Ciao a tutti .Ho un problema con zoneAllarm da un po di giorni mi vengono segnalati tentativi di intrusioni o presunte tali praticamente l'indirizzo Ip N°1.96.56.83 ed il N°1.96.56.74 ed anche il N°1.9716.52 mi fa scattare zoneAllarm ed dove appare la scritta Destination DNS invece del nome del mio pc con il quale vengo riconoscito dalla rete mi appare il nome daniele.residential ed il nome silvestri.residential che non so chi sia.Insomma chi mi sa spiegare cosa vogliono dire queste cose e se mi devo preoccupare ed ancora come mai questo succede ora e non è mai successo prima non è che la rete di Fastweb non è piu sicura ?A dimenticavo io uso la fibra se la cosa puo influenzare la vostra eventuale spiegazione al mio problema.Se servissero altre informazione o non dovessi essere stato abbastanza chiaro nel spiegare il mio problema saro ben lieto di fornire altre informazioni.Grazie e ciao a tuttiAiuto. hackers ?
-
simone98
- Novizio
OFFLINE
- Iscritto il: 02 mar 2021
Ciao a tutti .Ho un problema con zoneAllarm da un po di giorni mi vengono segnalati tentativi di intrusioni o presunte tali praticamente l'indirizzo Ip N°1.96.56.83 ed il N°1.96.56.74 ed anche il N°1.9716.52 mi fa scattare zoneAllarm ed dove appare la scritta Destination DNS invece del nome del mio pc con il quale vengo riconoscito dalla rete mi appare il nome daniele.residential ed il nome silvestri.residential che non so chi sia.Insomma chi mi sa spiegare cosa vogliono dire queste cose e se mi devo preoccupare ed ancora come mai questo succede ora e non è mai successo prima non è che la rete di Fastweb non è piu sicura ?A dimenticavo io uso la fibra se la cosa puo influenzare la vostra eventuale spiegazione al mio problema.Se servissero altre informazione o non dovessi essere stato abbastanza chiaro nel spiegare il mio problema saro ben lieto di fornire altre informazioni.Grazie e ciao a tutti
-
maxy
- Membro Onorario
OFFLINE
- Iscritto il: 08 gen 2021
Posso dirti che 999 su 1000, quegli alert sono assolutamente privi di qualunque perniciosità, ti consiglio di disattivare la visualizzazione degli alert ed usa un buon antivirus.
Io sono 10 giorni che subisco presunti tentativi di intrusione sempre sulla porta 135 (esiti del worm??? boh???) in quantità industriali, ma tutto mi funge bene , non ho problemi e vivo tranquillo.
Se poi mi rompo le balle un giorno chiamerò mamma Fastweb
Io sono 10 giorni che subisco presunti tentativi di intrusione sempre sulla porta 135 (esiti del worm??? boh???) in quantità industriali, ma tutto mi funge bene , non ho problemi e vivo tranquillo.
Se poi mi rompo le balle un giorno chiamerò mamma Fastweb
-
tmaxv6
- SUPER MODERATORE
OFFLINE
- Iscritto il: 03 mar 2021
Dalla ristrutturazione del NAT a parecchi utenti succede la stessa cosa.
Forse i firewall stanno impazzendo.
Forse i firewall stanno impazzendo.
-
synapse
- Vecchio Saggio
OFFLINE
- Iscritto il: 07 feb 2021
gli IP da te citati risultano tutti essere interni alla rete fastweb in qualità di router o similari o comunque IP non abbinati a postazioni di utenti 
W VisualRoute
: [ Link visibile solo agli utenti registrati ] 
W VisualRoute
: [ Link visibile solo agli utenti registrati ] -
littlesantashelper
- Vecchio Saggio
OFFLINE - Iscritto il: 29 gen 2021
Synapse, non ne sarei cosi`sicuro : )
Saltando il secondo IP, in quanto probabilmente usato dalla stessa persona, vediamo il terzo ...
Codice: [ Link visibile solo agli utenti registrati ]
divxworld:~# nmap -O 1.96.56.83
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on (1.96.56.83):
(The 1548 ports scanned but not shown below are in state: closed)
Port State Service
135/tcp filtered loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
707/tcp open unknown
1025/tcp open listen
5000/tcp open fics
Remote OS guesses: MS Windows2000 Professional RC1/W2K Advance Server Beta3, Windows Millenium Edition v4.90.3000
Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds
divxworld:~#
Codice: [ Link visibile solo agli utenti registrati ]
divxworld:~# nmap -O 1.97.16.52
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on (1.97.16.52):
(The 1545 ports scanned but not shown below are in state: closed)
Port State Service
135/tcp filtered loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
707/tcp open unknown
1025/tcp open listen
3389/tcp open msrdp
5000/tcp open fics
5800/tcp open vnc
5900/tcp open vnc-http
Remote operating system guess: Windows 2000 Professional, Build 2183 (RC3)
Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds
divxworld:~#
-
@-randa-@
- Membro semplice
OFFLINE
- Iscritto il: 06 feb 2021
daniele e silvestri (residential.Fastweb) sono i nostri DNS server!
Non ho mai visto ZoneAlarm.. capita che alcuni IDS riconoscano le transizioni dei DNS come attacchi.. è uno dei falsi positivi + comuni..
Al 192193 (e sulle news sulla MyFastPage) dicono che hanno chiuso la 135 per arginare l'epidemia del BlasterWorm! La riapriranno quando la proliferazione si sarà ridotta.
Per gli altri IP, che dallo scan di little sembrano utenti comuni, ZoneAlarm non diceva che cosa stavano facendo oltre a segnalare l'intrusione (o tentativo)?
x little:
ocio con nmap a non beccarti qualche segnalazione all'abuse!
Non ho mai visto ZoneAlarm.. capita che alcuni IDS riconoscano le transizioni dei DNS come attacchi.. è uno dei falsi positivi + comuni..
Al 192193 (e sulle news sulla MyFastPage) dicono che hanno chiuso la 135 per arginare l'epidemia del BlasterWorm! La riapriranno quando la proliferazione si sarà ridotta.
Per gli altri IP, che dallo scan di little sembrano utenti comuni, ZoneAlarm non diceva che cosa stavano facendo oltre a segnalare l'intrusione (o tentativo)?
x little:
ocio con nmap a non beccarti qualche segnalazione all'abuse!
-
maxy
- Membro Onorario
OFFLINE - Iscritto il: 08 gen 2021
l'avranno pure chiusa la 135, ma sul log alerts di ZA, nelle ultime 2 ore risultano 12 tentativi di intrusione 
Bohhhhh 
Bohhhhh -
tmaxv6
- SUPER MODERATORE
OFFLINE - Iscritto il: 03 mar 2021
Regola "Blocco predefinito EPMAP" nascosta (14.1.>< >< ><.>< >< ><,epmap(135))
Connessione TCP in entrata
Indirizzo locale, servizio: (xxxcasa(14.1.>< >< ><.>< >< ><),epmap(135))
Indirizzo remoto, servizio: (14.1.>< >< ><.>< >< ><,1410)
Nome processo: "C:\WINDOWS\system32\svchost.exe"
parlate di questo?
qui tre tentativi con numeri diversi.
Connessione TCP in entrata
Indirizzo locale, servizio: (xxxcasa(14.1.>< >< ><.>< >< ><),epmap(135))
Indirizzo remoto, servizio: (14.1.>< >< ><.>< >< ><,1410)
Nome processo: "C:\WINDOWS\system32\svchost.exe"
parlate di questo?
qui tre tentativi con numeri diversi.
Ultima modifica il 07/09/2003, 17:20, modificato 1 volta in totale.
-
tmaxv6
- SUPER MODERATORE
OFFLINE - Iscritto il: 03 mar 2021
Regola "Regola blocco implicito" bloccata (magnews-db.b2biscom.it(213.140.1.xx),http(80))
Connessione TCP in uscita
Indirizzo locale, servizio: (0.0.0.0,3836)
Indirizzo remoto, servizio: (magnews-db.b2biscom.it(213.140.1.38),http(80))
Nome processo: "C:\Programmi\IncrediMail\bin\IncMail.exe"
10 volte consecutive
Indirizzo locale, servizio:(0.0.0.0,3837,8,9,40,41,42,43,44,45,46.
è grave quello che ho postato.
Connessione TCP in uscita
Indirizzo locale, servizio: (0.0.0.0,3836)
Indirizzo remoto, servizio: (magnews-db.b2biscom.it(213.140.1.38),http(80))
Nome processo: "C:\Programmi\IncrediMail\bin\IncMail.exe"
10 volte consecutive
Indirizzo locale, servizio:(0.0.0.0,3837,8,9,40,41,42,43,44,45,46.
è grave quello che ho postato.
-
littlesantashelper
- Vecchio Saggio
OFFLINE - Iscritto il: 29 gen 2021
Potrei anche sbagliarmi, ma se non erro si tratta del famigerato [ Link visibile solo agli utenti registrati ] ... colgo l'occasione per consigliare a tutti gli utenti NT di installare l'aggiornamento "[ Link visibile solo agli utenti registrati ]" e di fare un bell'update al proprio antivirus.tmaxv6 ha scritto:Regola "Blocco predefinito EPMAP" nascosta (14.1.>< >< ><.>< >< ><,epmap(135))
Connessione TCP in entrata
Indirizzo locale, servizio: (xxxcasa(14.1.>< >< ><.>< >< ><),epmap(135))
Indirizzo remoto, servizio: (14.1.>< >< ><.>< >< ><,1410)
Nome processo: "C:\WINDOWS\system32\svchost.exe"
-
maxy
- Membro Onorario
OFFLINE - Iscritto il: 08 gen 2021
mmmmm, non sono convinto che si tratti del famigerato worm, quello si presentava come MSblast.exe.
comunque come più volte ribadito, anche in assenza di segni del worm(il famoso countdown...) il consiglio di Litt è sacrosanto.
Se poi si vogliono fare le cose ancora più sicure usare il tool di symantec o simili per scansionare il pc.
comunque come più volte ribadito, anche in assenza di segni del worm(il famoso countdown...) il consiglio di Litt è sacrosanto.
Se poi si vogliono fare le cose ancora più sicure usare il tool di symantec o simili per scansionare il pc.
-
tmaxv6
- SUPER MODERATORE
OFFLINE - Iscritto il: 03 mar 2021
Tranquilli il virus non c'è mai preso.
Per me, visto che con i nuovi Cisco la porta 135 non era stata abilitata a causa del worm ora stanno facendo lavori di recupero e danno questi segnali.
Spiegato male ma voi capite lo stesso
Per me, visto che con i nuovi Cisco la porta 135 non era stata abilitata a causa del worm ora stanno facendo lavori di recupero e danno questi segnali.
Spiegato male ma voi capite lo stesso
-
littlesantashelper
- Vecchio Saggio
OFFLINE - Iscritto il: 29 gen 2021
Infatti il virus in teoria potrebbe averlo chi ti fa l'attacco, non tu :>tmaxv6 ha scritto:Tranquilli il virus non c'è mai preso.
comunque speriamo che passi :D
-
Valeren
- Vecchio Saggio
OFFLINE - Iscritto il: 26 gen 2021
135 filtrata sul NAT.maxy ha scritto:l'avranno pure chiusa la 135, ma sul log alerts di ZA, nelle ultime 2 ore risultano 12 tentativi di intrusione
Dentro te la deve parare il firewall.
-
simone98
- Novizio
OFFLINE - Iscritto il: 02 mar 2021
Grazie a tutti siete stati molto gentili e espliciti nelle vostre spiegazioni ora so che non sono solo e quando ho un problema so su chi posso contare .Ancora grazie e faro tesoro dei vostri consigli Ciao a tutti e alla prossima.-
Riot1967
- Novizio
OFFLINE - Iscritto il: 25 mag 2021
Allora, ieri riavvio improvviso del computer ( finestra di countdown ),
subito ho pensato di essermi beccato sto Blaster, ma dopo il riavvio nonostante controllando zone allarm, avevo continui attacchi sulla 135, ho pacciato XP e l'ho controllato con il tool di symantec. Niente Worm...Coincidenze ??????
Possibile che siano passati oltre il firewall ?
subito ho pensato di essermi beccato sto Blaster, ma dopo il riavvio nonostante controllando zone allarm, avevo continui attacchi sulla 135, ho pacciato XP e l'ho controllato con il tool di symantec. Niente Worm...Coincidenze ??????
Possibile che siano passati oltre il firewall ?
-
tmaxv6
- SUPER MODERATORE
OFFLINE - Iscritto il: 03 mar 2021
Leggi i post precedenti, può dipendere dalla ristrutturazione Nat che di defaut non ha abilitato la porta 135. Se hai effettuato le installazioni delle pach di win e il sistema antivirus è aggiornato non dovresti avere problemi avendo effettuato le procedure di controllo nella maniera giusta.
-
Riot1967
- Novizio
OFFLINE - Iscritto il: 25 mag 2021
Li ho letti i post precedenti , ( e sono anche tranquillo sulla non presenza del Worm ) il fatto era che ho avuto quel countdown ( riconducibile al Blaster, ma non solo comunque ) e vi chiedevo se era x l'appunto una coincidenza o........ ( vedi post )
, ( e sono anche tranquillo sulla non presenza del Worm ) il fatto era che ho avuto quel countdown ( riconducibile al Blaster, ma non solo comunque ) e vi chiedevo se era x l'appunto una coincidenza o........ ( vedi post )-
tmaxv6
- SUPER MODERATORE
OFFLINE - Iscritto il: 03 mar 2021
L'unica cosa che ti posso dire è:tieni sotto controllo il tutto. Vedi se il problema continua o si esaurisce altro non so che dire.
In bocca al lupo.
In bocca al lupo.