Ciao a tutti
E da qualche giorno che la spia del router mi lampeggia anche quando non navigo o, cmq, non do ne ricevo dati. Sospetto un intrusione.
Qualcono può aiutarmi a vedere se effittivamente è un intrusione o no?
Grazie in anticipo, ciao.
Ciao a tutti
E da qualche giorno che la spia del router mi lampeggia anche quando non navigo o, cmq, non do ne ricevo dati. Sospetto un intrusione
Qualcono può aiutarmi a vedere se effittivamente è un intrusione o no?
Grazie in anticipo, ciao.
prova a fare, quando non dovresti avere connessioni attive, e la lucetta del router lampeggia, un netstat -n dal promt dei comandi. Usi pc vero?
oppure con uno sniffer, oppure con CurrPorts
L'italia è una repubblica mediatica basata sulla corruzione e sulla mafia.
"Non sono i popoli a dover aver paura dei propri governi, ma i governi che devono aver paura dei propri popoli.." Thomas Jefferson.
Potresti essere un po' più chiaro?Originariamente inviato da mardux
prova a fare, quando non dovresti avere connessioni attive, e la lucetta del router lampeggia, un netstat.
oppure uno sniffer
Grazie.
C:\Documents and Settings\xxxxxxxxxx>netstat -n
Connessioni attive
Proto Indirizzo locale Indirizzo esterno Stato
TCP 127.0.0.1:12080 127.0.0.1:3431 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:3437 TIME_WAIT
TCP 192.168.1.2:3302 209.66.117.168:43666 FIN_WAIT_1
TCP 192.168.1.2:3305 209.133.121.201:41716 LAST_ACK
TCP 192.168.1.2:3355 66.249.91.147:80 TIME_WAIT
TCP 192.168.1.2:3359 151.1.244.197:80 TIME_WAIT
TCP 192.168.1.2:3375 151.1.244.198:80 TIME_WAIT
TCP 192.168.1.2:3376 151.1.244.198:80 TIME_WAIT
TCP 192.168.1.2:3388 209.85.199.99:80 TIME_WAIT
TCP 192.168.1.2:3424 66.102.11.167:80 TIME_WAIT
TCP 192.168.1.2:3428 151.1.244.197:80 TIME_WAIT
TCP 192.168.1.2:3430 151.1.244.198:80 TIME_WAIT
TCP 192.168.1.2:3442 209.85.199.99:80 TIME_WAIT
TCP 192.168.1.2:3444 66.102.11.167:80 TIME_WAIT
C:\Documents and Settings\Jo Maiello>
Questo è il risultato, cosa ne pensi?
ho modificato il post sopra.
cmq, come dici tu, se non hai connessioni attive (a meno che non ci sia qualcosa di automatizzato tipo update del SO e di qualche software), non dovresti avere traffico.
con il programma netstat, come anche currports, lanciandoli hai una panoramica istantanea delle tue connessione TCP e UPD attive da te verso fuori e viceversa. da li potrai capire se davvero hai connessioni, verso dove e perchè.
con un programma sniffer, invece, puoi ascoltare il traffico che passa dalla tua scheda di rete, ad un livello più basso. vedi effettivamente quale pacchetto arriva o parte dal tuo pc. ma questo al max può servire dopo.
x il netstat.
tasto win + r: (esce esegui)
netastat -n 2 (scrivi quel comando e vedrai le connessioni attive)
prova a postarle qui
L'italia è una repubblica mediatica basata sulla corruzione e sulla mafia.
"Non sono i popoli a dover aver paura dei propri governi, ma i governi che devono aver paura dei propri popoli.." Thomas Jefferson.
Originariamente inviato da fulmine69
C:\Documents and Settings\xxxxxxxxxx>netstat -n
Connessioni attive
Proto Indirizzo locale Indirizzo esterno Stato
TCP 127.0.0.1:12080 127.0.0.1:3431 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:3437 TIME_WAIT
TCP 192.168.1.2:3302 209.66.117.168:43666 FIN_WAIT_1
TCP 192.168.1.2:3305 209.133.121.201:41716 LAST_ACK
TCP 192.168.1.2:3355 66.249.91.147:80 TIME_WAIT
TCP 192.168.1.2:3359 151.1.244.197:80 TIME_WAIT
TCP 192.168.1.2:3375 151.1.244.198:80 TIME_WAIT
TCP 192.168.1.2:3376 151.1.244.198:80 TIME_WAIT
TCP 192.168.1.2:3388 209.85.199.99:80 TIME_WAIT
TCP 192.168.1.2:3424 66.102.11.167:80 TIME_WAIT
TCP 192.168.1.2:3428 151.1.244.197:80 TIME_WAIT
TCP 192.168.1.2:3430 151.1.244.198:80 TIME_WAIT
TCP 192.168.1.2:3442 209.85.199.99:80 TIME_WAIT
TCP 192.168.1.2:3444 66.102.11.167:80 TIME_WAIT
C:\Documents and Settings\Jo Maiello>
Questo è il risultato, cosa ne pensi?
allora chiudi tutti i progammi, compreso il browser.
le connessioni in TIME_WAIT verso quei ip sulla porta server 80, potrebbero essere tu che navighi o navigavi.
quindi chiudi tutto..
se hai xp dai il comando tasklist sempre dal promt dei comandi.
apri un'altro primt e dai netstat -no 2
in questo modo possiamo capire quale processo crea la connessione guardando il PID.
posta qui
L'italia è una repubblica mediatica basata sulla corruzione e sulla mafia.
"Non sono i popoli a dover aver paura dei propri governi, ma i governi che devono aver paura dei propri popoli.." Thomas Jefferson.
Ecco fatto
Microsoft Windows XP [Versione 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\Jo Maiello>tasklist
"tasklist" non è riconosciuto come comando interno o esterno,
un programma eseguibile o un file batch.
C:\Documents and Settings\Jo Maiello>tasklist
"tasklist" non è riconosciuto come comando interno o esterno,
un programma eseguibile o un file batch.
C:\Documents and Settings\Jo Maiello>netstat -no
Connessioni attive
Proto Indirizzo locale Indirizzo esterno Stato PID
TCP 127.0.0.1:12080 127.0.0.1:3873 TIME_WAIT 0
TCP 127.0.0.1:12080 127.0.0.1:3879 TIME_WAIT 0
TCP 127.0.0.1:12080 127.0.0.1:3901 TIME_WAIT 0
TCP 127.0.0.1:12080 127.0.0.1:3903 TIME_WAIT 0
TCP 127.0.0.1:12080 127.0.0.1:3905 TIME_WAIT 0
TCP 127.0.0.1:12080 127.0.0.1:3907 TIME_WAIT 0
TCP 127.0.0.1:12080 127.0.0.1:3909 TIME_WAIT 0
TCP 127.0.0.1:12080 127.0.0.1:3914 TIME_WAIT 0
TCP 127.0.0.1:12080 127.0.0.1:3917 TIME_WAIT 0
TCP 127.0.0.1:12080 127.0.0.1:3919 TIME_WAIT 0
TCP 127.0.0.1:12080 127.0.0.1:3921 TIME_WAIT 0
TCP 192.168.1.2:3872 66.249.91.147:80 TIME_WAIT 0
TCP 192.168.1.2:3876 151.1.244.197:80 TIME_WAIT 0
TCP 192.168.1.2:3878 151.1.244.198:80 TIME_WAIT 0
TCP 192.168.1.2:3885 151.1.244.198:80 TIME_WAIT 0
TCP 192.168.1.2:3896 209.85.199.99:80 TIME_WAIT 0
TCP 192.168.1.2:3912 66.102.11.167:80 TIME_WAIT 0
C:\Documents and Settings\Jo Maiello>
Che significa?
prima di andare avanti, siccome sospetti qualcosa che non va, hai seguito il post in rilievo GUIDA RIMOZIONE MALWARE? se non l'hai fatto fallo, altrimenti, siccome non ti funziona tasklist, scaricati currports da qui:
http://www.soft32.com/Download/Free/...4-76217-1.html
riavvia il pc, e con la connessione di rete disabilitata o con il cavo di rete staccato, controlla se la luce dei router ti lampeggia ancora.
se lampeggia, il tuo pc non centra più. probabilmente è qualcuno da fuori che tenta di contattare il tuo router. hai anche un fw su questo router? hai del log sul traffico?
dopo di che lancia (con connessione disabilitata e tutto chiuso) currports e posta il report.
abilita la connessione ( sempre con tutto chiuso), rilancia currports e posta di nuovo il report.
da qui possiamo capire se qualche processo cerca di uscire e verso dove.
riassumendo, se con il pc spento o con il cavetto di rete staccato il router lampeggia, ti contattano da fuori.
se lampeggia solo quando accendi il pc e tu non fai nulla, vuol dire che qualche processo, legittimo o no tenta di uscire.
L'italia è una repubblica mediatica basata sulla corruzione e sulla mafia.
"Non sono i popoli a dover aver paura dei propri governi, ma i governi che devono aver paura dei propri popoli.." Thomas Jefferson.
Ma dai! La shell rimane aperta e netstat si aggiorna ogni secondo tipo tcpview.x il netstat.
tasto win + r: (esce esegui)
netastat -n 2 (scrivi quel comando e vedrai le connessioni attive)
Questa non la sapevo!
Rilasciata Python FTP Server library 0.5.1
http://code.google.com/p/pyftpdlib/
We'll be those who'll make the italian folks know how difficult can be defecating in Southern California without having the crap flying all around the house.
Allora provando con cports non c'è nessuna connessione esterna. Questo mi da la garanzia che non ci sono intrusioni? E' cmq resta il mistero del led che lampeggia.
Permessi di invio
Rispondi quotando