file spostati: da chi?

[maha]

Salve
da non molto tempo ho un nuovo pc a cui accedo solo io e un'altra persona (con password).
Abbiamo Windows xp pro, hard disk maxtor e adsl...
Ci succede di trovare file copiati in directory che non c'entrano
nulla con quella originaria, nuovi collegamenti creati..., ma
non siamo noi a fare tutto cio'!
Abbiamo usato vari programmi di file sharing ultimamente, ma non
risulta di aver preso dei trojan.
Per conferma chiedo, se non c'è un trojan nel mio pc...è
possibile che qualcuno (hacker) possa accedere al suo contenuto.. Anche se fossero rimaste aperte delle porte "importanti"?

Grazie
Saluti

[tia86]

Originariamente inviato da maha
Salve
da non molto tempo ho un nuovo pc a cui accedo solo io e un'altra persona (con password).
Abbiamo Windows xp pro, hard disk maxtor e adsl...
Ci succede di trovare file copiati in directory che non c'entrano
nulla con quella originaria, nuovi collegamenti creati..., ma
non siamo noi a fare tutto cio'!
Abbiamo usato vari programmi di file sharing ultimamente, ma non
risulta di aver preso dei trojan.
Per conferma chiedo, se non c'è un trojan nel mio pc...è
possibile che qualcuno (hacker) possa accedere al suo contenuto.. Anche se fossero rimaste aperte delle porte "importanti"?

Grazie
Saluti

allora....la pwd di admin è settata (spero nn sia blank )?
è probabile ke qualkuno sia entrato da netbios (pota 139 e 445(ke in realtà è il cifs)). dal prompt scrivi net share e controlla ke tutte le condivisioni terminino con $.
istallati un buon fw




p.s nn sn stato molto kiaro ma sto scrivendo con "tasiera su shermo", keyboard appena rotta

[maha]

Grazie 10000 x la risp ....in effetti
le porte 135 139 e 445 sono risultate "vulnerabili" in un test che ho fatto on line....

però...la $ finale c'è dappertutto nel controllo che ho fatto su net bios...
Il firewall è Il Tiny Personal, però programmi come Direct Connect
neanche compaiono nella configurazione del Tiny
X conferma...: quindi è entrata gente nel Pc e ha spostato, copiato manipolato i files


Grazie ancora......:quipy: :quipy:

[tia86]

Originariamente inviato da maha
Grazie 10000 x la risp ....in effetti
le porte 135 139 e 445 sono risultate "vulnerabili" in un test che ho fatto on line....

però...la $ finale c'è dappertutto nel controllo che ho fatto su net bios...
Il firewall è Il Tiny Personal, però programmi come Direct Connect
neanche compaiono nella configurazione del Tiny
X conferma...: quindi è entrata gente nel Pc e ha spostato, copiato manipolato i files


Grazie ancora......:quipy: :quipy:

cambia immediatamente fw! ti consiglio sygate.
la 135 (rpc) può essere usata (con exploit) x accedere alla macchina remota con privilegi di system.
quindi blocca la 135,139,445.

[tia86]

Originariamente inviato da maha
X conferma...: quindi è entrata gente nel Pc e ha spostato, copiato manipolato i files

sempre ke tu nn sia un nottambulo si :gren:

cmq le condivisoni ke hai (quelle ke terminano con $, x intenderci) sono accessibili solo se si sa user e password di un utente appartenente al gruppo Administrators, quindi cambia password
ah, ti avevo accennato alla vulnerabilità del servizio RPC, mi spiego meglio (keyboard riparata )
dunque... sfruttando un buffer overflow del servizo rpc si può bindare lo stesso servizio sulla porta 4444 e connettendosi ad essa si avrà il prompt dei comandi con privilegi di SYSTEM (ke può fare tutto). quindi potrebbe darsi ke l'intruso abbia usato questa vulnerabilità x accedere al tuo pc.
la patch è qui

[maha]

Originariamente inviato da tia86
sempre ke tu nn sia un nottambulo si :gren:

Purtroppo sapevo che era possibile che qualcuno entrasse e agisse
nel tuo pc solo se c'era un trojan dentro

cmq le condivisoni ke hai (quelle ke terminano con $, x intenderci) sono accessibili solo se si sa user e password di un utente appartenente al gruppo Administrators, quindi cambia password;

Mi sono informata meglio con chi divide il pc con me: ultimamente
aveva tolto ogni password, perchè è sicuro che siamo solo in 2 ad accedere,
quindi da circa 1 settimana non ci sono + psw
ancora peggio eh?

sulla porta 4444 e connettendosi ad essa si avrà il prompt dei comandi con privilegi di SYSTEM (ke può fare tutto).

-Adesso sto scaricando tutte le patch dall'url che mi hai dato (thanx)!!;
-ho messo il Sygate che di tanto in tanto mi avvisa che ci sono attentati al mio pc (ma tanto credo che li blocchi, giusto?
-in + ho messo anche il firewall di windows XP (era proprio sprovvisto di tutto sto pc :quipy: )...
...e finalmente al test sul sito della Symantec le porte risultano tutte ok!


Ari-grazie infinite x il grande aiuto


P.S un'ultima cosa, sai se c'è qualche pagina da consultare
per configuare al meglio il Sygate?