Aiuto per un Newbie: Black Ice, Genius e porte in listening

[nemo99]

Salve sono nuovo del forum e saluto tutti innanzitutto.

Ho un quesito da porvi..
Le caratteristiche del mio PC sono;
Sistema Operativo WIN98 SE
Firewall Black Ice Defender
Utility Internet Genius

Ieri sera mentre navigavo Black Ice Defender si è messo a lampeggiare come fa di solito, andando a controllare il tipo di attacco che mi stavano
scagliando BID mi ha segnalato


un ICMP unreachable storm proveniente da un certo IP
un ICMP subnet mask request proveniente da un altro IP

Genius mi segnalava nel frattempo qualcuno che cercava di fare un
collegamento Telnet sul mio PC

la macchina poco dopo è andata in crash

Poichè il tema della SICUREZZA mi sta a cuore volevo dei consigli
da voi per stare un pò più al sicuro..

Un'altra cosa strana è che quando eseguo il comando netstat -an (a PC
non collegatato in rete) mi escono un bel pò di porte in listening (tra
cui la 12345 NETBUS?)
Qualcuno pùò suggerirmi come chiudere le porte non indispensabili?

Grazie in anticipo

Proto Indirizzo locale Indirizzo remoto Stato
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1032 0.0.0.0:0 LISTENING
TCP 0.0.0.0:10 0.0.0.0:0 LISTENING
TCP 0.0.0.0:19 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:23 0.0.0.0:0 LISTENING
TCP 0.0.0.0:53 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1080 0.0.0.0:0 LISTENING
TCP 0.0.0.0:12345 0.0.0.0:0 LISTENING
TCP 0.0.0.0:31337 0.0.0.0:0 LISTENING
TCP 0.0.0.0:129 0.0.0.0:0 LISTENING
TCP 0.0.0.0:137 0.0.0.0:0 LISTENING
TCP 0.0.0.0:138 0.0.0.0:0 LISTENING
TCP 0.0.0.0:139 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1019 0.0.0.0:0 LISTENING

[kadosh]

Se hai già il Black Ice Defender, uno dei tanti FW in circolazione, puoi chiuderti le porte semplicemente impedendo al programma o al servizio di andare ad aprire una connessione con quella porta in particolare, quindi dovrai settarti delle policy nel FW a mano.
Purtroppo se quello è il tuo tracciato, oltre ad un potenziale Netbus dovresti avere anche il Back Orifice, che lavora sulla porta 31337.
Il resto sono tutti servizi di Win, ma se non ti serve tra questi disabilita il NetBIOS sulla 139 dalle proprietà del protocollo TCP/IP, con Win 98 è davvero facile penetrarti nel File System via NetBIOS. Ciao

[nemo99]

Grazie per la risposta
Quindi di tutte le porte che sono in listening devo chiudere manualmente in BlackIce Defender la 31337 e la 139.

Come posso verificare se sul mio PC si sono installati i troiani che hai detto?

Con un Antivirus o posso verificare il registro di sistema sui servizi che partono allo startup?

Le altre porte in listening sono sicure???

Grazie

[kadosh]

Chiudi anche quella del Netbus, la 12345, le altre sono servizi di rete o di Win.
Per vedere se hai trojani attivi basta controllare se nel Task Manager hai processi strani attivi; oppure puoi usare uno dei programmi che si trovano in circolazione come TrojanRemover, The Cleaner et similia che fanno lo stesso controllo.
Puoi anche usare il RegCleaner per vedere allo startup che c'è di bello e rimuoverlo se non è di tuo gradimento

[nemo99]

Quindi il fatto che quelle porte pericolose sono in listening dipende solamente dal fatto che io ho dei server di troiani sul mio PC.

Is it right?

TIA

[piercing]

Ho modificato il titolo per maggiore chiarezza e per facilitare le ricerche sul forum...

[nemo99]

L'avrei intitolato "PORTE in LISTENING"

che dici??

[zello]

Non è che qualcuno dei software si mette in ascolto su porte sospette per individuare i portscans? Hai un sacco di roba che mi suona "strana".
A parte elite (31337) e netbus (12345), hai aperto telnet (23), ftp(21), sock proxy (1080), dns (53), la 10 (e non so cosa sia), chargen (19), e altre che non conosco.
Se non sei in rete (nel senso - se è il computer di casa) la cosa mi sembra sospetta. A livello di tcp io sono messo così

Codice: Seleziona tutto

  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING
  TCP    127.0.0.1:110          0.0.0.0:0              LISTENING


Tieni conto che la 110 è spampal e le altre sono blindate dall'esterno.
Prova a disattivare tutti i vari firewall/programmi di sicurezza e rifare netstat -a
Ciao

[nemo99]

Risolto il mistero


Le porte pericolose che erano in listening dipendevano dal fatto che stavo usando la funzionalità di Genius PORT GUARDIAN proprio sulle porte menzionate...

Chiuso Genius adesso le uniche porte in listening sono la 137, 138, 139


Meglio così..

[zello]

137-138-139 direi che sono Netbios.
Se non ti serve condividere delle risorse, io lo toglierei (a memoria - dal pannello reti togli client per reti microsoft), meno porte apri e meglio è.

Ma è solo il mio parere.

Ciao

[BianConiglio]

Ma è solo il mio parere.

E anche il mio

[Nicola]

Ma è solo il mio parere.

E anche il mio

E perchè il mio no?

Cmq non capisco l'utilità di quei software (pseudo)anti-trojan che x vedere gli attacchi aprono la porta.. A che serve?

Per me un sw antitrojan deve individuire processi trojan e porte connesse e bloccare entrambi.

[BianConiglio]

ma...penso che servano per sgamare gente che tenta di connettersi...anche perchè se il trojan venisse installato e trovasse la porta occupata, switcherebbe su quella succesiva ( default + 1 e così via )

[Nicola]

ma...penso che servano per sgamare gente che tenta di connettersi...anche perchè se il trojan venisse installato e trovasse la porta occupata, switcherebbe su quella succesiva ( default + 1 e così via )

a un utente normale credo che non interessi sgamare il lamer di turno ma avere un PC "chiuso" .. no ?

[BianConiglio]

ma nemmeno ad esperti...io dico CHISSENEFREGA

[piercing]

credo che basti togliere il "NetBios over TCP/IP" che generalmente sulle connessioni via modem è già disimpostato di default e nel momento in cui viene attivato causa un messaggio di sistema che avverte dell'insicurezza della cosa...

in pratica attivare il NetBios su tale protocollo consente ad un utente da Internet di vedere le risorse condivise sul tuo PC, e ben conoscendo l'irrobustezza degli algoritmi di verifica password di W98 vorrebbe dire in pratica far vedere a tutto il mondo il tuo pc nell'istante in cui sei connesso...

Se uno si fa una scannerata sulle connessioni dial-up, in giro trova veramente molto di peggio, quindi se non ti serve condividere le risorse in rete (e credo non ti serva...) basta disabilitare quel check... da qualche parte sulle impostazioni di rete... forse su protocolli... vado a memoria perchè W98 non lo vedo da un pezzetto...

[nemo99]

Ragazzi col senno di poi è facile parlare...
Ora so che ad usare un antitroiano come Genius peggioro la situazione..

Il problema è che lo avevo usato perchè qualcuno aveva cercato di introfularsi sul mio PC e volevo capire su quale porta ci stava provando...

[nemo99]

Auto Test pc-flank

Ultimo quesito....


Mi sono fatto un "auto stealth test" nel sito pc-flank

Il risultato è statoche tutto era in modalità stealth

solo il TCP ping packet è risultato non stealth.

Uso Black Ice Defender..

Cosa devo fare per superare questo esame???

Oppure quale servizio devo disabilitare sul WIN98 SE per non avere problemi?

Bye