[ImoLUG] ok, ma solo per movimentare un po' la lista ...

Franco Tampieri - OpenSource IT Freelancer info@francotampieri.com
Mar 11 Ago 2009 23:45:51 CEST


Leggo solo adesso la lista di messaggi...
Allora ci sono una serie di cose che non mi sono proprio chiare... allora
partiamo per punti:

1 - sospetto di scansione sulle porte... ma come hai fatto ad accorgentene?
Hai una specie di programmello NDS? Oppure un software come portsentry? se
lo ha visto dai log di firestarter direi che non è proprio indicativo...

2 - analizziamo i servizi che hai segnalato:

2.1 - Indirizzo IP:

se vai su questo utile servizio, che segnalo a te e anche agli altri, puoi
confrontare se l'IP fa parte di una blacklist, tieni conto che per essere
decisamente veritiero le segnalazioni (i pallini rossi per intenderci)
debbono essere almeno + di 1!

http://whatismyipaddress.com/staticpages/index.php/is-my-ip-address-blacklisted

Nel tuo caso quell'IP è praticamnte buono, quindi ho volito fare una query
al RIPE per capire meglio:

http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=37.231.70.249&do_search=Search

Bene sembra che questo indirizzo fa parte della classe IANA associata al
RIPE e quindi è sicuramente un indirizzo dinamico di una classe assegnato ad
un provider europeo... qui l'ipotesi avanzata che potesse fare parte della
classe IP di fastweb non essere da scartare...

2.2 le porte che hai segnalato:

443 (HTTPS)
4672 (aMule)
25 (SMPT)
6667 (Ircd)
20-21 (ftp)
4662 (eDonkey)
5222 (Xmpp-client)
6667 (Ircd)
67-68 (DHCP)
110 (POP3)
53 (DNS)
80 (HTTP)

Tieni conto di una serie di cosuccie: hai attivato pidgin e la settimana
scorsa mi hai detto di aver installato il plugin per facebook, tieni conto
che il plugin non server solo per la chat, ma normalmente controlla anche le
notifiche dei messaggi che ti arrivano su facebook e tutto viene fatto
tramite chiamate REST (va beh in modo + semplice tramite protocollo http).
HUm... vedo sempre + lontana la possibilità di una scansione...

3 - se tutto questo non ti soddisfa inizia a pensare ad installarti
portsentry e fail2ban in questo modo avresti uno strumento che ti segnala
ogni tentativo di portscan anche in modalità stealth e che volendo possono
inibire l'attaccante droppando temporaneament ei pacchetti che vengono da
quella sorgente IP...

Cheers

Franco

P.S. Vuoi avvisare la Polizia Postale? Beh se non hai nulla di illegale sul
pc puoi farlo :P :D



Franco Tampieri Details:  - Linux User #286282 - FSF Member #5827
GNU/Linux: Hardened / Embedded / H.A. Cluster / System Integrator
Certification: ECDL / LPIC 1 - Acquiring Certification: Cisco CCNA / LPIC 2


Il giorno 11 agosto 2009 22.43, Fabrizio Canonici <f.canonici@gmail.com> ha
scritto:

> Guardando lo screenshot allegato ho avuto lo stesso pensiero di Valerio,
> l'ip 37.231.70.249 è l'indirizzo con cui il pc di Daniele esce verso
> internet.
>
> Pare che tu abbia utilizzato pidgin, fatto un giretto su facebook e qualche
> ricerca su google :)
>
> Puoi dormire tranquillo e lasciare il pc acceso, per ora ti costa solo di
> corrente, non stai subendo nessun tentativo di intrusione, i tuoi porno sono
> salvi :)
>
> Ciao
> Fabrizio
>
> Il giorno 11 agosto 2009 22.10, valerio balbi <valerio.balbi@gmail.com> ha
> scritto:
>
> fermi tutti:
>>
>> noi siamo sicuri che quel 37.231.70.249 non sia tu che ti sei connesso?
>> suggerisco di verificare la mascherina di firestarter con il risultato
>> del comando
>> ip addr
>>
>> se l'inidirizzo sulla tua eth0 è identico... sappiamo che sei tu
>> --
>> Mailing list info: http://lists.linux.it/listinfo/imolug
>>
>>
>
> --
> Mailing list info: http://lists.linux.it/listinfo/imolug
>
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20090811/0c808da0/attachment.htm>


Maggiori informazioni sulla lista ImoLUG