lo stesso intruso ogni 30sec. Cosa fare ?...

raxas · 02-08-2003, 13:43

Salve a tutti,
i monitorini nella mia connessione si attivavano anche se non aggiornavo la pagina così ho scaricato ZoneAlarmPro e risulta, tutt'ora, praticamente ogni 30 secondi un tentativo (non so se di intrusione, ma è probabile) da parte dell'indirizzo ***.***.***.* così dal sito

http://www.ripe.net/index.html

che controlla questi indirizzi è risultata, ho sottolineato, una rilevazione sospetta:
------------------------------------------------------>
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-serv...copyright.html

inetnum: 192.168.0.0 - 192.168.255.255
netname: IANA-CBLK-RESERVED1
descr: Class C address space for private internets
descr: See http://www.ripe.net/db/rfc1918.html for details
country: NL
admin-c: RFC1918-RIPE
tech-c: RFC1918-RIPE
status: ALLOCATED UNSPECIFIED
remarks: Country is really worldwide
remarks: This network should never be routed outside an enterprise
remarks: See RFC1918 for further information
notify: [email protected]
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RIPE-NCC-HM-MNT
changed: [email protected] 20020129
changed: [email protected] 20030506 # zz.example.ziya via https://lirportal.ripe.net
changed: [email protected] 20030509 # zz.example.emma via https://lirportal.ripe.net
changed: [email protected] 20030514 # zz.example.kevin via https://lirportal.ripe.net
changed: [email protected] 20030514 # zz.example.kevin via https://lirportal.ripe.net
changed: [email protected] 20030514 # zz.example.kevin via https://lirportal.ripe.net
changed: [email protected] 20030526
source: RIPE

role: RFC1918 Role
address: Singel 258
address: 1016 AB Amsterdam
address: The Netherlands
e-mail: [email protected]
trouble: See http://www.ripe.net/db/rfc1918.html
admin-c: RFC1918-RIPE
tech-c: RFC1918-RIPE
nic-hdl: RFC1918-RIPE
mnt-by: RFC1918-MNT
changed: [email protected] 20020121
changed: [email protected] 20021218
source: RIPE
--------------------------------------------------------<
Insomma, correggetemi se sbaglio, ma questo intruso, forse ha lanciato uno scan tool automatico (sono ora le 13.30 e tutto è terminato, forse aveva settato degli orari) dall'interno di una azienda?
Non ricordo il nome ma qualcuno suggeriva da dos di dare il comando ping -a (indirizzo), ma per fare cosa?

In circa 40 minuti ho avuto 148 tentativi di intrusione di cui 18 High Rated,(non ho più in questo momento tentativi, sono cessati alle 13.30 circa) capisco che c'è chi si esercita, ma tanto per sapere, mi potreste consigliare un esercizio per farli smettere?

Ciao.

Abit-HQ · 03-08-2003, 02:32

Dato l'indirizzo ip privato i casi sono due:

1)Un pc di una lan interna
2)Uno dei primi hop del tuo provider.

Lancia un nslookup o un tracert e vedrai che è un server del tuo provider.
Magari e dico magari installa un firewall serio.
Zonealarm è un valido sostituto di un albero di natale e basta.

PS:Lo stesso ripe ti dice che è un ip privato alla voce descr: Class C address space for private internets

raxas · 03-08-2003, 02:54

Quote:

Originariamente inviato da Abit-HQ
Dato l'indirizzo ip privato i casi sono due:

1)Un pc di una lan interna
2)Uno dei primi hop del tuo provider.

Lancia un nslookup o un tracert e vedrai che è un server del tuo provider.
Magari e dico magari installa un firewall serio.
Zonealarm è un valido sostituto di un albero di natale e basta.

PS:Lo stesso ripe ti dice che è un ip privato alla voce descr: Class C address space for private internets

Ciao! Grazie per la risposta.

ehm, non so cosa sia un nslookup o un tracert

se mi puoi spiegare come fare... magari domani..., visto che è tardissimo e ho un turno mattutino di lavoro.
Ciao, buonanotte.

PL4N3T · 05-08-2003, 06:49

buon giorno allora i progammi che suggerisce servono per darti informazioni sull ip.

guarda qui:

nslookup

tracert

cmq anche io uso zone allarm e non mi piace proprio per niente xkè è troppo giocattoloso, vorrei qualcosa di Veloce, Funzionale e di sostanza, magari in italiano; ho win xp

cmq sia shero con emule 0.28b e mi capita che anche x 1ora che ho chiuso il client ancora migliaia di IP si provino a connettere a me; continuamente mi costringe a guardare il fw x vedere se sono attaccato.. nn c'e' modo x evitare questa sorta di "smurf" da parte di quasi mezzo mondo?

raxas · 05-08-2003, 20:55

Grazie PL4N3T, per la risposta.

Avevo trovato un sito:

http://www.francescograssi.com/adv/2002_06_22.htm

che indica quali sono gli indirizzi riservati, cosa guardare nelle e-mail e come rintracciare gli IP, c'è anche il link per questo sito: http://combat.uxn.com/

che permette una diagnosi sugli IP senza usare direttamente i programmi che mi avete indicato,

magari sarà un riepilogo per qualcuno che già conosce come orientarsi, cmq dà qualche indicazione... è anche questione di tempo.
Ciao.

Abit-HQ · 09-08-2003, 07:45

Quote:

Originariamente inviato da PL4N3T
buon giorno allora i progammi che suggerisce servono per darti informazioni sull ip.

guarda qui:

nslookup

tracert

cmq anche io uso zone allarm e non mi piace proprio per niente xkè è troppo giocattoloso, vorrei qualcosa di Veloce, Funzionale e di sostanza, magari in italiano; ho win xp

cmq sia shero con emule 0.28b e mi capita che anche x 1ora che ho chiuso il client ancora migliaia di IP si provino a connettere a me; continuamente mi costringe a guardare il fw x vedere se sono attaccato.. nn c'e' modo x evitare questa sorta di "smurf" da parte di quasi mezzo mondo?

No, a meno di non cambiare ip avrai sempre qualcuno che ti bussa sulle porte di emule, cmq è inutile cambiare ip solo xche'i source di emule bussano, xche'magari il precedente proprietario del tuo nuovo ip usava emule,dc e winmx insieme.

Se non hai il servizio aperto(emule in questo caso)il bussare è totalmente innocuo.
E'come l'alert di un firewall che segnala l'uso di una trojan su una determinata porta, se non hai la backdoor installata è solo un innocou toc toc.
Di firewall migliori rispeto a zone(ci vuole poco) ci sono kerio e sygate ma non sono in ita.

C'è da dire che poi zonealarm crea non pochi problemi ad emule nelle versioni > della 2.6(vd forum ufficiale emule)

OCP · 09-08-2003, 14:02

ciao grazie 1000 x i tuoi consigli, senti pensavo di mettermi a trovare un buon proxy x usare emule dici che si trova magari e se non lo trovo a pagamento quanto mi costa indicativamente?

altra cosa, ho provato sia Sygate e anche il VisNatic ma li ho trovati molto difficili da configurare

Abit-HQ · 09-08-2003, 18:44

x il supporto proxy non ti posso aiutare, mai usato.
Non ne vedo la necessita' e non saprei nemmeno come possa comportarsi(low id? velocita'del download limitata dal proxy? numero fonti e connessioni max?), tanto se vogliono beccarti non sara'mica un proxy a fermarli

A livello di semplicita'come zonealarm c'è l'ottimo Npf2003 solo che è pesantuccio

02-08-2003, 13:43	#1
raxas Senior Member Iscritto dal: Oct 2002 Messaggi: 5899	lo stesso intruso ogni 30sec. Cosa fare ?... Salve a tutti, i monitorini nella mia connessione si attivavano anche se non aggiornavo la pagina così ho scaricato ZoneAlarmPro e risulta, tutt'ora, praticamente ogni 30 secondi un tentativo (non so se di intrusione, ma è probabile) da parte dell'indirizzo *..*. così dal sito http://www.ripe.net/index.html che controlla questi indirizzi è risultata, ho sottolineato, una rilevazione sospetta: ------------------------------------------------------> % This is the RIPE Whois server. % The objects are in RPSL format. % % Rights restricted by copyright. % See http://www.ripe.net/ripencc/pub-serv...copyright.html inetnum: 192.168.0.0 - 192.168.255.255 netname: IANA-CBLK-RESERVED1 descr: Class C address space for private internets descr: See http://www.ripe.net/db/rfc1918.html for details country: NL admin-c: RFC1918-RIPE tech-c: RFC1918-RIPE status: ALLOCATED UNSPECIFIED remarks: Country is really worldwide remarks: This network should never be routed outside an enterprise remarks: See RFC1918 for further information notify: [email protected] mnt-by: RIPE-NCC-HM-MNT mnt-lower: RIPE-NCC-HM-MNT changed: [email protected] 20020129 changed: [email protected] 20030506 # zz.example.ziya via https://lirportal.ripe.net changed: [email protected] 20030509 # zz.example.emma via https://lirportal.ripe.net changed: [email protected] 20030514 # zz.example.kevin via https://lirportal.ripe.net changed: [email protected] 20030514 # zz.example.kevin via https://lirportal.ripe.net changed: [email protected] 20030514 # zz.example.kevin via https://lirportal.ripe.net changed: [email protected] 20030526 source: RIPE role: RFC1918 Role address: Singel 258 address: 1016 AB Amsterdam address: The Netherlands e-mail: [email protected] trouble: See http://www.ripe.net/db/rfc1918.html admin-c: RFC1918-RIPE tech-c: RFC1918-RIPE nic-hdl: RFC1918-RIPE mnt-by: RFC1918-MNT changed: [email protected] 20020121 changed: [email protected] 20021218 source: RIPE --------------------------------------------------------< Insomma, correggetemi se sbaglio, ma questo intruso, forse ha lanciato uno scan tool automatico (sono ora le 13.30 e tutto è terminato, forse aveva settato degli orari) dall'interno di una azienda? Non ricordo il nome ma qualcuno suggeriva da dos di dare il comando ping -a (indirizzo), ma per fare cosa? In circa 40 minuti ho avuto 148 tentativi di intrusione di cui 18 High Rated,(non ho più in questo momento tentativi, sono cessati alle 13.30 circa) capisco che c'è chi si esercita, ma tanto per sapere, mi potreste consigliare un esercizio per farli smettere? Ciao. __________________ Pacifisti benintenzionisti da salotto-\\.//-Il cavallo di Torino Ultima modifica di raxas : 04-08-2003 alle 10:34.

05-08-2003, 20:55	#5
raxas Senior Member Iscritto dal: Oct 2002 Messaggi: 5899	Grazie PL4N3T, per la risposta. Avevo trovato un sito: http://www.francescograssi.com/adv/2002_06_22.htm che indica quali sono gli indirizzi riservati, cosa guardare nelle e-mail e come rintracciare gli IP, c'è anche il link per questo sito: http://combat.uxn.com/ che permette una diagnosi sugli IP senza usare direttamente i programmi che mi avete indicato, magari sarà un riepilogo per qualcuno che già conosce come orientarsi, cmq dà qualche indicazione... è anche questione di tempo. Ciao. __________________ Pacifisti benintenzionisti da salotto-\\.//-Il cavallo di Torino Ultima modifica di raxas : 06-08-2003 alle 13:59.

03-08-2003, 02:32	#2
Abit-HQ Bannato Iscritto dal: Jun 2003 Messaggi: 422	Dato l'indirizzo ip privato i casi sono due: 1)Un pc di una lan interna 2)Uno dei primi hop del tuo provider. Lancia un nslookup o un tracert e vedrai che è un server del tuo provider. Magari e dico magari installa un firewall serio. Zonealarm è un valido sostituto di un albero di natale e basta. PS:Lo stesso ripe ti dice che è un ip privato alla voce descr: Class C address space for private internets

05-08-2003, 06:49	#4
PL4N3T Bannato Iscritto dal: Dec 2002 Messaggi: 635	buon giorno allora i progammi che suggerisce servono per darti informazioni sull ip. guarda qui: nslookup tracert cmq anche io uso zone allarm e non mi piace proprio per niente xkè è troppo giocattoloso, vorrei qualcosa di Veloce, Funzionale e di sostanza, magari in italiano; ho win xp cmq sia shero con emule 0.28b e mi capita che anche x 1ora che ho chiuso il client ancora migliaia di IP si provino a connettere a me; continuamente mi costringe a guardare il fw x vedere se sono attaccato.. nn c'e' modo x evitare questa sorta di "smurf" da parte di quasi mezzo mondo?

09-08-2003, 14:02	#7
OCP Member Iscritto dal: Aug 2003 Messaggi: 129	ciao grazie 1000 x i tuoi consigli, senti pensavo di mettermi a trovare un buon proxy x usare emule dici che si trova magari e se non lo trovo a pagamento quanto mi costa indicativamente? altra cosa, ho provato sia Sygate e anche il VisNatic ma li ho trovati molto difficili da configurare

09-08-2003, 18:44	#8
Abit-HQ Bannato Iscritto dal: Jun 2003 Messaggi: 422	x il supporto proxy non ti posso aiutare, mai usato. Non ne vedo la necessita' e non saprei nemmeno come possa comportarsi(low id? velocita'del download limitata dal proxy? numero fonti e connessioni max?), tanto se vogliono beccarti non sara'mica un proxy a fermarli A livello di semplicita'come zonealarm c'è l'ottimo Npf2003 solo che è pesantuccio

Strumenti
Mostra una versione stampabile Invia questa pagina per email