potrebbe essere un problema?

serglasser · 20-12-2007, 19.01.32

Salve ragazzi è un po di tempo che kaspersky6 con tutte le impostazioni elevate mi rivela intrusione da worm solitamente su porta 1434 e 445,oggi stranamente sulla 4662.A mio parere direi che nn è un worm in automatico che fa scansioni ip,ma bensi una singola persona fisica che fa degli attacchi,premetto che ho anche listener port,vi scrivo il rapporto dettagliato di Kaspersky,ditemi a riguardp consigli,o se sbaglio che qualcuno vuole attacarmi?anche se nn otterra nulla.
20/12/2007 19.04.47 Intrusion.Win.MSSQL.worm.Helkern! IP di provenienza dell'attacco: 210.45.210.27. Protocollo/servizio: UDP sulla porta locale 1434 . Ora: 20/12/2007 19.04.47.
20/12/2007 19.21.06 Intrusion.Win.MSSQL.worm.Helkern! IP di provenienza dell'attacco: 136.1.7.55. Protocollo/servizio: UDP sulla porta locale 1434 . Ora: 20/12/2007 19.21.06.
20/12/2007 19.38.29 Intrusion.Generic.TCP.Flags.Bad.Combine.attack! IP di provenienza dell'attacco: 151.50.3.106. Protocollo/servizio: TCP sulla porta locale 4662 . Ora: 20/12/2007 19.38.29.
Se per cortesia sapreste indicarmi se ci sono possibilita per risalire a questo individuo grazie antipatamente

THÊ §T®ÕKÊ® · 21-12-2007, 13.33.54

Mah non saprei, anche io ricevo spesso questi messaggi dal firewall e la maggior parte delle volte sn solo ip di aziende che si connettono al pc per fare sondaggi tipo il tot persone usano la scheda madre di questo tipo eccetera eccetera..

Comuque con zonealarm io posso vedere da li dove si trova lip che si è connesso a me :)

Dato che usi Kaspersy prova a dare un occhiata QUI

Buona Fortuna :)

serglasser · 21-12-2007, 14.42.42

Grazie per la risposta e l'altra informazione, che mi è stata utilissima,ho verificato e nella maggior parte delle volte si collega ad un proxy.a meno dell'ultimo attacco S.Miniato Pistoia dove era l'indirizzo ip da cui è partito il tutto.Se si diverte lasciamolo fare,prima o poi ce lascia lo zampino,essendo sotto natale lo Zampone.Auguri a tutti per le feste,a presto.

jarod1981® · 21-12-2007, 22.30.13

Ciao Serglasser

Ricordiamoci sempre che nessuno dei servizi per il rintraccio degli indirizzi IP fornisce delle certezze, quindi andiamo sempre con la massima cautela, perchè potremmo tranquillamente prendere fischi per fiaschi.
Riguardo la scansione delle porte, potrebbe essere stata fatta tranquillamente da altri servizi in automatico, non per forza da normali utenti dietro un PC.
Ti consiglio due cose se vuoi, informati sulle Porte che ti hanno attaccato, a quale servizio appertengono, e cerca informazioni sul Worm del testo che hai copiato.

Dopo aver fatto ciò, avrai sicuramente una visione più chiara dell'accaduto :)

Saluti

serglasser · 22-12-2007, 05.18.13

Lista a cui fanno uso queste porte
445/udpMicrosoft-DS SMB file sharing
1434/tcpMicrosoft-SQL-Monitor1434/udpMicrosoft-SQL-Monitor
A rischio o no? Gli esperti di sicurezza (specie in ambito Windows) non sanno trovare una risposta univoca. Dopo la patch MS05-027 rilasciata due settimane fa per ovviare a una propria errata implementazione del protocollo Smb (che permette la condivisione di file e risorse in rete), i ricercatori di Symantec hanno lanciato un allarme ben preciso.
Un incremento del traffico sulla porta 445/Tcp (relativa al servizio incriminato) potrebbe essere il preludio a una serie di attacchi di rete finalizzati a compromettere i Pc non aggiornati: tanto più che, nel frattempo, la francese FrSIRT (French security incident response team) ha pubblicato l'exploit per le vulnerabilità descritte nella patch MS05-011. Che - non a caso - è relativa ad altri bug di Windows in tema di condivisione di file e risorse.
C'è da temere un revival di quanto accaduto più di due anni fa con Slammer, l'infausto worm capace di mettere in ginocchio le Poste italiane, e che ricercava un bug noto di Microsoft Sql Server con ripetute scansioni sulla porta 1434/Udp? Difficile dirlo.
John Pescatore di Gartner parla di "evoluzione altamente prevedibile" legata all'incremento di traffico di rete sulla porta incriminata. Altri sottolineano invece come l'exploit per Smb che attualmente circola non sia direttamente legato all'ultimissimo bug di casa Microsoft.
Sotto tiro, quindi, ma fino a che punto? E, soprattutto, fino a quando? Molte versioni di Windows, comprese quelle indicate per erogare servizi, usano la porta 445/Tcp per eseguire Smb in ambito Intranet o Internet e permettere la condivisione di file e stampanti tra macchine remote. Ovvio, quindi, che ogni sentore legato all'attività di rete suoni come un campanello d'allarme, ma Slammer sembra ancora lontano: sia perché, dalla sua comparsa, Microsoft ha automatizzato il modello di rilascio delle patch, sia perché non si è ancora verificato un picco di attività così significativo da rappresentare una minaccia tangibile.

Oltre a Microsoft - "Il nostro Microsoft security response center non ha ricevuto indicazioni di attività sospette legate alla patch più recente per Smb" recita un comunicato ufficiale - a questa categoria appartiene l'autorevole Sans Institute.
"C'è un'attività fisiologica [sulla porta 445, n. d. r.] - ha dichiarato Marcus Sachs, responsabile della sezione Internet storm center di Sans - ma non sembra legata a questioni o vulnerabilità particolari. Non so cosa abbiano rilevato i sensori di Symantec, ma noi abbiamo registrato un picco significativo per una sola giornata". E quindi? "Quindi Internet non sta per collassare" è la conclusione che non lascia spazio a dubbi.
Nel frattempo, è utile ricorrere a un firewall software. E, magari, controllare che la condivisione di file e stampanti sul diffuso firewall di Windows Xp Service Pack 2, se abilitata, si limiti al solo ambito Intranet.

Come mi proteggo?
In tanti modi
Con un sistema operativo decente
Con software aggiornato
Rimanendo informati
Cercando di capire come funzionano veramente le cose
E con le solite cose noiose (backup, password...)

37
Per chiudere,1)grazie delle informazioni,2)penso di lasciare inalterato tutto,perche nn passerà mai il worm.3)credevo che una singola persona in qualche modo attaccasse con questi worm,anche se nn lo do per scontato a tutti gli effetti,rimarro con la guardia alzata.Grazie della vostra collaborazione.

20-12-2007, 19.01.32	#1
serglasser Utente Data registrazione: 18-12-2007 Residenza: roma Messaggi: 4	potrebbe essere un problema? Salve ragazzi è un po di tempo che kaspersky6 con tutte le impostazioni elevate mi rivela intrusione da worm solitamente su porta 1434 e 445,oggi stranamente sulla 4662.A mio parere direi che nn è un worm in automatico che fa scansioni ip,ma bensi una singola persona fisica che fa degli attacchi,premetto che ho anche listener port,vi scrivo il rapporto dettagliato di Kaspersky,ditemi a riguardp consigli,o se sbaglio che qualcuno vuole attacarmi?anche se nn otterra nulla. 20/12/2007 19.04.47 Intrusion.Win.MSSQL.worm.Helkern! IP di provenienza dell'attacco: 210.45.210.27. Protocollo/servizio: UDP sulla porta locale 1434 . Ora: 20/12/2007 19.04.47. 20/12/2007 19.21.06 Intrusion.Win.MSSQL.worm.Helkern! IP di provenienza dell'attacco: 136.1.7.55. Protocollo/servizio: UDP sulla porta locale 1434 . Ora: 20/12/2007 19.21.06. 20/12/2007 19.38.29 Intrusion.Generic.TCP.Flags.Bad.Combine.attack! IP di provenienza dell'attacco: 151.50.3.106. Protocollo/servizio: TCP sulla porta locale 4662 . Ora: 20/12/2007 19.38.29. Se per cortesia sapreste indicarmi se ci sono possibilita per risalire a questo individuo grazie antipatamente

21-12-2007, 13.33.54	#2
THÊ §T®ÕKÊ® Limited Edition Data registrazione: 14-12-2006 Residenza: Melfi Messaggi: 2,270	Riferimento: potrebbe essere un problema? Mah non saprei, anche io ricevo spesso questi messaggi dal firewall e la maggior parte delle volte sn solo ip di aziende che si connettono al pc per fare sondaggi tipo il tot persone usano la scheda madre di questo tipo eccetera eccetera.. Comuque con zonealarm io posso vedere da li dove si trova lip che si è connesso a me :) Dato che usi Kaspersy prova a dare un occhiata QUI Buona Fortuna :) __________________

21-12-2007, 14.42.42	#3
serglasser Utente Data registrazione: 18-12-2007 Residenza: roma Messaggi: 4	Riferimento: potrebbe essere un problema? Grazie per la risposta e l'altra informazione, che mi è stata utilissima,ho verificato e nella maggior parte delle volte si collega ad un proxy.a meno dell'ultimo attacco S.Miniato Pistoia dove era l'indirizzo ip da cui è partito il tutto.Se si diverte lasciamolo fare,prima o poi ce lascia lo zampino,essendo sotto natale lo Zampone.Auguri a tutti per le feste,a presto.

21-12-2007, 22.30.13	#4
jarod1981® Webmaster Master Coder Data registrazione: 20-12-2005 Residenza: Dove il mare luccica ;-) Messaggi: 11,209	Riferimento: potrebbe essere un problema? Ciao Serglasser Ricordiamoci sempre che nessuno dei servizi per il rintraccio degli indirizzi IP fornisce delle certezze, quindi andiamo sempre con la massima cautela, perchè potremmo tranquillamente prendere fischi per fiaschi. Riguardo la scansione delle porte, potrebbe essere stata fatta tranquillamente da altri servizi in automatico, non per forza da normali utenti dietro un PC. Ti consiglio due cose se vuoi, informati sulle Porte che ti hanno attaccato, a quale servizio appertengono, e cerca informazioni sul Worm del testo che hai copiato. Dopo aver fatto ciò, avrai sicuramente una visione più chiara dell'accaduto :) Saluti __________________

22-12-2007, 05.18.13	#5
serglasser Utente Data registrazione: 18-12-2007 Residenza: roma Messaggi: 4	Riferimento: potrebbe essere un problema? Lista a cui fanno uso queste porte 445/udpMicrosoft-DS SMB file sharing 1434/tcpMicrosoft-SQL-Monitor1434/udpMicrosoft-SQL-Monitor A rischio o no? Gli esperti di sicurezza (specie in ambito Windows) non sanno trovare una risposta univoca. Dopo la patch MS05-027 rilasciata due settimane fa per ovviare a una propria errata implementazione del protocollo Smb (che permette la condivisione di file e risorse in rete), i ricercatori di Symantec hanno lanciato un allarme ben preciso. Un incremento del traffico sulla porta 445/Tcp (relativa al servizio incriminato) potrebbe essere il preludio a una serie di attacchi di rete finalizzati a compromettere i Pc non aggiornati: tanto più che, nel frattempo, la francese FrSIRT (French security incident response team) ha pubblicato l'exploit per le vulnerabilità descritte nella patch MS05-011. Che - non a caso - è relativa ad altri bug di Windows in tema di condivisione di file e risorse. C'è da temere un revival di quanto accaduto più di due anni fa con Slammer, l'infausto worm capace di mettere in ginocchio le Poste italiane, e che ricercava un bug noto di Microsoft Sql Server con ripetute scansioni sulla porta 1434/Udp? Difficile dirlo. John Pescatore di Gartner parla di "evoluzione altamente prevedibile" legata all'incremento di traffico di rete sulla porta incriminata. Altri sottolineano invece come l'exploit per Smb che attualmente circola non sia direttamente legato all'ultimissimo bug di casa Microsoft. Sotto tiro, quindi, ma fino a che punto? E, soprattutto, fino a quando? Molte versioni di Windows, comprese quelle indicate per erogare servizi, usano la porta 445/Tcp per eseguire Smb in ambito Intranet o Internet e permettere la condivisione di file e stampanti tra macchine remote. Ovvio, quindi, che ogni sentore legato all'attività di rete suoni come un campanello d'allarme, ma Slammer sembra ancora lontano: sia perché, dalla sua comparsa, Microsoft ha automatizzato il modello di rilascio delle patch, sia perché non si è ancora verificato un picco di attività così significativo da rappresentare una minaccia tangibile. *Oltre a Microsoft - "Il nostro Microsoft security response center* non ha ricevuto indicazioni** di attività sospette legate alla patch più recente per Smb" recita un comunicato ufficiale - a questa categoria appartiene l'autorevole Sans Institute. "C'è un'attività fisiologica [sulla porta 445, n. d. r.] - ha dichiarato Marcus Sachs, responsabile della sezione Internet storm center di Sans - ma non sembra legata a questioni o vulnerabilità particolari. Non so cosa abbiano rilevato i sensori di Symantec, ma noi abbiamo registrato un picco significativo per una sola giornata". E quindi? "Quindi Internet non sta per collassare" è la conclusione che non lascia spazio a dubbi. Nel frattempo, è utile ricorrere a un firewall software. E, magari, controllare che la condivisione di file e stampanti sul diffuso firewall di Windows Xp Service Pack 2, se abilitata, si limiti al solo ambito Intranet. Come mi proteggo? In tanti modi Con un sistema operativo decente Con software aggiornato Rimanendo informati Cercando di capire come funzionano veramente le cose E con le solite cose noiose (backup, password...) 37 Per chiudere,1)grazie delle informazioni,2)penso di lasciare inalterato tutto,perche nn passerà mai il worm.3)credevo che una singola persona in qualche modo attaccasse con questi worm,anche se nn lo do per scontato a tutti gli effetti,rimarro con la guardia alzata.Grazie della vostra collaborazione.

Strumenti discussione
Visualizza versione stampabile Invia questa pagina via e-mail
Modalità visualizzazione
Modalità lineare Modalità ibrida Modalità elencata