Problema intrusioni?

[fabio92]

Ciao a tutti, è da ieri che sto tenendo d'occhio il mio firewall (McAfee Personal Firewall Plus 2007), e mi sono accorto che rileva tentativi di intrusione (suppongo) quasi ogni secondo! In pratica, se guardo il "rapporto giornaliero degli eventi in ingresso bloccati", vedo questo:

E il pc è sta acceso solo da 27 minuti!
Adesso mi chiedo, è normale questo enorme tentativo di intrusioni, cioè a tutti è così? Oppure ho qualche virus o spyware che tenta di comunicare con qualcuno?

Ho già fatto analizzare il log di Hiijackthis sul sistema automatico che sta sul sito e non mi ha trovato niente di sospetto. Se volete lo posto anche qui.

Se poi guardate quelli in tutta la settimana o in tutto il mese...

Inoltre ho ancora tutti gli indirizzi IP registrati.

Grazie a tutti


Fabio


EDIT:
Sono passati dieci minuti da quando ho scritto, e il risultato è questo:

Non faccio in tempo a fare uno screenshot che aumentano.

[fabio92]

Ieri ho (purtroppo) formattato: ma questi possibili tentativi non accennano a diminuire. Non credo di avere virus o spyware, ho fatto scansioni su scansioni...
Il pc sta acceso da stamattina verso le 10 e questo è il risultato (nell'allegato)

[Habanero]

La quantità giornaliera non mi sembra allarmante... come sempre bisogna capire cosa McAfee conteggi come attacco... la maggior parte degli eventi rilevati possono essere semplici SYN scan!
In ogni caso gli "attacchi rilevati" (preferirei parlare di pacchetti bloccati) sono in ingresso... nulla a che fare con qualcosa presente sul tuo PC, sono eventi indipendenti da te.

Se riesci a postare il log dettagliato di tali eventi ci si può dare una occhiata.

[fabio92]

Ho fatto uno screenshot degli ultimi eventi bloccati, questo è il link (non lo metto come immagine perché è la completa risoluzione del mio monitor):

http://img205.imageshack.us/img205/863/immaginevk8.jpg

Nella colonna Informazioni evento forse si può capire di che si tratta...

Ho cominciato a preoccuparmi quando una sera Avast mi segnalò un "DCOM Exploit attack", a questo ne seguirono una decina, sempre da IP diversi e tutti alla porta 135. Così ho controllato il firewall, e ho notato questo "problema".

[Habanero]

Il tipo di pacchetto più frequente è diretto alla porta 135 (DCOM/RPC), vedi DCE endpoint resolution protocol. Probabilmente alcune macchine infette presenti sulla rete stanno cercando di fare propagare un worm attraverso vulnerabilità note. La vulnerabilità del servizio DCOM/RPC di windows è vecchia di anni, se tieni il pc aggiornato non hai nulla temere.... e anche se non fosse aggiornato la presenza del firewall ti avrebbe comunque difeso.

Nulla di cui preoccuparsi... è tutto nella regola.

[fabio92]

Proprio quello che hai segnalato è l'evento più frequente, allora adesso non mi preoccupo più, ma mi chiedo solamente perché all'inizio è stato Avast a bloccare questo evento e non McAfee :master: E poi non credevo che senza firewall si rischiasse in questo modo

Comunque grazie

[Habanero]

Originariamente inviato da fabio92
ma mi chiedo solamente perché all'inizio è stato Avast a bloccare questo evento e non McAfee

Bella domanda... difficile dirlo...

Originariamente inviato da fabio92
:master: E poi non credevo che senza firewall si rischiasse in questo modo

Qualsiasi servizio vulnerabile esposto alle rete è pericoloso... il servizio RPC/DCOM dovrebbe essere esposto solo nella rete interna, non ha senso di esistere su internet. Il fatto che Windows XP all'epoca della vulnerabilità non avesse il proprio firewall abilitato di default ha creato danni che ci ricorderemo per anni (vedi Blaster e tutta la schiera di worm che gli sono venuti dietro). L'errore è stato quello di non minimizzare la superficie di esposizione dei servizi. Chi aveva un firewall non è rimasto vittima del worm anche se il proprio sistema era vulnerabile. Col Service pack 2 molte cose sono cambiate, in meglio.