ho piu' di 130 alerts tutti da ip di fastweb come è possibile?
es
The firewall has blocked Internet access to your computer (TCP Port 445) from 5.255.xxx.xxx (TCP Port 2768) [TCP Flags: S].
Time: 26/10/2003 22.05.56
come è possibile?
ovviamente ho fastweb...
Se hai fastweb con ip privato il tuo pc è in qualche modo già protetto dai border router dagli "attacchi" esterni (internet).
Per cui rimangono i possibili "attacchi" dal resto della rete fastweb.
Di sicuro Zone Alarm è molto paranoico e a volte blocca anche cio che potrebbe passare senza fare danni (normale traffico di rete come per esempio richieste multicast da parte di router etc...).
130 segnalazioni possono essere tante o poche a seconda dell'intervallo di tempo in cui arrivano. Se ti arivano in 1 minuto possono essere tante, se ti arrivano in 6 ore è un'altra cosa.
Quello che devi guardare è la porta su cui è arrivato il pacchetto bloccato e se segnlazioni successive provengono dallo stesso IP.
La 445 per esempio è una porta che serve da canale di comunicazione per il servizio che condivide le cartelle in una rete. Potrebbe quindi indicare un tentativo dall'esterno di entrare nel tuo PC attraverso tale servizio (tristemente famoso per la sua scarsa sicurezza nei sistemi windows).
Tentativi di accesso a porte diverse sempre da parte dello stesso IP invece suggerisce un portscannig generale del tuo computer.
Come sempre ho fatto suggerisco di non essere paranoici. Guardare i log del firewall ogni minuto non serve a nulla. Se il Firewall ha segnalato un pacchetto bloccato significa che non abbiamo corso nessun rischio. Se un attacco va a buon fine non sarà certo il firewall a segnalarcelo perchè significa che questo in qualche modo è stato bypasato.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
mi vengono segnalati in 2/3ore, poi sono molto spesso da ip diversi, ma tutti sulle stesse porte, 445 e 135.
allora non ti preoccupare...
La porta 135 è la oramai tristemente famosa RPC/DCOM, o EMAP come la si vuole chiamare. Su questa porta ascolta un servizio di windows vittima recentemente di una grave vulneramilità che ha fatto propagare a macchia d'olio virus come MSBlast. Questa vulnerabilità permette, da remoto, l'esecuzione di codice arbitrario sulla macchina vulnerabile.
Le scansioni che ricevi sulla 135 non sono altro che macchine già infette da MSBlast che cercano altri pc vulnerabili.
Il tuo firewall ti rende immune da questo attacco ma è comunque consigliabile installare la patch di microsoft per risolvere il problema.
Nel caso tu non l'avessi ancora installata qui trovi tutte le info:
http://support.microsoft.com/default...d=kb;it;826955
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
ah ok la patch ce l'ho gia' installata... e invece per la porta 445 nessun problema?
è il servizio di file sharing di windows, CIFS (simile a netbios in quanto a funzionamento), sembra ke ci sia qualke worm ke la usi x autoinstallarsiOriginariamente inviato da Ramk0
ah ok la patch ce l'ho gia' installata... e invece per la porta 445 nessun problema?
comunque mi sembra che il firewall blocca l'accesso a quelle porte quindi non dovrei avere problemi...
come ti ho già detto stai pure tranquillo.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
grazie ed alla prossima...
il solito traffico..
Permessi di invio
Rispondi quotando