|
|
|
| InFoRmAtOrE |
Ciao a tutti.
Mi sono accorto questa sera di aver subito un intrusione nel mio pc da 5 utenti
collegati direttamente al mio HD. Me ne sono accorto perchè avevo un disco in
condivisione con una mia piccola rete e quando ho tolto la condivisione, mi è
apparso un segnale che ben 5 utenti erano attaccati con la bavetta al mio HD. Ho
visualizzato anche il nome di un utente che era collegato a me: "\\STEFANO".
La domanda sorge spontanea, come faccio a sapere chi e quando e da dove si era
connesso al mio pc? Esiste un qualche file di log o qualcosa di simile che
magari risciede nel sistema sul quale posso trovare queste info? Credo di si. Mi
aiutate please?GRAZIE!!! |
| WeirdOmen |
In effetti un file di log sarebbe veramente utile! Purtroppo non so se ne
esistano gratis (anzi se qualcuno lo sapesse, sarei interessato anch'io!) ma
quando ho avuto problemi simili (il virus klez che gironzolava per la nostra
LAN) mi sono divertito a seguirne i tentativi di intrusione con un'utility di
Windows, che si chiama "Analizzatore di rete" (puoi installarlo da: Start >
Impostazioni > Pannello di Controllo > Installazione applicazioni >
Installazione di Windows > Utilità di sistema).
Prova comunque a vedere se è già installato, in: Start > Programmi > Accessori >
Utilità di sistema.
(devi aggiornarlo a mano ogni tanto premendo F5 :bhò: ) |
| InFoRmAtOrE |
Ciao e grazie per il post. Proverò a vedere di che cosa si tratta:-)Grazie. |
|
|
|
|
| effeggi |
invece di installare un analizzatore di rete per fare un log, non vi conviene
direttamente installare un firewall? Un firewall registra tutte le connessioni e
i tentativi di intrusione e vi genererebbe dei bei log.... |
|
|
|
|
| InFoRmAtOrE |
Fatto ma sfortunatamente in quel momento mi sembra non fosse stato attivato
perchè stavo facendo altro...quindi nessun log. Ad ogni modo pur avendo gia un
firewall ed avendo subito piu volte questo tipo di fastidi, non è rimasto nessun
log,diciamo nessuna sostanziale specifica a riguardo. Ho visualizzato solo un
nome ieri quando ho staccato la condivisione di un mio HD e cioè una stringa del
genere "Rimuovendo la condivisione l' utente \\STEFANO verrà disconnesso etc.."
Da pazzi questo era connesso a me!!!
Solo se lo becco gli faccio patire le pene dell' inferno. |
|
|
|
|
| effeggi |
è strano che il firewall anche quando attivo non ti abbia segnalato la presenza
dell'intruso. Controlla che siano bloccate le porte da 135 alla 139 (quelle
usate da Windows per la condivisione dei file) per gli utenti che cercano di
accedervi dall'esterno, ed eventualmente logga tentativi di connessione su
quelle porte. |
|
|
|
|
| InFoRmAtOrE |
Ok..quindi come dovrei procedere e da dove per vedere la "debolezza" di queste
porte?Grazie:-) |
|
|
|
|
| InFoRmAtOrE |
Intendi queste porte?:
135 loc-srv/epmap
137 netbios-ns
138 netbios-dgm (UDP)
139 NetBIOS |
|
|
|
|
| effeggi |
dipende da che firewall usi. ti ripeto, controlla che il firewall blocchi TUTTI
i tentativi di intrusione dall'esterno su queste porte e logga tali tentativi.
E' una misura sufficiente, se ben impostata, per bloccare intrusioni NETBIOS
verso il tuo hard disk. |
|
|
|
|
| effeggi |
| esattamente quelle porte |
|
|
|
|
| InFoRmAtOrE |
Internet security 2003 personal firewall. Dove posso impostare il blocco su
quelle porte? |
|
|
|
|
| effeggi |
non conosco il firewall della Norton, nell'azienda in cui lavoro utilizziamo da
sempre Linux/iptables o Gibraltar. Con questi firewall è sufficiente aggiungere
manualmente delle regole scrivendole in un semplice file di testo. Penso che sul
tuo firewall sia + o - la stessa cosa, solo che la procedura sarà grafica. Prova
a chiedere se qualcuno utilizza Norton Pers.Fwall |
|
|
|
|
| InFoRmAtOrE |
Ok, ma credo che da li non si possa fare un gran che ho gia verificato piu
volte. Con Netstat posso magari visualizzare le porte a rischio..avevo trovato
qualcosa tempo fa che mi ero messo a studiacchiare qualcosa del genere
individuando la problematica legata alla sicurezza delle porte ma non ricordo
piu dove potevo visualizzare questa cosa... Potevo impostare il blocco su
determinate porte e addiruttura cambiarle...ma non rimembro!!:-(((
Ciao e grazie mo vedo cosa posso fare ..magari un zone alllarm! |
|
|
|
|
| Al è qui |
Citazione: Originariamente inviato da InFoRmAtOrE
Ciao a tutti.
Mi sono accorto questa sera di aver subito un intrusione nel mio pc da 5 utenti
collegati direttamente al mio HD.
Attaccati da dove? Che configurazione hai? |
|
|
|
|
| WeirdOmen |
Oh, nota bene: è probabilissimo che questi tipi che ti gironzolavano nel PC non
siano sbircioni, ma infettati da qualche virus che se ne va a zonzo nella LAN
cercando di copiarsi qua e là. Occhio alle cartelle condivise! :dottò: |
|
|
|
|
| InFoRmAtOrE |
Non avevo solo carelle condivise ma anche l' hard disk intero.
Ora ho rimosso tutte le condivisioni che c erano...
Il fatto che non si trattasse di virus o worm sono sicruo.
Non lo sono sul fatto trojian, ma credo di no anche qui.
La cosa mi sa che è ben piu complessa, ovvero ci sono arrivati nel mio HD con
altri "metodi"...
Grazie |
|
|
|
|
Home
Registrati
Logout