NETSPY su LAN

[Argonauta]

Con un paio di utility di Secure Scan della mia rete LAN aziendale ho rilevato che la porta 1024 (netspy) è in listening. Ho cercato e ricercato info al riguardo e ho un paio di dubbi al riguardo:

1- NetSpy è un trojan che si installa su un pc, come è possibile che sia presente su una rete? Basta che ci sia un PC infetto perchè risulti la porta 1024 aperta all'esterno?

2- Ma allora se solo un PC è infetto, come è possibile che il firewall non blocchi la suddetta porta? Probabilmente è male configurato....ok, ma è possibile che sia presente proprio sul firewall il trojan? (Il firewall è un PC linux, non so se esiste NetSpy per Linux....)

A questo punto credo di aver bisogno di un vostro consiglio.

Grazie in anticipo.

PS se il trojan è su un PC, me li devo passare tutti uno per uno per scovarlo oppure esiste qualcosa che controlla in rete? Ho trovato TFAK5 (removetool per trojan) che controlla anche il dominio e la rete (in generale... ???) .... solo che non funziona.... errore sul winsock (non ho W95). Altre utility simili eventualmente?

Mi affido alla vostra "sapienza", ciao

[Nicola]

ci devi dare più info.. con che ti connetti a internet? router? se sì hai abilitato il NAT verso la 1024 verso quel PC ? Il SUA verso il suo IP?

[Argonauta]

mmmm... allora....
La Lan è molto incasinata e non so bene proprio tutto.
All'interno c'è un Webserver IIS, Exchange server , DNS e DHCP e ovviamente il tutto collegato con linea dedicata (CDN forse) al ISP. Ovviamente il tutto dentro un "bel" dominio NT e io la scansione di netsecurity l'ho effettuata da un PC W2K SP3 senza NETSPY (verificato con un utility).

La connessione ad internet avviene con router e NAT (cosa cosa? NAT su porta 1024?... mmmm spiegami un po'.....potrebbe essere tutto...)
Per il resto non so dirti altro... spero sia sufficiente per fare un quadro generale...

[Nicola]

allora intendo se sul router è presente un NAT forward della porta 1024 dell'ip pubblico verso l'ip privato del PC infetto... o sennò un Single User Access che forwarda tutte le porte aperte dell'ip privato indicato verso l'ip pubblico di internet

[Argonauta]

No, nulla di tutto ciò. Il problema si presenta anche da altre postazioni con IP differenti.

"o sennò un Single User Access che forwarda tutte le porte aperte dell'ip privato indicato verso l'ip pubblico di internet "

Scusa l'ignoranza ma non so di cosa si tratti quest'ultima cosa....


Ti ringrazio per la velocità con la quale mi rispondi...
ciao

[Nicola]

"o sennò un Single User Access che forwarda tutte le porte aperte dell'ip privato indicato verso l'ip pubblico di internet "

Scusa l'ignoranza ma non so di cosa si tratti quest'ultima cosa....

E' una impostazione presente in molti router che transla tutte le porte indcate nelle impostazioni verso internet.. e se quindi il PC eventualmente indicato ha il torjan si autoforwarda la sua porta.. come tutte le altro

controlla le impostazioni

[Argonauta]

Parlando con un collega 2 minuti fa, ho saputo che hanno bloccato la porta 1024 sul firewall ieri sera.....
ora ho fatto una scansione delle porte aperte da internet e ho ancora la porta 1024 aperta.... forse che uso un servizio "cazzuto"?? http://www.securityspace.com mi sembrano professionali...
E' l'unico dubbio che mi viene.... a meno che, essendo il firewall posizionato tra router e LAN, non sia per l'appunto un problema di impostazioni di router... dubito che però la richiesta di aprire la porta 1024 possa arrivare dall'interno....perchè ho provato due PC entrambi con porta 1024 chiusa e senza NETSPY...

(mi sa che a questo punto NETSPY centra ben poco....)

Grazie mille.

Ciao

[Nicola]

forse il firewall ha bloccato la 1024 ma logga solo i tentativi di accesso e per questo deve lasciarla aperta

[Argonauta]

Farò delle ulteriori verifiche... nel caso ti faccio sapere le novità.
Ti ringrazio dell'aiuto.

Ciao