intrusioni continue

[ddmaster]

Ciao ragazzi.... ho un pc in rete con w98 se aggiornato all'ultima patch nel quale ho installato solo l'antivirus (per la precisione "Antivir").

In questa macchina la sicurezza ha un'importanza relativa perchè non ho dati sensibili ed ha un accesso a se stante sul web.

Ieri stavo comunque usando quel pc per delle copie di cd per un cliente e quando sono andato per spegnerlo mi sono ritrovato il messaggio "due utenti collegati ecc. ecc."

con netstat ho visto che effettivamente c'erano due connessioni stabilite dall'esterno ed in quel momento è partito un suono stile sirena dall'altoparlante del pc.

Ovviamente ho capito che qualche furbacchiotto ha aperto una shell in una porta e mi ha fatto partire la "sirena".

Oggi ho installato zone alarm ed ovviamente ho bloccato tutti gli accessi non consentiti ma dall'indirizzo 37.255.250.241 continuano a tentare di forzare (probabilmente in automatico con un port scanner) il firewall che ovviamente mi segnala in pochi minuti dallo stesso indirizzo una ventina di tentativi.

La domanda è.... come far passare la voglia a sti rompicoglioni di tentare di violare il sys??????
questo perchè ovviamente mi piacerebbe "rispondere" a tono a quei "bambinelli" (non sono certo hacker esperti se no Z.A. sarebbe già "traforato")
c'è qualcuno che può darmi qualche consiglio in merito???

[ddmaster]

piccolo aggiornamento...

gli attacchi vengono da parecchi ip diversi (non faccio l'elenco perchè sono ormai al 70esimo messaggio di alert) e le stanno provando tutte.... netbios, udp, tcp.... quindi sono parecchi che ci provano ma d'altronde è normale con fw flat...

navigando qua e la ho trovato ireddiddio di programmi per hackeraggio (vedi brute force e port scanner vari) possibile che non ci siano contromisure in rete per questi programmucci....???

ad es mi ricordo anni fa che con ceck BO si poteva rispondere per le rime ai simpaticoni che ti infilavano una backdoor... ma erano altri tempi...
che fare adesso??????
son sicuro che le soluzioni che si possono trovare non interessano solo me.....

[mardux]

se tu gli fai capire che ti sei accorto di loro vedi che la piantano.. :adhone:

cerca più info possibili su quell'ip tramite un whois.

è anche possibile che usino proxy o socks e quindi il rintracciamneto potrebbe essere scorretto (quello che hai nn è il loro ip)

[ddmaster]

Originariamente inviato da mardux
se tu gli fai capire che ti sei accorto di loro vedi che la piantano.. :adhone:

cerca più info possibili su quell'ip tramite un whois.

è anche possibile che usino proxy o socks e quindi il rintracciamneto potrebbe essere scorretto (quello che hai nn è il loro ip)

ho già provato a tracciare alcuni ip con tracert ed in alcuni casi me li ha anche risolti con pochi hop (per la precisione 5) ma come dici bene tu credo sia inutile....

sarebbe invece una bella soddisfazione trovare un tool che permettesse di tracciare l'ip reale degli attaccanti e magari con un bel messaggino (che so magari dalla stessa shell perchè sono disposto anche a disabilitare il firewall) fargli fare un po di cacca nella braghetta....

si mi piacerebbe veramente molto....sarebbe davvero una gran bella soddisfazione

comunque da un whois nell'ultimo tentativo mi è saltato fuori questa pagina.....

http://www.whois.net/search.cgi2?str=37.255.211.137

ma dai i giapponesi.....

[makuro]

Prova a fare una ricerca su google sulla programmazione di rete (socket) con Visual Basic o c. Poche righe di codice e metti un server in ascolto sulla porta incriminata che risponde (o fa un flood di risposte) al malintenzionato...

Ciao,
Roberto

[billiejoex]

scusa ma che tipo di attacchi ti fanno?
per ricevere un attacco significa che hai un problema a monte ovvero una qualche applicazione in ascolto su una determinata porta che può essere una backdoor o un qualunque altro tipo di server.

innanzitutto installati tutti le patch di aggiornamento per win 98, subito dopo guarda le applicazioni che comunicano con la rete (tramite netstat -an o un programmino grafico come tcp view)

elimina tutte le applcazioni superflue e tieni solo quelle che ti servono (es netbios, browser ecc...)

una passatina con l'antivirus non farebbe male...
probabilmente troverai qualche schifezza quale trojan horse o simili

vedrai che suddetti lameronzoli non ti daranno piu alert.

[Habanero]

premesso che se il firewall ti indica i tentativi li ha sicuramente bloccati...
premesso che creare un server al solo scopo di ascoltare su una porta attaccata è la cosa peggiore che tu possa fare dal punto di vista della sicurezza (a mio parere check BO era un pessimo programma da questo punto di vista)...
premesso che tutti quelli che hanno installato un firewal vedono DI CONTINUO tali tentativi di "attacco"...

mi chiedo io, ma qual è il problema? Ora sei protetto, che vantaggio puoi trarne dal mandarli a quel paese? in ogni caso continuerai a ricevere tali avvisi...

[Habanero]

seconda cosa...

e da cosa avresti capito che l'IP è giapponese???
facendo una query per un IP su un sito che fa Whois sui nomi di dominio????


la sottorete 37.0.0.0 o anche 37/8 non è stata assegnata da IANA che l'ha tenuta riservata e quindi non utilizzabile su internet.
Sfruttando questa cosa FastWeb usa tale classe come se fossero indirizzi privati (voglio vederli come si divertono il giorno che verrà rilasciato su internet quel blocco di IP!!!).
In particolare il blocco 37/8 viene usato come blocco privato nella MAN di Bologna.


Ergo: gli attacchi o presunti tali arrivano dalla rete Fastweb e non poteva essere altrimenti d'altronde.... un vantaggio collaterale degli IP privati.


Comunque se tu fossi interessato ad alcuni strumenti utilizzabili per ricavare qualche informazione dalla conoscenza di un IP:

http://sicurezza.html.it/articoli.as...&idarticoli=50
http://sicurezza.html.it/articoli.as...&idarticoli=51

[ddmaster]

ok ok...allora.... in primo luogo state cominciando a parlare una lingua a me sconosciuta.... di reti ne so decisamente poco ma avendo una piccola rete aziendale da mantenere, nel tempo me ne sono capitate un po di tutti i colori...

come dicevo all'inizio del post ieri mi è capitata la "sirena", una settimana fa mia figlia si è ritrovata sul desktop un bel file di testo che si chiamava "rispondi qui.txt" dopo un alert di win che diceva perl'appunto di dialogare utilizzando quel file... (quella "pirla" aveva disabilitato il firewall perchè a suo dire gli rallentava i sims... bha!!!)

un paio di mesi fa ad un mio cliente hanno "scoreggiato" letteralmente in faccia eseguendo sulla sua macchina un bel file audio...

diciamo quindi che indipendentemente da chi, da dove, e da come riescano questo tipo di "intrusioni" sono decisamente fastidiose (amo alla follia la mia privacy e cerco di aiutare per quanto mi è possibile anche i clienti che acquistano sistemi da noi a tenersi il più possibile la propria).

non pretendo quindi di fare la guerra ai "lamers, crackers e spiritus santus" ma sapendo per certo che la maggior parte sono "ragazzotti" che non hanno nulla da fare se non rompere i cosiddetti mi sarebbe piaciuto togliermi la soddisfazione di rispondere con strumenti idonei a sti stronzetti.....
tutto qui....

per habanero
comunque se ho bisogno di assistenza specifica visto che sembra che ne sai un tot e sei di Bologna sei disponibile??? possiamo fare due chiacchiere davanti ad un birretto ed approfondire un po???

ho alcuni clienti che mi stanno sempre più insistentemente richiedendo supporto alla sicurezza ma purtroppo non ho il tempo per approfondire certi argomenti (e neppure l'esperienza)

se ti va parliamone...

grazie a tutti comunque...

[ddmaster]

e no cacchio..... mi sono stufato.... nonostante il firewall mi hanno fatto partire la sirena........ costringendomi a spegnere la macchina.... no non si può andare avanti così.....

che fare in questi casi premesso che nessun agg. disponibile in WU antivirus installato ed aggiornato e firewall sempre attivo????

come cavolo hanno fatto ad aprire la shell per il comando della sirena?????

help davvero... ne esco pazzo.... non posso permettermi di perdere intere giornate a togliermi dai maroni dei cinni stupidi che si divertono rompendo le palle....