traffico di rete insolito...

[Michael80]

buongiorno a tutti.
Premetto che ho già cercato un po' nel forum ma non ho trovato nulla al riguardo.
Ieri sera dopo aver passato invano a 2 giorni a provare ad eliminare tutti gli spyware/worm/trojan/virus/edaltremilleboiate dal mio pc nuovo di zecca (formattato SABATO MATTINA NB), ho deciso di formattare. Adesso va tutto ok, ho installato anche alcune patch sulla sicurezza di windows, ho levato qualche servizio (stasera ne toglierò altri, prevedo una bella sfoltita ), ho fatto la copia con drive image perchè il sistema sembra a posto. L'unico neo è: quando mi connetto ad internet (adsl con tin.it) lanciando netstat da cmdline ho notato che c'è una valanga di connessioni aperte su porte che vanno dalla 1000equalcosa alla 3000equalcosa. Tutte sullo stesso indirizzo (interbusiness o qualcos'altro non ricordo). Tutto questo è male? potrebbe essere qualche virus/trojan/worm rimasto nella unità dove ho salvato i dati? oppure qualche servizio di xp che fa i suoi porci comodi?
Come antivirus ho Antivir6 aggiornato a ieri sera (scansione completa effettuata non so quante volte)
Inoltre uso SpyBot e Adaware6.
Devo preoccuparmi o no?...o magari un po'?...

GRAZIE MILLE

[wgator]

Quote:

Originariamente inviato da Michael80
buongiorno a tutti.
... quando mi connetto ad internet (adsl con tin.it) lanciando netstat da cmdline ho notato che c'è una valanga di connessioni aperte su porte che vanno dalla 1000equalcosa alla 3000equalcosa. Tutte sullo stesso indirizzo (interbusiness o qualcos'altro non ricordo). Tutto questo è male?
Devo preoccuparmi o no?...o magari un po'?...

GRAZIE MILLE

Ciao,

atroce sospetto: hai installato ADSL... hai controllato se sulla connessione start->impostazioni->connessioni di rete->tin adsl->tasto destro del mouse->proprietà->rete, che siano spuntate solo le prime 2 voci, (protocollo tcp/ip e utilità di pianificazione pacchetti qos)
le altre no assolutamente poi, su avanzate che sia spuntata la voce proteggi il computer ecc ecc.)

[Michael80]

Adesso sono al lavoro appena torno a casa per pranzo controllo poi faccio sapere. Eventualmente quelle voci che "potrei aver lasciato abilitate" cosa fanno? si sparano sulle prime N porte fanno MILLEMILA connessioni...e a che pro?!?!

cmq GRAZIE

[wgator]

Ecco un netstat a posto

Ciao

[wgator]

Quote:

Originariamente inviato da Michael80
Adesso sono al lavoro appena torno a casa per pranzo controllo poi faccio sapere. Eventualmente quelle voci che "potrei aver lasciato abilitate" cosa fanno? si sparano sulle prime N porte fanno MILLEMILA connessioni...e a che pro?!?!

cmq GRAZIE

ciao,

hehehe, non so perchè, ma win xp non inserisce di default il suo firewall nativo, inoltre quando si installa l'adsl tramite il CD di telecom, sulla connessione internet viene attivato di default "client per reti microsoft".

In queste condizioni, si resiste "vergini" cioè senza beccare di tutto D+ al max 30 minuti... virus, trojani, spyware... entra tutto.

Se vuoi fare un controllo alle porte per vedere se sono stealth prova qui: http://www.symantec.it/region/it/avcenter.html

[Michael80]

niente...
allora ho controllato, nella schermata che dicevi è abilitato solo tcp/ip
firewall ora abilitato, ma ho comunque tante connessioni aperte ed in + emule non funge
provo ad installare qualche firewall serio?

[wgator]

Quote:

Originariamente inviato da Michael80
niente...
allora ho controllato, nella schermata che dicevi è abilitato solo tcp/ip
firewall ora abilitato, ma ho comunque tante connessioni aperte ed in + emule non funge
provo ad installare qualche firewall serio?

ri-ciao

- Se hai connessioni aperte in netstat forse hai già beccato qualche schifezza. Conviene un controllo con qualche antispy anti-trojan, puoi provare con spyaudit on line, almeno ti fai un'idea

- Hai già controllato la situazione porte con "security response di symantec"?
Se non ti fidi di symantec, puoi provare con questo: http://scan.sygate.com/probe.html

- Per quanto riguarda emule, non so se ICF interferisce... io uso WinMx e non ci sono problemi.

- per il firewall + serio, è una buona idea, propenderei per outpost o sygate... tuttavia anche ICF fa abbastanza bene il suo lavoro.

[Heretic]

Quote:

Originariamente inviato da wgator
Ecco un netstat a posto

Ciao

okkio a non lasciare aperta la Netbios!!!!!!!!!!!!!!!!!!!!!!

ce l'hai aperta kiudila

[HEGOM]

io il netbios l'ho addirittura disabilitato, tanto che me frega?

[Heretic]

Quote:

Originariamente inviato da HEGOM
io il netbios l'ho addirittura disabilitato, tanto che me frega?

imho bravo!!!!!!!!!!!

[wgator]

Quote:

Originariamente inviato da Heretic
okkio a non lasciare aperta la Netbios!!!!!!!!!!!!!!!!!!!!!!

ce l'hai aperta kiudila

Ciao,

credo che netbios (che è cmq disabilitato) utilizzi le 137 138 139.

Ti riferisci alla 445?
Quella resta attiva anche con netbios disabilitato

Responso Sygate quickscan: http://scan.sygate.com/quickscan.html

Server Message Block 445 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

[Heretic]

scusami intendevo la 135 RPC mi sono sbagliato, eheheh
succede, a volte, cmq spero tu abbia le fix x quella porta...


ciaooooooo

[Michael80]

allora, tornando al mio pc "colabrodo" ho installato il firewall outpost (nonchè avast! come antivirus, a proposito è un ottimo av).
HO notato che il traffico era generato da 2 files in esecuzione e dalle richieste che venivano sulla porta 4662 (la porta standard di emule).
Per quanto riguarda i 2 files, essi erano firewal1 (mi dice che è del firewall di winzozz ma non capisco come possa essere stato eseguito in quanto lo avevo disabilitato boh) e un altro paio di files che ho arrestato e cancellato dalle varie voci di run nel registro di sistema, sia nelle LOCAL_MACHINE che nei 2 CURRENT_USER che ho.

Per le chiamate che ho sulla 4662, effettivamente sono scansioni continue di quella porta 8e su un'altra UDP), ogni 2-3 secondi un tentativo di connessione, sarà perchè durante il giorno uso eMule?
E cmq ieri sera per far funzionare eMule ho dovuto metterlo tra le applicazioni con permesso di traffico (e fin qui niente di strano, ha la rule già pronta predefinita "Emule") però poi il firewall ad OGNI connessione proveniente dall'esterno che aveva a che fare con eMule mi chiedeva cosa fare, al che io ho gli ho impostato che in quel caso può far passare quello che vuole. Ho fatto bene o male?
Inoltre chiudendo eMule (e pure l'adsl) le connessioni rimangono aperte fino a che non disconnetto l'utente, è normale?

scusatemi se vi ho annoiato, ma ho trovato su questo forum risposte e consigli veramente preziosi, compreso l'elenco con le descrizioni dei servizi di winXP e vi faccio i complimenti per la disponibilità che avete sempre dimostrato. Grazie

[Heretic]

Quote:

Originariamente inviato da Michael80
allora, tornando al mio pc "colabrodo" ho installato il firewall outpost (nonchè avast! come antivirus, a proposito è un ottimo av).
HO notato che il traffico era generato da 2 files in esecuzione e dalle richieste che venivano sulla porta 4662 (la porta standard di emule).
Per quanto riguarda i 2 files, essi erano firewal1 (mi dice che è del firewall di winzozz ma non capisco come possa essere stato eseguito in quanto lo avevo disabilitato boh) e un altro paio di files che ho arrestato e cancellato dalle varie voci di run nel registro di sistema, sia nelle LOCAL_MACHINE che nei 2 CURRENT_USER che ho.

Per le chiamate che ho sulla 4662, effettivamente sono scansioni continue di quella porta 8e su un'altra UDP), ogni 2-3 secondi un tentativo di connessione, sarà perchè durante il giorno uso eMule?
E cmq ieri sera per far funzionare eMule ho dovuto metterlo tra le applicazioni con permesso di traffico (e fin qui niente di strano, ha la rule già pronta predefinita "Emule") però poi il firewall ad OGNI connessione proveniente dall'esterno che aveva a che fare con eMule mi chiedeva cosa fare, al che io ho gli ho impostato che in quel caso può far passare quello che vuole. Ho fatto bene o male?
Inoltre chiudendo eMule (e pure l'adsl) le connessioni rimangono aperte fino a che non disconnetto l'utente, è normale?

scusatemi se vi ho annoiato, ma ho trovato su questo forum risposte e consigli veramente preziosi, compreso l'elenco con le descrizioni dei servizi di winXP e vi faccio i complimenti per la disponibilità che avete sempre dimostrato. Grazie

dunque x quanto riguarda il firewall fai così... (sarà la "n" volta ke lo scrivo

1) Vai in Prompt dei Comandi e digita il comando "netsh" (senza virgolette)

2) se hai il firewall sicuramente devi usare anche questo comando "firewall"

3) a questo punto apparirà "netsh firewall>" (senza virgolette)

4) Scrivi show adapter e batti invio. Comparirà una lista di informazioni sulla nostra attuale connessione di rete che scrivo per fare un esempio in questa tabella:

-------------------------------------------------------------------------------------------
Nome Scheda attivato


Connessione alla rete locale (LAN) SI
Automatic Tunneling Pseudo-Interface SI
-------------------------------------------------------------------------------------------


Dunque, se hai una schermata di questo tipo con tutti i "SI" come filtri
allora hai il firewall attivo, (questo succede perchè alcuni aggiornametni di winxp implementano ayutomaticamente il firewall e quindi pure se non lo hai attivato te lo trovi a volte e uno non sa xkè poi non funziona l'ICMP e sbrocca ) per toglierlo fai come segue (con le virgolette stavolta) :


5) set adapter "Connessione alla rete locale (LAN)" filtering=disable


set adapter "Automatic Tunneling Pseudo-Interface" filtering=disable


6) a questo punto riscriviamo "show adapter" (senza virgolette) e battiamo invio.

Ti apparirà la stessa tabella di prima ma con i "NO" al posto dei "SI" nella tabella dei filtri. Ora sei "libero" dal FWxp.



Le connessioni rimangono aperte (x Emule) fino a quando gli hai detto di rmanere hanno un TimeOut ke puoi impostasre o da interfaccia grafica o dal file preferences.ini ke si trova nella dir di installazione.

x quanto riguarda FireWall->Emule guarda qui...

http://www.emule.it/guida_emule/step22.asp

caiooooooooooooooooo



spero di esserti stato d'aiuto