, and me.

27-01-2008, 08:26	#4
pegasolabs Senior Member Iscritto dal: May 2004 Città: Salerno Messaggi: 21185	Comunque, parlando in generale, in questi casi puoi scrivere all'abuse: In case of improper use originating from our network, please mail customer or [email protected] con la data e l'ora precisa. __________________ ~~~~~~ LEGGI IL NUOVO REGOLAMENTO DEL FORUM~~~~~~ Leggi qui PRIMA DI POSTARE in Networking! \| Accesso abusivo a reti e condivisione ADSL: è ILLEGALE! \| Guida ad Antenne, Ponti Radio e Normativa di riferimento \| Guida ai N.A.S.

27-01-2008, 08:27	#5
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	quindi non sei ben visto dal tuo provider... __________________ Microsoft? MAI-crosoft!

27-01-2008, 10:17	#6
Devil! Senior Member Iscritto dal: Feb 2003 Città: Padova Messaggi: 5905	non mi sembra un IP residenziale Fastweb, prova a fare anche un traceroute __________________

27-01-2008, 18:58	#7
Rottweiler Senior Member Iscritto dal: Nov 2002 Messaggi: 1149	E' uno dei dns di fastweb. non è un tentativo di intrusione. stai tranquillo

28-01-2008, 08:03	#8
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	io sapevo che i client chiedono ai dns le informazioni... non viceversa __________________ Microsoft? MAI-crosoft!

28-01-2008, 09:23	#9
zal Member Iscritto dal: Nov 2002 Città: Milano Messaggi: 198	I portscan proseguono imperterriti facendo il backtrace e whois dell' ip esce questo Sembrerebbe provenire dalla sede fastweb, oppure dalla RETE fastweb quidni da qualche utente? Nel dubbio mando una mail all'abuse... Ma com'è sto fastweb???

28-01-2008, 11:15	#10
Rottweiler Senior Member Iscritto dal: Nov 2002 Messaggi: 1149	Quello E' uno dei dns di Fastweb.. prova ad interrogarlo. La mia opinione è che il tuo firewall mal interpreta i reply di quel dns.

28-01-2008, 11:19	#11
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	non possiamo escludere che un dns faccia solo il dns... __________________ Microsoft? MAI-crosoft!

28-01-2008, 11:26	#12
Rottweiler Senior Member Iscritto dal: Nov 2002 Messaggi: 1149	guarda, secondo me è molto più probabile che quel server faccia solo il dns che che faccia anche portscan ma poi scusa, se mai avessi questo dubbio, la prima cosa che farei sarebbe quella di guardare dentro quei pacchetti. e se dovessi scommetere, direi che è traffico dns..

28-01-2008, 12:23	#13
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	e allora sniffiamo e togliamoci il dubbio __________________ Microsoft? MAI-crosoft!

07-02-2008, 10:14	#15
zal Member Iscritto dal: Nov 2002 Città: Milano Messaggi: 198	Concludo il thread. Ho notato che il problema si presnta solo con outlook aperto e invio/ricezione automatico. Probabilmente il firewall rileva come errore un reply del DNS. Non mi spiego cmq perchè ciò avviene ogni tanto e non sempre... teniamocelo così. Alla mail dell'abuse non ha risposto nessuno, ma forse perchè in effetti un problema non c'è, mi auguro che abbiano almeno verificato però... ciao a tutti

Strumenti
Mostra una versione stampabile Invia questa pagina per email