Log firewall, molteplici attacchi alla mia utenza

[fivendra]

Sarà almeno da 5-6 giorni che il mio firewall continua a registrare una quantità ddi tentativi di accesso non autorizzati molto superiore alla media e principalmente verso le porte 135 e 445

i miei pc sono puliti e gli attacchi ci sono anche a pc spenti.....

non saprei cosa dire, prima non era così....

qualche considerazione?

codice:

2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 219.64.156.70(3484) -> 81.174.12.xxx(17300), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 222.88.173.5(9026) -> 81.174.12.xxx(1026), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 61.235.154.101(53596) -> 81.174.12.xxx(1026), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.174.19.36(4070) -> 81.174.12.xxx(445), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.174.19.36(4070) -> 81.174.12.xxx(445), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.165.89.227(2541) -> 81.174.12.xxx(1433), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 67.17.48.99(8881) -> 81.174.12.xxx(1026), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 219.150.161.7(1037) -> 81.174.12.xxx(1434), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.211.233.172(3973) -> 81.174.12.xxx(135), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.211.233.172(3973) -> 81.174.12.xxx(135), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 203.55.23.0(29526) -> 81.174.12.xxx(1028), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 67.19.9.199(17409) -> 81.174.12.xxx(1026), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 204.36.153.242(5912) -> 81.174.12.xxx(1027), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.172.94.8(1646) -> 81.174.12.xxx(135), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.172.42.54(2120) -> 81.174.12.xxx(135), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.129.108.251(3651) -> 81.174.12.xxx(135), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.129.108.251(3651) -> 81.174.12.xxx(135), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 218.85.132.237(6000) -> 81.174.12.xxx(1433), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 12.172.189.108(1966) -> 81.174.12.xxx(17300), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 61.152.239.81(58760) -> 81.174.12.xxx(1026), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 222.88.173.5(16562) -> 81.174.12.xxx(1026), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 67.20.181.244(17870) -> 81.174.12.xxx(1026), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 203.75.206.165(4869) -> 81.174.12.xxx(3306), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 203.75.206.165(4869) -> 81.174.12.xxx(3306), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 193.99.213.5(44239) -> 81.174.12.xxx(445), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 193.99.213.5(44571) -> 81.174.12.xxx(445), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 193.99.213.5(44848) -> 81.174.12.xxx(445), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 193.99.213.5(44239) -> 81.174.12.xxx(445), 2 packets
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 193.99.213.5(45691) -> 81.174.12.xxx(445), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.16.129.253(1377) -> 81.174.12.xxx(135), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 64.45.65.37(17317) -> 81.174.12.xxx(1026), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.16.129.253(1377) -> 81.174.12.xxx(135), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 61.152.239.81(42878) -> 81.174.12.xxx(1026), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 210.195.0.30(2266) -> 81.174.12.xxx(15118), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.174.19.36(4703) -> 81.174.12.xxx(445), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 67.21.30.23(25463) -> 81.174.12.xxx(1026), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied udp 195.74.4.81(14728) -> 81.174.12.xxx(1029), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.174.19.36(4703) -> 81.174.12.xxx(445), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.246.225.31(4741) -> 81.174.12.xxx(445), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 81.246.225.31(4741) -> 81.174.12.xxx(445), 1 packet
2w1d: %SEC-6-IPACCESSLOGP: list 111 denied tcp 211.154.171.122(6000) -> 81.174.12.xxx(1433), 1 packet

[NetEscape]

Anche se il numero può apparire esagerato, in realtà è nella media (almeno secondo la mia esperienza, ma posso sbagliarmi). Quello che è strano è la frequenza, in effetti. Che firewall hai? Ciao

[fivendra]

guarda prima controllavo i log e avevo si e no 2-3 attacchi.... mentre da qualche giorno ho questa frequenza molto elevata

il firewall è quello interno del mio router (router cisco 837)

[NetEscape]

Cmq nn ti devi preoccupare. Nel mio piccolo ricevo frequentissimi attacchi (molto spesso "high rated"). L'unica soluzione è aggiornare il sistema ed il firewall. che sistema usi?

[fivendra]

lo so che non mi devo preoccupare, l'unica cosa che non mi spiegavo era questo aumento esponenziale da attacchi per di più da molti ip della stessa classe del mio isp.....
tutto qui.....

[Habanero]

In genere i bombardamenti sulle TCP 135 e 445 avvengono a causa di PC infetti da virus. Probabilmente sono test per sondare eventuali vulnerabilità del tuo pc ed eventualmente potersi installare (vedi MSBlaster, Sasser e loro compari). Sono comunque piuttosto comuni... se molti vengono da una stessa sottorete del tuo provider puo' anche essere in corso una infezione diffusa.
Tra gli IP che hai postato comunque ce ne sono parecchi esteri (Cina, Usa, Germania...)

C'è poi anche un discreto numero di UDP 1026. Potrebbe essere un tentativo di spamming via Net Send.
Supposizioni ovviamente.

[fivendra]

Originariamente inviato da Habanero
In genere i bombardamenti sulle TCP 135 e 445 avvengono a causa di PC infetti da virus. Probabilmente sono test per sondare eventuali vulnerabilità del tuo pc ed eventualmente potersi installare (vedi MSBlaster, Sasser e loro compari). Sono comunque piuttosto comuni... se molti vengono da una stessa sottorete del tuo provider puo' anche essere in corso una infezione diffusa.
Tra gli IP che hai postato comunque ce ne sono parecchi esteri (Cina, Usa, Germania...)

C'è poi anche un discreto numero di UDP 1026. Potrebbe essere un tentativo di spamming via Net Send.
Supposizioni ovviamente.

si ci avevo penato anche io, quello che non mi tornava era la'umento improvviso...
insomma 5 giorni fa avevo si e no 2-3 attacchi, adesso invece sono continui.....

immagino comunque che sia una delle conseguenze dell'ip statico....
fortuna che il cisco vigila bene....

[smoking-man]

five come sottolineava haba il fattore virus non e' da sottovalutare e ricordiamo che alcuni virus prima di venir rimossi dai sistemi completamente devono magari passare anni ( blaster per es ) pero per la loro diffusione bastano poche ore
ora non so se sia solo da imputare a tale causa il tutto , io personalmente nel mio fw hardware ho notato problemi anche su porte p2p per es , lo ho associato al fatto che il mio ip fosse magari di qualche scambiatore folle e che tale ip sia rimasto in qualche cache di qualche sistema
altro ora non mi viene in mente

[cso]

Adesso che ho guardato anch'io i log del firewall mi sono accorto che gli attacchi vengono fatti principalmente alla porta 135 e 445.

Quasi sicuramente sono virus che cercano di sfruttare le vulnerabilità LSASS e RPC

http://www3.ca.com/securityadvisor/v....aspx?id=42309

[fivendra]

i miei pc sono puliti e per levare ogni dubbio posso dire che gli attacchi continuano anche a pc spenti (il router è sempre accesso ovviamente visto che ho un servizio voip attivo)

le uniche cose che potrei fare è vedere se chiudendo le porte di emule la cosa cambia...
ma ripeto, i problemi sono nati 4-5 giorni fa quando tra l'altro ero in vacanza con i pc spenti e solo il router attivo....