problema di intrusione nel mio pc

[cobra9]

vediamo un pò se riusciamo a risolvere anche questo problema!!
ultimamente sono stato preso di mira da un elemento che desidera diventare un hacker e mi ha minacciato che avrebbe aperto una shell nel mio pc per sbatterci dentro roba;al momento ho lasciato perdere
dopo tre giorni mentre non stavo facendo nulla di particolare
mi si apre un avviso del mio norton che mi diceva che un virus si stava attivando nel mio pc. ho subito staccato la connessione e fatto una scansione completa di tutto e non sono stati rilevati virus.
stupidamente sono andato avanti a fare le mie cose tranquillo
visto che la sera porta giudizio e che sono uno abbastanza diffidente
il giorno dopo faccio la scansione della cartella sistem 32 e altre cartelle come la temp files di internet e altre cartelle di windows ed eccolo li
sitrattava di un worm esattamente il W32.HLLW.Graps
sono andato nel sito della simantec ho guardato le propietà del virus e l'ho completamente rimosso manualmente dal registro e dal sistema
(si portava dietro anche 3 files .bat) .
il fatto + strano è che non sono proprio un neofita di internet e di virus tramite mail o scaricati ne ho incontrati a valanghe ma sono sempre riuscito ad evitarli senza tanti problemi
il fatto è che non ho capito ancora adesso da dove possa essermi arrivato
visto che non ho scaricato nulla non ho aperto mail con allegati e altre cose del genere premetto che non giro per siti porno e cazzate simili
uso il pc perchè sono videogiocatore e mi interesso di videogames
va bene fosse finita li ....avrei anche lasciato passare la cosa
la sera del giorno dopo mentre giocavo quindi non stavo navigando
non avevo particolari client attivi che so chat o roba del genere
mi si apre ancora il norton che avvisava di un virus un altro tipo di worm
il W32.Pinfi cercava di attivarsi nel mio pc tramite un esecutibile diverso da quello precedente per fortuna che avevo alzato il livello di sicurezza
del norton che questa volta ha impedito al worm di eseguirsi eliminandolo
subito
veniamo al dunque la domanda di aiuto è questa come cavolo fa l'hacker
a infilarmi questi files?
quale bug usa?
da che porta potrebbe entrare?
premetto che ovviamente non ho trojan attivi nel mio pc almeno per adesso
uso windows 2000 con tutti gli aggiornamenti possibili e immaginabili tanto che se cerco di fare update mi dice che sono a posto così
uso il firewall e antivirus sempre attivi
visto e cosiderato che io questi files esecutibili non li ho mai scaricati
anche perchè non faccio scambio di files non ho filmati ne foto di nessun tipo scaricate da internet
e poi uno ci stava anche ma il secondo è arrivato dopo che avevo alzato la guardia
per sicurezza ho anche disinstallato apache server web che usavo per creare siti in remoto in php
cosa mi consigliate di fare? come posso chiudere questa shell?
ci sono programmi che possono aumentare la mia sicurezza?
oltre a quelli che ho già
e come posso capire e individuare da dove arriva l'hacker in modo da
fermalo una volta pèer tutte?
grazie del vostro aiuto

[BianConiglio]

Mh....direi di iniziare la caccia con un firewall configurato a zero, in attesa di tentativi di connessione, di qualsiasi tipo essi siano...non fidarti dei processi da te autorizzati...un server è facilmente iniettabile in un altro processo.
Sicuro al 100% di non avere torjan installati ? controlla che non si autoesegua nulla con metodologie poco note...dai un occhio qui : http://www.pc-facile.com/security.php?id=83 e munisciti di StartupMonitor, molto utile e leggero...mittticcco.

Servirebbero piu info riguardo l'attivazione dei virus...
Mi sembra strana questa "attivazione"..

Se non hai ricevuto mail particolari, se sei patchato, se non hai webservers attivi, se non hai condivisioni fatte male, se non hai particolari servizi attivi come server ftp ecc dovresti essere abbastanza protetto dal punto di vista dello sfruttamento di bugs..

Al max ci si stente su icq

[cobra9]

Servirebbero più info riguardo l'attivazione dei virus...
Mi sembra strana questa "attivazione"..

ripeto i virus si sono attivati mentre io non stavo facendo nulla di particolare quindi non stavo scaricando nulla
ne ovviamente ricevendo mail in entrambe le volte
la prima volta ero nel forum di gamesnet che è un portale di videogame leggevo nel forum mi si è aperta la finestra del norton all'improvviso
che mi avvisava che un virus era penetrato nel mio sistema solo che
in questo caso si è attivato (che dementi gli antivirus) perché non avevo selezionato la spunta elimina direttamente il virus,ma insomma a cosa serve avere l'antivirus se poi questa canaglia permette hai virus di attivarsi? in oltre appena visualizzato il problema ho fatto una scansione completa è NON l'ha rilevato pensate voi!!!mentre l'ha rilevato il giorno dopo con una scansione mirata alla cartella system32 ovviamente il norton non riesce + a togliere il virus e ho dovuto rimuoverlo manualmente in questo modo ho riavviato in modalità provvisoria
sono andato nel registro quindi nella directory

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
qui ho rimosso la chiave dell'esecutibile che nel frattempo avevo individuato tra l'altro era mimetizzato bene fingeva di essere una applicazione di microsoft che era nominato mdw.exe in oltre ho eliminato i tre files .bat che si portava dietro
wds.bat
wds3.bat
wds2.bat
una volta eseguite le seguenti operazioni ho tolto l'esecutibile e ancora i bat dalla cartella system 32 ho riavviato ancora in modalità provvisoria e ho fatto un paio di scansioni completa e ancora mirata a questo punto
ero pulito ho controllato ancora nel registro e in tutto il mio pc che non ci fossero + esecutibili con quel nome o .bat e per evitare che ciò accadesse di nuovo ho alzato il livello di sicurezza settando il norton
in modo che elimini direttamente i virus (pensate voi bisogna anche dirglielo) e alzando il livello del mio firewall da medio ad alta non permettendo l'attivazione di activex adesso ogni volta che si esegue qualcosa me lo chiede.
pensando di essere + sicuro sono andato finalmente avanti a fare le mie cosette il giorno successivo mentre giocavo tranquillamente e questa volta non avevo nemmeno il browser web aperto ancora il norton si apre e mi dice che il files inst.exe sta cercando di attivarsi quindi un altro tipo di files e anche un tipo di worm diverso dal precedente il primo era il
W32.HLLW.Graps mentre questo era il W32.pinfi ancora nella cartella sytem32.
questa volta per fortuna non è riuscito ad attivarsi ho controllato bene ancora ovunque quindi sono sicuro di non avere tojan installati
l'unica cosa e che in entrambi i casi avevo il web server apache attivo
perché mi partiva in background ora ho disinstallato anche quello
potrebbe darsi che qualcuno sia riuscito ad entrare da li????
almeno spero sia così staremo a vedere
vi ripeto che ho ricevuto virus a carrettate negli ultimi anni per posta
ma sono sempre riuscito ad evitarli basta un po di esperienza per capire che se arriva una mail con un allegato potrebbe essere un virus (specialmente .exe e .pif) e con un po di accortezza si evitano sempre outlokk pacciato ovviamente e scarico solo l'intestazione non apro mai il messaggio direttamente specialmente
se contengono allegati che non so da dove possono arrivare addirittura c'è stato qualcuno l'anno scorso che tutti i giorni mi mandava (probabilmente a sua insaputa) una mail tutti i con un allegato
ci ha impiegato circa sei mesi prima di rimuovere il virus dal suo pc
quindi io per sei mesi un giorno si uno no ricevevo mail da lui ovviamente
ho cercato di avvisarlo in tutti modo ma probabilmente il virus mandava le mail con un altro indirizzo di posta (credo e spero)
sinceramente dopo aver ricevuto la minaccia dal lamer un altro videogiocatore famoso perché floddava altri giocatori e craccava programmi di anticheater cioè quei programmi che non permettono di utilizzare imbrogli mentre si gioca (siamo arrivati a questo punto)
il tutto ovviamente in competizioni internazionali e nazionali
io ho incominciato ad avere questi problemi prima mi manda non so come sta roba dopo due minuti si presenta a giocare nel mio server insomma mi sta prendendo per il culo
siccome tra l'altro è anche stupido sono sicuro che cercherà ancora di mandarmi qualcosa anche perché io a questo punto cercherò di stimolarlo
(voglio anche essere sicuro di riuscire a proteggermi)
pensate la coincidenza fino al giorno prima ero protetto da un firewall hardware del mio ISP tutto questo mi è successo dopo l'attivazione del ip dinamico che mi liberava dal firewall perché non mi permetteva di essere visibile con molte applicazioni
uso una connessione Fast Web
ciao e grazie se mi succederà ancora qualcosa sarete i primi a saperlo
sto anche meditando di rivolgermi alle autorità se mi accadesse ancora qualcosa

[Nicola]

prova a farti un port-scan e vedere che servizi hai aperti...

[cobra9]

manco erano passati 10 minuti che avevo scritto questo ultimo post ed ecco un alrtro virus rilevati 3 (tentativi)
prima è partito il StartupMonitor che mi diceva che un aplicazione cercava
di mettersi in esecuzione automatica (credo) mi diceva che era il windows update e il files in questione era il explorer.exe
sotto già era apparsa simultaneamente la finestra di norton che avvisava
per un virus il backdoorIRCflodd che si portava tre files dietro un ocx
un .dll e un .exe gli acessi sono stati negati ed eliminati e che palle
anche in questo caso non stavo scaricando nulla stavo giocando
con tutto chiuso
ho pensato che un virus potrebbe non farmi funzionare a dovere il mio norton così ho fatto una scansione in rete dal sito symantec ecco il risultato
Risultati della scansione virus
68112 file esaminati, 0 file infettato/i.

Nella memoria non è stato rilevato alcun virus.

La scansione non ha rilevato alcun virus nei file esaminati. La procedura di scansione non consente di esaminare i file compressi

adesso giustamente come ha consigliato nicola ho scaricato diversi programmi che controllano le porte anche se avevo già fatto da dos il netstat -a
e nestat -n
dice che alcune porte sono aperte
quindi ho scaricato pc door guard 3 l'ho aggiornato ed ora sto scannado tutto a + non posso la scansione è molto lunga è non è ancora terminata
in questo momento
ho anche scaricato LPS local port scanner e mi dice che le seguenti porte sono aperte
la :
25
80
110
113
135
1025 * icq
1027 * icq
1029 * icq
1080 socks/wingate

l'unica che io sto usando effettivamente è la 80 visto che ho ie è attivo
ma per il resto non sto ne mandando ne ricevendo posta è icq è chiuso
ecco forse le porte aperte che mi fanno dubitare sono appunto quelle contrasegnate con * visto che icq è chiuso e oggi non l'ha ancora attivato
come mai queste porte sono aperte?
come fare adesso per chiuderle?
vediamo quando finisce il pc door cosa mi dice
a presto

[Nicola]

25
80
110
113
135
1025 * icq
1027 * icq
1029 * icq
1080 socks/wingate

il primo e` un server SMTP... controlla con il software per vedere che programma e' associato alla porta [ solo se hai 2K/XP ] che pero` ora non mi ricordo [ BC lo sapra` sicuramente ] , secondo webserver, terzo server POP3, terzo identd, 1025/27/29 icq e 1080 wingate come hai detto. La 135 mi pare net send, normale anche se si puo` disablitare

In conclusione controlla 25/110/113 e 1080 con il software e dicci a che applicazioni sono legate..

[Nicola]

ah dimenticavo.. per caso come firewall usi il norton? se si mi pare che stia in listening su alcune porte di trojans e simili per loggare il tutto...

[piercing]

innanzitutto che sistema operativo hai??? non mi sembra cosa da poco...

poi chiudi tutti quei servizi... che ci fai con apache, server di posta e simili se il pc ti serve per giocare online??? con tutta quella roba è praticamente una groviera...

per il resto mi pare di capire che l'attacco arrivi da una sessione IRC, forse utilizzata durante il gioco... non conosco ne IRC ne videogiochi in rete... e mi pare strano che durante una sessione di gioco il tuo netstat riporti solo quella roba...

l'allarme di explorer.exe sul windows update non è nulla di preoccupante...
il fatto che tu abbia la 80 attiva non c'entra nulla con IE, la 1025-29 non sono di ICQ ma generalmente di IE (sono comunque porte "libere")...

[BianConiglio]

vedi che il webserverino con tanto di server mail è attivo ?
possibilità :

intrusione da overflow nel webserver....dipende dal tipo, versione, patch ecc....
sabotaggio del database delle esclusioni dalle scansioni.. aka hai un trojan che non viene riconosciuto, magari bindato ad un processo con permessi di connessione ( IE, Explorer et similia )

non fidarti troppo dell' av e del firewall...

*hint* se sei su fastweb probabilmente lo è pure l'aggressore. C'è cmq un metodo sviluppato da un $amicoX che permette di maneggiare una rat se pur all'interno di una lan...pertanto non escludere nessuna possiiblità.

finiti gli esami ti darò maggior aiuto...

[BianConiglio]

per la mia seconda possibilità, dimenticavo di dirti di controllare le esclusioni dalle scansioni, dalle proprietà di NAV in primis..(che versione hai ?)..anche se pure l'interfaccia grafica è sabotabile ho scoperto come fregare pure quella

[cobra9]

innanzitutto che sistema operativo hai???

WINDOWS 2000 con service pak3

poi chiudi tutti quei servizi... che ci fai con apache, server di posta e simili se il pc ti serve per giocare online??? con tutta quella roba è praticamente una groviera...

lavoravo in remoto sul mio sito in php lo disinstallato perchè adesso con fast web faccio tutto online

per il resto mi pare di capire che l'attacco arrivi da una sessione IRC, forse utilizzata durante il gioco... non conosco ne IRC ne videogiochi in rete... e mi pare strano che durante una sessione di gioco il tuo netstat riporti solo quella roba...

hai ragione infatti le porte le ho controllate dopo perchè preso da panico
quando ricevo i virus chiudo la connessione e riavvio il pc se mi dovesse ricapitare starò piu attento

*hint* se sei su fastweb probabilmente lo è pure l'aggressore. C'è cmq un metodo sviluppato da un $amicoX che permette di maneggiare una rat se pur all'interno di una lan...pertanto non escludere nessuna possiiblità.

sicuramente credo anche io che sia qualcuno dell'ambiente videogame
dopo tre tentativi avvenuti sempre mentre giocavo

per la mia seconda possibilità, dimenticavo di dirti di controllare le esclusioni dalle scansioni, dalle proprietà di NAV in primis..(che versione hai ?)..anche se pure l'interfaccia grafica è sabotabile ho scoperto come fregare pure quella

questa parte non l'ho capita a cosa ti riferisci

[BianConiglio]

Il 99,9% delle case antivirus ha da anni inserito nei propri software la funzione di escludere alcuni files, cartelle o range dall'individuazione di virus. Pertanto ti è dato scegliere se e quali files NON scansire.

Mettiamo caso che sfruttando un buffer overflow causato da un bug in apache riesca a eseguire codice sulla tua macchina...in questo caso riuscirei ad installare ( dopo un po' di smanettamenti ) una rat. Il server di questa rat puo partire nei piu disparati modi, alcuni dei quali riassunti da me nel link che ti ho dato qualche post sopara... E' anche possibile che io bindi il processo del server con un altro processo, innocuo e con i diritti di connessione in modo che il tuo firewall non dia fastidio. Posso anche inserire il virus o il trojan nel database delle esclusioni dell'antivirus in modo che, pur aggiornandolo, pur l'av conoscendo il virus, non lo segnali.

E' una delle molteplici cose che devi controllare...vai nelle proprietà del NAV e dia un occhio alle esclusioni.

Per il gioco on line.. a quali giochi partecipi ? Quelli che conosco io, patchati con le ultime realase ufficiali e non, non sembrano soffrire di particlari bug che permettano a qualcuno di intrufolarsi da te..

A questo punto, cmq, ti direi di guardare con particlare attenzione il taskmanager, soprattutto dopo gli attacchi...

[cobra9]

E' una delle molteplici cose che devi controllare...vai nelle proprietà del NAV e dia un occhio alle esclusioni.

il norton è settato in modo che scanni tutti i tipi di files anche gli archivi compressi
gli elementi da escludere sono .nch e .dbx

Per il gioco on line.. a quali giochi partecipi ? Quelli che conosco io, patchati con le ultime realase ufficiali e non, non sembrano soffrire di particlari bug che permettano a qualcuno di intrufolarsi da te..

il giocho è medal of honor della EASPORT

[cobra9]

contromisure prese dopo le intrusioni:
ho scaricato un altro firewall il tiny personal firewall
ho trovato il seguente articolo:
Windows Shell
Vendor: Microsoft
A buffer overflow was reported in the Microsoft Windows 2000 operating
system in the ShellExecute() function. A local or remote user may be able
to cause an application that uses the function call to execute arbitrary
code, depending on the application.
Impact: Denial of service via local system
Alert: http://securitytracker.com/alerts/2003/Jul/1007099.html

ho quindi aggiornato il mio SO con il service pack4
in oltre mi sono munito dei seguenti programmi:
hacker eliminetor (mi ha trovato un files sospetto una vecchia versione di mIRC che usavo da diverso tempo l'ho disinstallata e ho scaricato una versione aggiornata)
infine ho scaricato il programma LANguard network security scanner che però non sono pienamente in grado di utilizzare perchè è un pò complesso
e non ho trovato una guida esaudiente per adesso
spero di aver preso contromisure sufficenti (staremo a vedere) per ora non ho + riscontrato intrusioni ma è passato poco tempo in caso dovessero esserci altri tentativi resta sempre la soluzione + drastica
C:\FORMAT: C
grazie per il vostro aiuto siete sempre utili anzi direi necessari

[cobra9]

forse ho trovato il problema la mia fortuna è stato il fatto che il mio norton antivirus è andato in panne (non funzionava +) così l'ho disinstallato e ho installato il panda antivirus l'ho aggiornato e ho fatto subito una scansione della cartella system32 è ha rilevato subito il worm
W32randon una piccola applicazione (trojan) che apriva le porte 440 e 6667 (quella di mIRC) per mia fortuna a dispetto di altri worm questa è "poco" dannosa ermette di fare attacchi di tipo DOS e flooing
per questo motivo cercavano di infilarmene altri ben + pericolosi per la mia sicurezza e quella degli altri ho così perso tutta la fiducia che avevo sul norton antivirus e credo che finito il periodo trial del panda lo comprerò è stato difficile trovare la chiave nel registro in quanto è variabile.
in seguito ho eseguito una scansione completa con tutte le opzioni x il massimo della sicurezza e il panda ha rilevato 3 files "sospetti" del gioco battlefied 1942 esattamente files mod.dll
ora che fare con questi files?
come mai il norton pur essendo aggiornato non rilevava il worm?

PS prima di scaricare il panda ho provato a scaricare l'antivirus kapesky o come diavolo è difficile quel nome dal donwload di questo sito ma una volta installato mi avvisava che il periodo di prova di questa applicazione era teminata è non ho potuto quindi utilizzarlo (etete voi se è il caso di sostituilo con una versione aggiornata )
ciao

[BianConiglio]

tu dai troppa fiducia agli av.. .. sono tutti bypassabili, lenti e ingombranti... riconoscono solo il 70% di quanto dovrebbero riconoscere....quindi devi essere tu ad alzare la guardia.....usa startup monitor e altri piccoli accorgimenti.. configura bene il firewall se ci tieni, ma pure quello, è bypassabile facilmente....ed ultimamente in automatico con tools lamerozzi.