Condividi:        

devo preoccuparmi?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

devo preoccuparmi?

Postdi gnoccoJunior » 24/09/02 02:10

ho installato questo pomeriggio per la prima volta ZONE ALARM perchè uso ormai comunemente programmi di file sharing.
Risultato: il log strapieno di alerts!
Ve ne riporto 3 descritti come destinazione "incoming" tralasciando tutti quelli sotto la voce "routed":

ZoneAlarm Pro blocked a scan of port 111 on your computer. Random scans of large blocks of computers are common on the Internet; it is unlikely this was an attack on your computer specifically.

ZoneAlarm Pro has blocked an inbound communication on NetBIOS port 137 on your computer
ZoneAlarm Pro has successfully stopped Internet traffic from reaching your computer. No breach in your security has occurred. Your computer is safe.

ZoneAlarm Pro has prevented a connection to port 21 on your computer. This was most likely a port scan by a remote computer trying to find out if you are running FTP software.

Purtroppo la maggiorparte di questi alert non riesco a decifrarla visto la mia ignoranza in fatto di sicurezza. Sono riuscito a fare però il whois attraverso il sito di zonelab e sono spuntati trace dagli Stati Uniti, dalla Corea, dalla Germania e pure uno da Brescia :eeh: .

La mia domanda è:
devo proccuparmi? Tutto questo è normale ? Oppure qualcuno ha sparso la voce su internet che possiedo nel mio HD 10000 numeri di carte di credito :D ?

A parte gli scherzi sono rimasto un po' sconvolto dall'attività che si concentra attraverso le porte del mio PC una volta che mi connetto a internet. Non riesco a immaginare se davvero fossero tutti tentativi di "intrusioni" cosa può succedere a chi non è protetto da un firewall.
Se qualcuno riuscisse a farmi un pò di chiarezza gli sarei davvero grato.
gnoccoJunior
Utente Junior
 
Post: 11
Iscritto il: 24/10/01 01:00

Sponsor
 

Postdi ceccatodiego » 24/09/02 07:01

Hai sicuramente parecchie porte 'aperte' nella configurazione del tuo sistema e il protocollo Netbios abilitato nella connessione di accesso remoto ad internet ( vai in accesso remoto , tasto destro del mouse sulla connessione ad internet e su rete disabilita NETBIOS E IPX : lascia solo TCP-IP ).
L' attività di port scanning la può fare chiunque e adesso che hai installato un firewall ti puoi accorgere di questo.
Ti consiglio di installare un antivirus aggiornato per controllare di non avere qualche 'trojan' installato.
Ciao
ceccatodiego
Utente Junior
 
Post: 33
Iscritto il: 21/08/02 15:18

Postdi zello » 24/09/02 07:18

So che c'è stato recentemente uno scan massivo in cerca di servers FTP (l'ho letto in qualche newsgroup) - con provenienza francese (qualche warez kid in cerca di un server). La porta 137 è uno dei bersagli preferiti (per vedere se condividi una qualche risorsa). Non so nulla della 111.

Diciamo così: se hai un IP dinamico, puoi respingere i pacchetti e fregartene. Se hai un IP statico, la cosa è un po' più seria (ma ti consiglio un firewall dedicato), e forse è il caso di tracciare gli allarmi e notificare i vari abusedesks (se ti salta fuori wanadoo.fr lascia stare, non serve).
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi kadosh » 24/09/02 07:59

Io non farei allarmismi di nessun tipo, se hai programmi per il File Sharing ed usi ZA è normale avere un Alert con Log ogni 2 minuti; il Firewall ti segnala tutto il traffico di redirect e peering che passa anche lontanamente per il tuo PC e te lo fa sembrare come traffico sporco, cioè pericoloso per te ma non è così, il peer-to-peer consente l'accettazione di datagrammi in ingresso e uscita poichè deve permette la gestione dei files di tutto lo share.
Purtroppo per gli utenti poco esperti di FW qualsiasi Alert diventa una minaccia, a ben ragione, e se ne preoccupano ma dopo poco tempo ci fanno il callo e ci passano su mentre poi, quando la segnalazione è critica si perde di vista.
Come consiglio, se non usi una rete interna disabilita la porta 137...ma anche l'alert di ZA, ti setti i range di IP da controllare, controlli periodicamente i Log e se hai del tempo fai una cernita di quelli plausibili o meno.
Meno stressi e più ti godi le dovizie della rete eheheh :D :D ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi dado » 24/09/02 10:29

Io Zone Alarm lo settato al maglio subito dopo averlo installato, poi l'ho impostato in modo che non mi avvisasse ad ogni tentativo di intrusione. Infatti prima mi dava avvisi in continuazione, e la cosa mi scocciava...
Anche xè qd usi un programma p2p qs avvisi crescono 'esponenzialmente', inoltre molte volte, sono i siti stessi che ti pingano x vedere se sei on line e se sei attivo, e qs operazione di 'pingaggio' viene considerata da ZA come un attacco... diciamo che è un pò sospettoso. Come con i file di Flash che ti mandano amici per posta... lui li considera possibilmente dannosi e non te li lascia aprire... :P

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi Frengo78 » 24/09/02 13:04

Diciamo che Zone Allarm è ossessionato da possibili attacchi. Ma gridare tanto spesso al lupo non distrae l'utente da eventuali allarmi veri?
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi ceccatodiego » 24/09/02 13:12

Quando ZoneAlarm ti da un avviso tipo " ZoneAlarm Pro has blocked an inbound communication on NetBIOS port 137 on your computer " non direi proprio che si tratti di un FALSO ALLARME : qualcuno stà sicuramente di entrare nel tuo Pc attraverso il protocollo NETBIOS.
ceccatodiego
Utente Junior
 
Post: 33
Iscritto il: 21/08/02 15:18

Postdi Frengo78 » 24/09/02 13:16

Se fosse possibile segnalare solo questi allarmi seri sarebbe l'ideale.
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Mikizo » 24/09/02 13:41

Già... comunque, in generale:
- deseleziona il pop up automatico degli alerts
- falli memorizzare nel file log
- ogni tanto dagli un'occhiata e poi cancellali.

Il fatto del NETBIOS è effettivamente il più serio di cui abbia mai sentito (segnalato da ZA intendo), ma può essere semplicemente qualcuno che giochicchia, soprattutto su un IP dinamico, come credo che sia.

ZA come tutti i personal firewall, tende ad esagerare gli allarmi, giusto per darti l'impressione che sia necessario l'acquisto della versione PRO....
Ultima modifica di Mikizo su 24/09/02 13:50, modificato 1 volte in totale.
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi kadosh » 24/09/02 13:44

Ceccatodiego un Alert di quel tipo può anche significare che se usi un client per fare del peer-to-peer qualche utente sta controllando tramite un browsing esterno la tua lista di titoli, e dato che questi client non sono affatto intelligenti vanno a fare un port scanning prima di capire quale sia l'open door esatta per il collegamento...nulla di grave però ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi gnoccoJunior » 24/09/02 16:04

grazie a tutti quelli che mi hanno risposto...
mi sono fatto un pò un'idea della situazione ma continuo a essere allarmato perchè ricevo periodicamente alerts di questo tipo:

ZoneAlarm Pro has blocked an inbound communication on NetBIOS port 137 on your computer

anche quando non sto usando nessun programma di sharing...

Come se non bastasse tra i vari alerts me ne è arrivato anche un paio di questo tipo

ZoneAlarm Pro blocked an attempt by a remote computer to communicate with port 80 on your computer. The attempt may have been a port scan seeking the presence of a web server or it may indicate the activity of a worm seeking the presence of a web server. In both scenarios, your computer is entirely safe from intrusion since you are not running a web server and ZoneAlarm Pro blocked the connection attempt.

Ho fatto lo scan con adaware ma non mi ha rilevato nessun spyware se non il classico cydoor di Kazaalite che in teoria ho letto dovrebbe essere innoquo...
(dovrebbe)
gnoccoJunior
Utente Junior
 
Post: 11
Iscritto il: 24/10/01 01:00

Postdi Mikizo » 24/09/02 16:33

Direi:
- Se hai un IP statico, potrebbe essere preoccupante, se hai un IP dinamico, non credo proprio. Quale delle due?...
- ZA Pro ha dato problemi a un sacco di gente (ovviamente mi aspetto delle smentite di chi ci si trova benissimo, ma ciò non toglie...). L'unica versione di cui mi fido, personalmente, è la 2.6.362, che poi è quella che abbiamo in sezione download. Tra l'altro, non è che la pro serva veramente a qualcosa in più...
- Non sono un esperto quindi prendi queste risposte per quello che valgono, cioè la mia esperienza diretta
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi ceccatodiego » 24/09/02 16:42

Come dice giustamente kadosh , potrebbe anche essere colpa di qualche programmino di tipo peer-to-peer , però visto che dici di non usarli in modo volontario ( e sempre a tuo rischio e pericolo visto quello che potrebbe essere nascosto dentro ) farei qualche verifica in piu' :

1) Controlla che nei parametri di rete della connessione di accesso remoto ad internet sia abilitato SOLO TCP/IP
2) Usa windows update per scaricare tutte le patch per la sicurezza di Windows e Internet Explorer ( se non hai una connessione veloce devi avere un pò di pazienza ... xchè ci sono diversi Mb da scaricare )
3) Con un po' di attenzione , dovresti controllare nel registro di non avere programmi 'strani' che si avviano in automatico ( START - ESEGUI - REGEDIT quindi vai alla voce HKEY_LOCAL_MACHINE - SOFTWARE - MICROSOFT - WINDOWS - CURRENTVERSION - RUN quindi controlla nella finestra di destra che non vi siano programmi strani ed eventualmete rimuovili )

Ciao
ceccatodiego
Utente Junior
 
Post: 33
Iscritto il: 21/08/02 15:18

Postdi gnoccoJunior » 24/09/02 16:52

Per Miziko.

Si, ho un IP dinamico...


Per Ceccatodiego
Ho fatto come mi hai detto e nella finestra di destra del registro l'unica voce sospetta è

RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

faccio bene a cancellarla?



Ma per curiosità voi che firewall usate? Se non l'usate cosa usate?
gnoccoJunior
Utente Junior
 
Post: 11
Iscritto il: 24/10/01 01:00

Postdi zello » 24/09/02 16:59

Nota: a volte qualcuno cerca anche dei proxies aperti dietro la porta 80 (in Corea è pieno di proxies su porta 80). Potrebbe anche essere un innocente (?) spammer che cerca un modo per consegnare l'"enlarge your penis" di turno.
Oppure c'è proprio un simpaticone di skr1ptk1idd1e che ti ha preso di mira. Controlla un po' se per caso i tentativi fanno capo ad uno stesso IP, o ad un subnet relativamente piccolo (tipo 123.456.789.xxx, dove xxx varia)
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi ceccatodiego » 24/09/02 17:26

La voce di registro :

RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

riguarda l' inizializzazione dei driver della scheda video GeForce.

Quindi se hai una scheda video Nvidea Geforce non devi cancellare
nulla dal registro.

Ciao
ceccatodiego
Utente Junior
 
Post: 33
Iscritto il: 21/08/02 15:18

Postdi ceccatodiego » 24/09/02 18:24

Controlla nel registro che non ci sia :

msinit.exe

oppure :

chode.exe


Questi 2 trojan usano di solito la porta 137.

Ciao
ceccatodiego
Utente Junior
 
Post: 33
Iscritto il: 21/08/02 15:18

Postdi gnoccoJunior » 24/09/02 22:56

trovato niente per adesso nel registro.

Cmq ho disabilitato la notifica automatica degli alarms di ZA altrimenti c'è da impazzire :-?

Aspetto domani per fare un controllo accurato di tutti gli IP che cercano di entrare attraverso la 137: se l'IP è sempre lo stesso boh...proverò a denunciarlo alla UXN (anche se mi sembra strano che un Hacker abbia un IP statico).

vi tengo informati
gnoccoJunior
Utente Junior
 
Post: 11
Iscritto il: 24/10/01 01:00


Torna a Sicurezza e Privacy


Topic correlati a "devo preoccuparmi?":


Chi c’è in linea

Visitano il forum: Nessuno e 101 ospiti