[ImoLUG] ok, ma solo per movimentare un po' la lista ...

[Daniele]

Franco Tampieri - OpenSource IT Freelancer ha scritto:
> Leggo solo adesso la lista di messaggi...

Rispondo solo all'ultimo messaggio...

> Allora ci sono una serie di cose che non mi sono proprio chiare... 
> allora partiamo per punti:
> 
> 1 - sospetto di scansione sulle porte... ma come hai fatto ad 
> accorgentene? Hai una specie di programmello NDS? Oppure un software 
> come portsentry? se lo ha visto dai log di firestarter direi che non è 
> proprio indicativo...

Bhe tutto è nato dal controllo curioso del log di Firestarter (la 
sezione "eventi") perchè venivano segnalati 18 contatti definiti pericolosi.
Durante la sua attività, Firestarter segnala sempre qualche contatto 
"pericoloso" (Microsodft-ds, di solito) ma 18 non mi era mai capitato. 
Ora sono a casa in ferie ed avendo un pochino più di tempo mi sono messo 
a controllare. Lo sapete, sono curioso non un tecnico e così per non 
prendere luci per lanterne ho scritto in lista, confrontandomi con voi.
Comunque.
1- in effetti 37.231.70.249 è la mia scheda eth0. Sono stato un pirla a 
non guardare "conky" .. ce l'ho sotto al naso... ma ancora non riesco ad 
abituarmi che su fastweb gli ip non sono i soliti 192.....
2- Come spesso succede le colonne della sezione eventi sono diverse ed 
io non le vedevo tutte. Con TUTTE le colonne appare un po' più chiaro.
3- rimane il fatto, però, che "qualcuno/qualche cosa" abbia cercato di 
scansionare più porte possibili durante la notte, o perlomeno durante 
tutto il periodo che aMule era connesso alla rete.
Purtroppo quel log non l'ho più, ma non devo spergiurare per farmi credere.


> 2 - analizziamo i servizi che hai segnalato:
...
> se vai su questo utile servizio, che segnalo a te e anche agli altri, 
> puoi confrontare se l'IP fa parte di una blacklist, tieni conto che per 
> essere decisamente veritiero le segnalazioni (i pallini rossi per 
> intenderci) debbono essere almeno + di 1!

> http://whatismyipaddress.com/staticpages/index.php/is-my-ip-address-blacklisted

Grazie, veramente comodo. Tranquillizza :-D


> 3 - se tutto questo non ti soddisfa inizia a pensare ad installarti 
> portsentry e fail2ban in questo modo avresti uno strumento che ti 
> segnala ogni tentativo di portscan anche in modalità stealth e che 
> volendo possono inibire l'attaccante droppando temporaneament ei 
> pacchetti che vengono da quella sorgente IP...

Ci penso ... funzionano assieme? Sono complessi da configurare? Sono 
strumenti professionali e quindi di difficile utilizzo/comprensione?


> P.S. Vuoi avvisare la Polizia Postale? Beh se non hai nulla di illegale 
> sul pc puoi farlo :P :D

Bè ... per adesso aspetto.
Comunque ogni tanto tenativi di phishing ben fatti li ho segnalati... ed 
ho la soddisfazione di aver contribuito in almeno un caso a bloccare il 
crahcker

GRAZIE a tutti!! Fabrizio, Valerio, Franco e tutto l'Imolug!!
:-)

Daniele Z.
-- 
Sto lavorando duro per prepare il mio prossimo errore
               Bertolt Brecht

Linux user # 404412 - Ubuntu User # 17027
---
Rispetta l'ambiente: se non ti è necessario, non stampare questa mail.
---
il presente messaggio è stato ricevuto e reinviato ad amici/che della 
mia mailing list; chi volesse essere cancellato dall'indirizzario 
risponda con un messaggio vuoto indicando, quale oggetto: "cancellami", 
ricordo che, per garantire la riservatezza del mittente e dei 
destinatari, è raccomandabile la cancellazione dei medesimi in caso di 
ulteriori inoltri del messaggio.