Hepl, Porte Aperte

[iceone]

Scusate se disturbo ancora...

Come faccio a chiudere delle porte sul mio pc??
X-netstat mi dice che ho la porta 12345 aperta, ma ho cercato con diversi software se avevo trojan ma non me ne rileva nemmen uno...

Spero in un arisposta veloce dato che mi tormentano con tentativi di intrusione...grazie anticipatamente...iceone

[Nicola]

Come faccio a chiudere delle porte sul mio pc??

Il metodo che ritengo più questo per chiudere una porta è quello di chiudere l'applicazione che la apre.

Se hai Win2000/XP usi fport (cerca su Google) e guardi l'app che apre la 12345 (mooolto probabilmente è NetBus) e la killi con dolcezza .

Se non hai Win2000/XP come S.O. puoi provare a vedere se hai un virus, con un AV aggiornato. Ho sentito parlare molto bene anche di AVP System Watcher che monitora le porte.

Un altro metodo, che ritengo meno giusto (credo che sia meglio killare l'applicazione) è quello di usare un Personal Firewall come Kerio e fare una regola di DROP (o Deny) per la porta 12345.

Di solito questo metodo lo uso solo quando devo chiudere una porta aperta da un servizio di Windows che se stoppato crea problemi.

Ciao, Nicola.

[iceone]

nicola??? non ho trovato nulla ne con norton antivirus con definizione virus aggiornata ad oggi ne con Avp system watcher


dove posso contattarti direttamente senza form???hai un nick su irc ,c6?
non mi dire icq perchè non lo so usare..grazie ciao


AIUTO MI ATTACCANOOOOOOOOOOOO

[Frengo78]

ma come fai a dire che ti attaccano? chi poi? la tua sembra una mania di persecuzione piu che un caso reale. Non so se nicola ti contattera in privato ma in ogni caso il forum è il luogo ideale per risolvere i problemi.

[iceone]

ho l'indirizzo ip del tizio...ps: il caso è reale...non vi farei perdere tempo per niente...cmq se vi crea disturbo, scusatemi non vi chiedo piu...Grazie lo stesso...iceone

[Frengo78]

volevo solamente capire. Tipo di attacco? software firewall col quale hai rilevato l'attacco?

[Nicola]

occhio che gli AV potrebbero essere stati sabotati.

potrebbe anche non essere un virus ma una semplice applicazione che apre la 12345.

Se hai paura installa un Firewall

Cmq siamo qui per aiutarti. Frengo chiedeva + info x essere preciso.

Cmq visto che sai l'IP postalo qui cancellando le ultime 2/3 cifre e ti diciamo l'abuse desk competente al quale protestare.

Se poi vuoi che io ti aiuta anche in privato (se credi che sia utile), poi ti mando un mp su come contattarmi e poi facciamo il resoconto finale qui


Ciao...

[iceone]

80.178.4.xx
80.181.157.xxx

ho usato visual route per vedere la provenienza:
1)catanzaro
2)Israel

cmq appena entro su irc #etna i tentativi aumentano considerevolmente...

Scusa frengo ma sono nervoso....direi anche troppo...

[iceone]

Ho appena installato zonealarm ma come lo devo configurare??

[Nicola]

1) (ho provato un ip intero e ho cancellato la parte finale)

Codice: Seleziona tutto

C:\Documents and Settings\Niko>whois 80.178.4.XXX
8MDRSJOVXRPZ67K
80.178.4.XXX
[cut]

inetnum:      80.178.0.0 - 80.179.255.255
netname:      IL-GOLDENLINES-20020705
descr:        Provider Local Registry
descr:        Golden Lines International Communication Services Ltd.
country:      IL
admin-c:      DR5299-RIPE
tech-c:       DR5299-RIPE
notify:       dnsreg*chiocciola*012.net*punto*il
status:       ALLOCATED PA
mnt-by:       RIPE-NCC-HM-MNT
mnt-lower:    AS9116-MNT
mnt-routes:   AS9116-MNT
changed:      hostmaster*chiocciola*ripe*punto*net 20020705
source:       RIPE
[cut]
trouble:      abuse*at*012*dot*net*dot*il

Indirizzo probabile per l'abuse: abuse*at*012*dot*net*dot*il (sostituisci *at* con @ e *dot* con . )

2)

Codice: Seleziona tutto

C:\Documents and Settings\Niko>whois 80.181.157.111
host111-157.pool80181.interbusiness.it
80.181.157.111
%
[cancello un po di cose inutili..]
trouble:      Please report spam/abuse notification to
trouble:      abuse*at*telecomitalia*dot*it

Indirizzo: abuse*at*telecomitalia*dot*it.

Mandi una mail in inglese agli indirizzi citati con titolo Intrusion o qualcosa del genere e nel testo specifichi che sei stato attaccato da l'ip (completo) alla ora ecc.

Poi devi guardare che tipo di attacco è... Zone Alarm, ad esempio, logga anche i PINGs (su IRC , che non sono attacchi .

P.S.: Dove li hai visti gli IP? Con che Firewall?

Ciao.

[iceone]

lo so che irc non sono attacchi... ma se tu fai il comando /dns nick gli utenti possono vedere il mio ip e mi fanno una bella scansione delle porte...

Prima vedevo gli attacchi alla porta 12345 con Netbus detective..
adesso vedo che zone alarm mi dice che tanti utenti diversi provano ad entrare sulla porta 1031

Ad Esempio mentre sto scrivendo mi dice:

" The firewall has blocked Internet access to your computer (NetBIOS Name) from 4.47.77.xxx (UDP Port 1031)

e non solo sulla 1031

[Nicola]

lo so che irc non sono attacchi... ma se tu fai il comando /dns nick gli utenti possono vedere il mio ip e mi fanno una bella scansione delle porte...

putroppo sì. se vuoi usa irc server che ti mascherano gli IP come azzurra,leanet...

Prima vedevo gli attacchi alla porta 12345 con Netbus detective..

Netbus detective per vedere gli attacchi ti apriva la 12345 e loggava molto probabilmente.

Disinstallalo.

adesso vedo che zone alarm mi dice che tanti utenti diversi provano ad entrare sulla porta 1031

significa che:

- hai la porta 1031 aperta e "provano" ma vengono bloccati da ZA
- ZA controlla tutte le porte e logga chi prova ad accederci anche se sono chiuse


Cmq non so se si possa denunciare se il firewall non ha permesso l'attacco. Credo che siano punibili dalla legge solo gli attacchi che sono riusciti. Ma non è il mio campo la giurisprudenza.

Ciao

[iceone]

Ciao...Dopo aver installato ZoneAlarm sono piu' tranquillo...
anche se vedo che tentano spesso a controllare le porte..

Ps:dato che non ho un indirizzo ip statico perchè ogni volta che mi collego mi viene sempre assegnato lo stesso ip ???
Ps":ho scritto qui il mio problema per non fare un nuovo topic.

[Nicola]

Ps:dato che non ho un indirizzo ip statico perchè ogni volta che mi collego mi viene sempre assegnato lo stesso ip ???

Che tipo di connessione hai? Da quant'è che hai lo stesso IP?

Io con ADSL Alice (senza IP statico) l'IP rimane lo stesso anche per una settimana

Ciao

[iceone]

Anche io ho Alice...
Dato che è capitato anche a te allora sto tranquillo....
E' da ieri che ho lo stesso ip...

Ne approfitto per un ulteriore dubbio...
E' possibile tramite qualche comando da IRC risalire al nick dal'ilndirizzo IP??? C'è uno che mi fa sempre un port scanner...

Colgo l'occasione per ringraziarvi tutti per il vostro aiuto... Iceone

[Nicola]

Anche io ho Alice...
Dato che è capitato anche a te allora sto tranquillo....
E' da ieri che ho lo stesso ip...

Un giorno è anche poco

E' possibile tramite qualche comando da IRC risalire al nick dal'ilndirizzo IP??? C'è uno che mi fa sempre un port scanner...

Putroppo no. Dovresti provare i nicks che ritieni rei e controllare l'IP. Lo possono fare solo gli IRC Operators (quelli che nel whois hanno +N, Network Root )

Colgo l'occasione per ringraziarvi tutti per il vostro aiuto...

Prego

Ciao, Nicola.