9000 euro di bolletta

[Caleb]

hola

nella ditta di un mio amico sta succedendo il finimondo, lo scorso anno gli hanno installato un flusso hdsl 2mbit con tariffazione non-si-sa-come, nel senso che non gli hanno lasciato uno straccio di documentazione sulle tariffe

a lume di naso dovrebbe avere un tot giga mensili di traffico disponibile, sforati quelli si inizia a pagare salato

dai log delle connessioni che gli han spedito da telecom risulta che ne esistano un sacco a ip italiani di privati con traffico IN UPLOAD... cosa stiano uploadando non si sa bene

c'è un router cisco 1721 fornito e configurato da telecom che è totalmente chiuso verso l'esterno a cui è assegnato un indirizzo fisso e che fa nat verso la rete locale su una serie di indirizzi privati; in questa rete c'è anche un file server su cui gira un proxy ma non è raggiungibile dall'esterno, ho fatto un portscan all'indirizzo lato wan e risulta tutto chiuso (ci sono access list a manetta)


router
|
switch
|
server, pc1, pc2, ecc.



nei log mi ritrovo cose di questo tipo:

codice:

...
data        ora       sorgente destinatario down up traffico totale
01/04/06  10:30   82.x.y.z   62.x.y.z      0      50         50
...

non mi spiego come si possa collegare dall'esterno questa gente e a che scopo, ma soprattutto come facciano a creare tutto questo traffico in upload

fatto sta che nel solo mese di gennaio ci sono stati tipo 250Gb di traffico, con le conseguenze che si possono ben immaginare

come è possibile che si possa sfruttre questo flusso a questo modo? dove si sta collegando questa gente, e come? ma soprattutto PERCHE'?

[alverman]

può essere anche un cavallo di troia.....

posseggo quel router cisco 1721 e lo ritengo abbastanza sicuro,

ma con un cisco 827 mi sono ritrovato in sh run
ftp elephanta.....
con tanto di password

tra l'altro il router era configurabile solo con porta consol.

escudo che l'isp stia bleffando
saluti

[Caleb]

boh la config non è cambiata

poi la cosa strana è che sono tutti ip diversi e nessun proxato
voglio dire, tutta gente facilmente rintracciabile

ma poi non mi spiego a che scopo sfruttare quella connessione se tanto chi vi si collega deve comunque utilizzare anche la sua

insomma non ci sto capendo una mazza

[alverman]

se sono tutti rintracciabili come dici
denunciali alle autorità preposte

non c'è altro da fare

[Caleb]

e mi sa che sarà l'unica
dò tutto in mano alla polizia postale poi si vedrà

intanto la bolletta è stata -ovviamente- bloccata

però mi piacerebbe sapere come impedire simili episodi
può essere che ci sia il router bacato?

ps come fare per tracciare le connessioni dal router e buttare i log su un syslog server? la flash del cisco non ha tutto sto gran spazio... mi basterebbe una cosa del tipo sorgente / destinazione / mbyte traffico

[alverman]

dai una letta qui: http://www.cisco.com/warp/public/477...me_syslog.html

[Caleb]

ok gracias

[ELF]

Originariamente inviato da Caleb
hola

nella ditta di un mio amico sta succedendo il finimondo, lo scorso anno gli hanno installato un flusso hdsl 2mbit con tariffazione non-si-sa-come, nel senso che non gli hanno lasciato uno straccio di documentazione sulle tariffe

a lume di naso dovrebbe avere un tot giga mensili di traffico disponibile, sforati quelli si inizia a pagare salato

dai log delle connessioni che gli han spedito da telecom risulta che ne esistano un sacco a ip italiani di privati con traffico IN UPLOAD... cosa stiano uploadando non si sa bene

c'è un router cisco 1721 fornito e configurato da telecom che è totalmente chiuso verso l'esterno a cui è assegnato un indirizzo fisso e che fa nat verso la rete locale su una serie di indirizzi privati; in questa rete c'è anche un file server su cui gira un proxy ma non è raggiungibile dall'esterno, ho fatto un portscan all'indirizzo lato wan e risulta tutto chiuso (ci sono access list a manetta)


router
|
switch
|
server, pc1, pc2, ecc.



nei log mi ritrovo cose di questo tipo:

codice:

...
data        ora       sorgente destinatario down up traffico totale
01/04/06  10:30   82.x.y.z   62.x.y.z      0      50         50
...

non mi spiego come si possa collegare dall'esterno questa gente e a che scopo, ma soprattutto come facciano a creare tutto questo traffico in upload

fatto sta che nel solo mese di gennaio ci sono stati tipo 250Gb di traffico, con le conseguenze che si possono ben immaginare

come è possibile che si possa sfruttre questo flusso a questo modo? dove si sta collegando questa gente, e come? ma soprattutto PERCHE'?

Probabile che almeno uno dei pc sia stato "bucato" e sopra ci sia un iroffer...dovrebbe controllare se qualche pc si collega in remoto su porte: "6665-6666-6667-6668-6669-7000" ma non è detto che con un "netstat -na" riesca a vederle...informati se usano anche un firewall software su ogni macchia e se è buono...

[Caleb]

firewall software non ce n'è, così come non c'è uno hardware a valle del router

ma non mi spiegherei comunque come potrebbe essere possibile bucare un pc di quella rete, non sono visibili dall'esterno e non hanno indirizzi pubblici

l'unica sarebbe bucare il router e modificare la config del nat per poi ripristinarla, ma come detto la config è identica all'originale e il router non è configurabile dall'esterno (a meno di un bug nell'ios)

tanto più che la maggior parte delle connessioni sono avvenute in orari notturni quando tutti i client sono spenti e l'unica macchina della lan accesa è il file server, su quello gira clamav ogni notte e dovrebbe essere esente da porcherie strane...

[Fool]

Per me qualcuno della ditta fa P2P, si spiegano gli IP in chiaro e l'upload esageratamente alto