PDA

Visualizza la versione completa : Rete con proxy a mia insaputa


annamariadc
27-01-2012, 16:15
Salve. Sono un novello utente del forum.

Ho motivo di ritenere che io venga intercettato abusivamente in tanti modi; da un p di tempo sembra che qualcosa "non vada" anche per quanto riguadra la connessione internet. Infatti (e chiedo un aiuto a voi pi esperti), sembrerebbe che l'intera rete di casa mia sia stata "collegata" a una rete (forse un' intranet) di qualcun altro, e che il mio computer sia collegato a un server proxy; tutto questo al fine di spiare cosa faccio su internet.

Tra l'altro, ultimamente un computer mi stato infettato, e dopo la riformattazione ho avuto tanti tentativi di attacco. ho provato anche a portare un computer di un'altra persona a casa mia, e il risultato semper lo stesso: il problema sembrerebbe essere del nodo di casa mia, che sembra essere connesso a una rete privata.
Inoltre, sono andato a casa di due vicini di casa mia per provare le loro reti (ho cercato di vedere se le connessioni che automaticamente si instaurano a casa mia non appena apro il browser, fossero le stesse anche a casa loro: non stato cos).




Ora vi d qualche info generale, per poi darvi qualche dettaglio di natura tecnica della rete.



- Ultimamente non sono riuscito ad avviare un client di poker (precisamente Cake Poker), ma non si connette ai server e non si avvia; mi restituisce il seguente problema:
errore durante la creazione del proxy web specificato nella sezione di configurazione "system.net/defaultProxy"

- Da un po di tempo a questa parte (proprio da quando ho cominciato a vedere questo problema con Cake Poker), quando vado su internet per vedere il mio IP, il mio IP a volte viene rilevato a Catania, Como, Roma, Melfi..... nonostante io abiti in campania; prima invece, al massimo sbagliava provincia;

- Da un po di tempo, quando accendo il router, la lucina che lampeggia per dirmi che l'adsl pronta, si accende con un po di ritardo rispetto al temop in cui ci metteva prima.

- Il browser Mozilla l'ho trovato impostato in "rileva le impostazioni proxy per questa rete", anche se io l'ho disattivato e ultimamente mi sembra che sia rimasto in questo modo.

- Uso alcuni Server DNS di Google (8.8.4.4 - 8.8.8.8)





Ora, vi do qualche info su netstat:



- L'Ip della mia scheda di rete, ovvero 192.168.0.x, si connette al mio IP pubblico dinamico, ovvero quello che ho su Internet

esempio:
Processo PID PRot IP locale Porta locale IP destinazione Porta
firefox.exe 2232 TCP 192.168.0.2 49388 hostXX-XXX-dynamic.XXX-XX-r.retail.telecomitalia.it http SYN_SENT

(n.b.: questo che avete visto Telecomitalia.it il mio IP; ho messo io le X)






(IMPORTANTISSIMO)

- Traceroute verso Google, dal uno qualsiasi dei pc della rete di casa mia:


Traccia instradamento verso www-cctld.l.google.com [173.194.35.56]su un massimo di 30 punti di passaggio: 1 <1 ms <1 ms <1 ms 192.168.0.1
2 * * * Richiesta scaduta.
3 46 ms 45 ms 45 ms 172.18.17.21
4 46 ms 47 ms 46 ms 172.18.16.13
5 50 ms 50 ms 50 ms 172.17.10.49
6 64 ms 63 ms 62 ms 172.17.9.97
7 63 ms 62 ms 63 ms 172.15.5.233
8 64 ms 63 ms 63 ms pos0-11-0-0.milano26.mil.seabone.net [195.22.192.81]
9 60 ms 61 ms 60 ms te1-4.milano53.mil.seabone.net [195.22.196.161]
10 65 ms 78 ms 65 ms 74.125.50.241
11 68 ms 63 ms 66 ms 209.85.249.54
12 64 ms 65 ms 63 ms 209.85.241.67
13 63 ms 64 ms 64 ms mil01s17-in-f24.1e100.net [173.194.35.56] Traccia completata.





(IMPORTANTISSIMO)

QUESTO INVECVE E' IL TRACEROUTE VERSO GOOGLE, FATTO DALLA RETE E DA UN PC DI UN AMICO CHE ABITA IN UNA CASA NON LONTANA DALLA MIA



Rilevazione instradamento verso www-cctld.l.google.com [173.194.35.24]

su un massimo di 30 punti di passaggio:



1 <1 ms <1 ms <1 ms 192.168.1.1

2 17 ms 19 ms 17 ms 192.168.100.1

3 17 ms 17 ms 17 ms 172.18.17.165

4 18 ms 18 ms 19 ms 172.18.16.17

5 21 ms 21 ms 20 ms 172.17.5.221

6 32 ms 32 ms 32 ms 172.17.8.177

7 32 ms 31 ms 32 ms 172.17.10.77

8 34 ms 35 ms 35 ms bundle-ether12.milano50.mil.seabone.net [93.186.128.233]

9 31 ms 31 ms 31 ms te4-2.milano53.mil.seabone.net [195.22.205.241]

10 31 ms 31 ms 31 ms 74.125.50.241

11 34 ms 34 ms 34 ms 216.239.47.128

12 34 ms 35 ms 35 ms 209.85.241.65

13 33 ms 33 ms 33 ms mil01s16-in-f24.1e100.net [173.194.35.24]



Rilevazione completata.



- Tra le connessioni che spesso riscontro quando faccio una ricerca con google:


p3plpkivs-v03.any.prod.phx3.secureserver.net http TIME_WAIT
62.109.145.72 http
173.194.35.63 http ESTABLISHED 2 951 10 61.129
mil01s17-in-f17.1e100.net http ESTABLISHED 2 1.638
a184-25-51-55.deploy.akamaitechnologies.com http ESTABLISHED 3 1.640 10 132.318
67-129-144-65.dia.static.qwest.net http ESTABLISHED 2 1.624 8 134.526
67-129-144-59.dia.static.qwest.net http TIME_WAIT 1 804 13 656.678



- Netstat -BAN (senza avere il cavetto collegato n il browser aperto):

Proto Indirizzo locale Indirizzo esterno Stato
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
RpcSs
[svchost.exe]
TCP 0.0.0.0:5432 0.0.0.0:0 LISTENING
[postgres.exe]
TCP [::]:135 [::]:0 LISTENING
RpcSs
[svchost.exe]
TCP [::]:5432 [::]:0 LISTENING
[postgres.exe]
UDP 0.0.0.0:123 *:*
W32Time
[svchost.exe]
UDP 0.0.0.0:500 *:*
IKEEXT
[svchost.exe]
UDP 0.0.0.0:4500 *:*
IKEEXT
[svchost.exe]
UDP 127.0.0.1:49152 *:*
[postgres.exe]
UDP [::]:123 *:*
W32Time
[svchost.exe]
UDP [::]:500 *:*
IKEEXT
[svchost.exe]


- Netstat -ban (con cavetto collegato ma browser non aperto)

Proto Indirizzo locale Indirizzo esterno Stato
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
RpcSs
[svchost.exe]
TCP 0.0.0.0:5432 0.0.0.0:0 LISTENING
[postgres.exe]
TCP [::]:135 [::]:0 LISTENING
RpcSs
[svchost.exe]
TCP [::]:5432 [::]:0 LISTENING
[postgres.exe]
UDP 0.0.0.0:123 *:*
W32Time
[svchost.exe]
UDP 0.0.0.0:500 *:*
IKEEXT
[svchost.exe]
UDP 0.0.0.0:4500 *:*
IKEEXT
[svchost.exe]
UDP 0.0.0.0:5355 *:*
Dnscache
[svchost.exe]
UDP 127.0.0.1:49152 *:*
[postgres.exe]
UDP [::]:123 *:*
W32Time
[svchost.exe]
UDP [::]:500 *:*
IKEEXT
[svchost.exe]
UDP [::]:5355 *:*
Dnscache
[svchost.exe]
UDP [fe80::58dc:7f01:f3c2:1d25%10]:546 *:*
Dhcp
[svchost.exe]






- Le connessioni che spesso si instaurano non appena apro il browser sono le seguenti:

svchost.exe 1372 UDP PC-admin llmnr * *
svchost.exe 1372 UDPV6 pc-admin 5355 * *
svchost.exe 544 UDPV6 [fe80:0:0:0:58dc:xxxx:xxxx:xxxx] 546 * *
svchost.exe 1372 UDPV6 pc-admin 5355 * *

(n.b.: questo che avete visto fe80:0:0 dovrebbe essere il mio IPv6; ho messo io le X)





Vorrei sapere da voi:

1) e' possibile (o probabile, come io penso) che sono in una rete con proxy, allo scopo di spiarmi ? tra l'altro ci sono anche altri "segnali" che mi fanno avere questo sospetti, ma i segnali ai quali mi riferisco li riscontro "al di fuori del computer"

2) E' vietato (per il gestore ) mettere l'utente in una rete come questa, ammesso che la mia sia una rete con proxy volta a spiarmi??

Se avete bisogno di altri test per capire, sono pronto a farli.

Attendo vostre notizie. Spero in un vostro aiuto.

Nel frattempo, grazie

pard
30-01-2012, 20:43
Il fatto che gli IP appaiano geolocalizzati in altre citta` non significa nulla, si trattera` di un comportamento normale legato ad aspetti tecnici della rete dell'ISP.

Che il router ci metta 1 minuto in piu` a prendere il collegamento, non vuol dire nulla senza fare specifici approfondimenti, e` probabilissimo che non sia niente di particolare ovvero sara` colpa del gatto che ti ha rosicchiato un po' il filo a casa o qualsiasi altro evento random di usura/invecchiamento, o un byproduct di qualche riconfigurazione effettuata dall'isp.

Il fatto che hai un tempo scaduto nel trace dovrebbe dipendere semplicemente che il tuo router non gli risponde, cosa che non e` motivo di allarme, il trace si basa sull'invio di determinati pacchetti ma e` a discrezione di ogni device attraversato la decisione se rispondere o no (e in caso 'no' la linea corrispondente restituisce timeout come da te pastato.)

Le connessioni del netstat se non conosci tutto *piu`* che a menadito non devi vederci cose strane, semplicemente perche` windows apre sempre troppe connessioni a cazzo per ogni cazzata, chiunque ti puo` dire che anche un tecnico di reti fa molta fatica a capire cosa diavolo combina windows... solo guardando un netstat.
Per verifiche del genere dovresti al limite usare un programma piu` pratico, come minimo tcpview ma x analizzare bene serve almeno un buon network monitor o sniffer che dir si voglia. E cmq ribadisco che senza conoscere tutto piu` che a menadito e` tempo perso, bisogna investigare l'origine di ogni singola porta e processo e la documentazione microsoft in queste cose, fa peggio che schifo.
Al limite dovresti rilevare se ci sono delle connessioni spontanee che vanno a ip sospetti, tipo roba di Chinanet (armati di whois)...ma akamai e php.net sicuramente non sono cose sospette :)

Il flag di utilizzo del proxy che si modifica da solo, lo devi verificare bene, se veramente lo fa mi sembrerebbe "strano", ma assolutamente non nel senso che credi te... Infatti anche li`, prima che agli omini verdi, penserei agli ANTIvirus e similari, a qualche plugin/estensione del browser, e a qualsiasi eventuali altri software superbloated che voi utenti windows usate installare.
(Ad ogni modo in nessun caso se ti volessero spiare avrebbero bisogno di mettere manualmente il flag al proxy sul tuo browser...vabeh che siamo in itaglia, ma neanche la casalinga di voghera che spia il marito arriverebbe a sti livelli XD)

Il fatto che non funzioni piu` il giochino del poker..... dai un minimo di serieta`. Si sara` aggiornato qualche componente software da parte loro o da parte tua, che ha breakato qualche istruzione, o semplicemente interagisce male col fatto del proxy, comunque anche li` e` tutta roba da verificare in caso prima di fare ipotesi fantascientifiche, perche` seno` a questo punto se io vedo uno ke guarda dalla finestra di fronte alla mia devo pensare che e` un agente della Spectre che mi spia...

Loading