[Golem] HELP ! Problemi con Internet

stefano bargelli stefano.bargelli@gmail.com
Sab 17 Gen 2015 17:56:04 CET 

Da qualche giorno ho notato che la spia di connessione wifi del mio netbook
"frulla" a più non posso, anche se non ho aperto alcun browser, servizio di
internet (Trasmission et similia).

Se spengo nel pc la connessione wifi al mio router casalingo la spia wifi
correttamente s'acqueta.

Mi è venuto il sospetto che la macchina possa essere diventata uno zombie
di un botnet:

1) ho provato da terminale con ipconfig -a ed effettivamente il totale dei
pacchetti ricevuti si incrementa, ripetendo il comando, senza che io abbia
attivato alcun servizio internet;

2) ho provato anche il comando
sudo netstat -tuapw --numeric-hosts --numeric-ports | grep ESTABLISHED
>log.txt

ed il log salvato mi elenca una serie di indirizzi di rete a me sconosciuti
che ho provato ad identificare, ma NON fanno parte del mio mondo di
connessioni usuali.

Cito di seguito un estratto dal log:

"sudo netstat -tuapw --numeric-hosts --numeric-ports | grep ESTABLISHED >
log.txt
------------------------------------------------------------------------------------------------------------------------
tcp        0      0 192.168.1.3:37843       173.194.67.95:80
ESTABLISHED 4028/firefox
tcp        0      0 192.168.1.3:58061       216.58.210.226:80
ESTABLISHED 4028/firefox
tcp        0      0 192.168.1.3:41364       173.194.40.26:80
ESTABLISHED 4028/firefox
tcp        0      0 192.168.1.3:57716       173.194.40.2:80
ESTABLISHED 4028/firefox
tcp        0      0 192.168.1.3:44871       23.101.68.210:80
ESTABLISHED 4028/firefox
tcp        0      0 192.168.1.3:32966       173.194.66.95:80
ESTABLISHED 4028/firefox
tcp        0      0 192.168.1.3:55427       173.194.40.25:80
ESTABLISHED 4028/firefox
tcp        0      0 192.168.1.3:59697       173.194.112.47:80
ESTABLISHED 4028/firefox
--------------------------------------------------------------------------------------------------------------------------

http://tejji.com per risalire da IP ad URL

173.194.116.25        mil01s19-in-f25.1e100.net
85.235.246.2            track-eu.adform.net
74.125.232.154:443    mil02s05-in-f26.1e100.net
74.125.232.141        mil02s05-in-f13.1e100.net
173.194.40.9:80         ESTABLISHED 4028/firefox    mil02s06-in-f9.1e100.net
"

In particolare mi sono accorto che c'è una immagine di 1 pixel nel sito
track.adform.net/invisible.gif

Come mi devo comportare, secondo voi, per verificare l'effettivo abuso
della macchina?

Quali azioni posso intraprendere eventualmente per bloccare (dal sw del
router? ) le connessioni NON volute?

Grazie per l'attenzione e la collaborazione

StefanoB
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/golem/attachments/20150117/b66702ae/attachment.html>

Maggiori informazioni sulla lista golem