2. Forum
  3. Hardware e Software
  4. Connessioni ADSL/VDSL/FTTC
  5. Firewall
« precedente successivo »
Pagine: [1]   Vai giù

Firewall

  • 4 Risposte
  • 5979 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

*

Offline Gengis

  • Nuovo Iscritto
  • *
  • 6
Firewall
« il: 11 Novembre 2004, 16:56 »
Ciao a tutti, nei log del router trovo spesso queste voci:

[FIREWALL]Up 926 mins 23 secs
Net_Bus_Scan:TCP,src:ip:61.41.236.16,dst:port:12345
[FIREWALL]Up 1014 mins 44 secs-Net_Bus_Scan:TCP,src:ip:81.11.163.150,dst:port:12345
[FIREWALL]Up 1033 mins 47 secs-Net_Bus_Scan:TCP,src:ip:62.37.134.165,dst:port:12345

Cosa vuole dire?L'intrusione è stata bloccata oppure no?
Ciao e thx per l'eventuale aiuto. ;)
« Ultima modifica: 11 Novembre 2004, 16:57 da Gengis »
Connesso
*

Offline Max

  • Ex-Staff
  • Membro Anziano
  • *****
  • 363
  • Sesso: Maschio
    • http://www.massimostellin.it
Firewall
« Risposta #1 il: 11 Novembre 2004, 19:15 »
Ciao,
non sono proprio delle vere intrusioni, c'è qualcuno che sulla rete scansioni ip alla ricerca di varchi nella porta 12345, questo può essere fatto volontariamente tramite qualche programmino di scansione delle porte oppure da qualche virus che vuole diffondersi in altri pc.

Cmq si contento che il tuo firewall funziona bene.

ciao ciao
Connesso
*

Offline Gengis

  • Nuovo Iscritto
  • *
  • 6
Firewall
« Risposta #2 il: 13 Novembre 2004, 21:31 »
Citazione
Ciao,
non sono proprio delle vere intrusioni, c'è qualcuno che sulla rete scansioni ip alla ricerca di varchi nella porta 12345, questo può essere fatto volontariamente tramite qualche programmino di scansione delle porte oppure da qualche virus che vuole diffondersi in altri pc.

Cmq si contento che il tuo firewall funziona bene.

ciao ciao
Grazie.... :D  
Connesso
*

Offline r0ck069

  • Ex-Staff
  • Membro Anziano
  • *****
  • 254
Firewall
« Risposta #3 il: 17 Novembre 2004, 10:05 »
se serve aggiungo la mia:

la 12345 potrebbe anche esser utilizzata dall'antivirus per aggiornarsi,ma dovrebbe venire poi richiusa....ma e' anche una delle porte usate da alcuni trojan...

prova a metter su sygate personal firewall.. che ha una gestione avanzata del log e delle rules (alleggerendo il filtro del firewall momentaneamente se possibile) cosi vedi meglio cosa ti tenta di passare...

da come ti arrivano da piu ip e se sono ravvicinate tra di loro in ordine di tempo, non vorrei che tu avessi qualcosa sul pc tipo malware o trojan....

calcola che di norma avendo un p2p attivato da qualche oretta (e quindi avere un considerevole numero di sock tcp aperti) , un firewall su questo pc potrebbe arrivare a filtrare un centinaio di "probabili" scansioni in un ora...non tutte pero' potrebbero essere reali malintenzionati,forse solo dei pc infetti di utenti ignari.....

i worm piu' moderni effettuano delle scansioni degli ip di classe molto simile alla tua
esempio:
se tu hai 82.104.115.15 e supponiamo hai un worm dentro (Sasser blaster), i primi ip che va' a tentare di infettare saranno per il 70% del tempo/cpu a sua disposizione(del worm) dedicati a "spazzolare" gli 82.104.115.x (dove x=1-255)  e poi cosi via allargandosi a macchia d'olio...il rimanente tempo/cpu a sua disposizione , lo dedichera' a spazzolare IP rimanente in maniera random sulla rete...
« Ultima modifica: 17 Novembre 2004, 10:07 da r0ck069 »
Connesso
..nella nostra inviolabilita' e' racchiusa la nostra  saggezza... . . .
*

Offline Max

  • Ex-Staff
  • Membro Anziano
  • *****
  • 363
  • Sesso: Maschio
    • http://www.massimostellin.it
Firewall
« Risposta #4 il: 17 Novembre 2004, 12:08 »
allora la porta 12345 da un vecchissimo trojan di nome NetBus e la si usa proprio per instaurare collegamenti per comandare in remoto il pc infettato.

In genere la scansione di questo trojan viene fatta ancora da molti script per client irc denominati "da guerra" quindi è normalissimo trovare quei log del firewall soprattutto se si frequenta server irc dove non criptano l'indirizzo ip del client tipo il network ircnet.

Ciao

 
Connesso
Pagine: [1]   Vai su
« precedente successivo »