[ImoLUG] ok, ma solo per movimentare un po' la lista ...

Franco Tampieri - OpenSource IT Freelancer info@francotampieri.com
Mer 12 Ago 2009 09:07:15 CEST 

Ciao Zampo!
Qui c'è una guidina velocissima su portsentry per iniziare:

http://www.securityfocus.com/infocus/1586

<http://www.securityfocus.com/infocus/1586>Non sono tool complessi da
configurare, ma se li metti devi comunque controllare ogni tanto il loro
operato, visto che ti droppano degli IP :)

Cheers

Franco

Franco Tampieri Details:  - Linux User #286282 - FSF Member #5827
GNU/Linux: Hardened / Embedded / H.A. Cluster / System Integrator
Certification: ECDL / LPIC 1 - Acquiring Certification: Cisco CCNA / LPIC 2


Il giorno 12 agosto 2009 08.36, Daniele <daniele_zampighi@tin.it> ha
scritto:

> Franco Tampieri - OpenSource IT Freelancer ha scritto:
>
>> Leggo solo adesso la lista di messaggi...
>>
>
> Rispondo solo all'ultimo messaggio...
>
>  Allora ci sono una serie di cose che non mi sono proprio chiare... allora
>> partiamo per punti:
>>
>> 1 - sospetto di scansione sulle porte... ma come hai fatto ad
>> accorgentene? Hai una specie di programmello NDS? Oppure un software come
>> portsentry? se lo ha visto dai log di firestarter direi che non è proprio
>> indicativo...
>>
>
> Bhe tutto è nato dal controllo curioso del log di Firestarter (la sezione
> "eventi") perchè venivano segnalati 18 contatti definiti pericolosi.
> Durante la sua attività, Firestarter segnala sempre qualche contatto
> "pericoloso" (Microsodft-ds, di solito) ma 18 non mi era mai capitato. Ora
> sono a casa in ferie ed avendo un pochino più di tempo mi sono messo a
> controllare. Lo sapete, sono curioso non un tecnico e così per non prendere
> luci per lanterne ho scritto in lista, confrontandomi con voi.
> Comunque.
> 1- in effetti 37.231.70.249 è la mia scheda eth0. Sono stato un pirla a non
> guardare "conky" .. ce l'ho sotto al naso... ma ancora non riesco ad
> abituarmi che su fastweb gli ip non sono i soliti 192.....
> 2- Come spesso succede le colonne della sezione eventi sono diverse ed io
> non le vedevo tutte. Con TUTTE le colonne appare un po' più chiaro.
> 3- rimane il fatto, però, che "qualcuno/qualche cosa" abbia cercato di
> scansionare più porte possibili durante la notte, o perlomeno durante tutto
> il periodo che aMule era connesso alla rete.
> Purtroppo quel log non l'ho più, ma non devo spergiurare per farmi credere.
>
>
>  2 - analizziamo i servizi che hai segnalato:
>>
> ...
>
>> se vai su questo utile servizio, che segnalo a te e anche agli altri, puoi
>> confrontare se l'IP fa parte di una blacklist, tieni conto che per essere
>> decisamente veritiero le segnalazioni (i pallini rossi per intenderci)
>> debbono essere almeno + di 1!
>>
>
>
>> http://whatismyipaddress.com/staticpages/index.php/is-my-ip-address-blacklisted
>>
>
> Grazie, veramente comodo. Tranquillizza :-D
>
>
>  3 - se tutto questo non ti soddisfa inizia a pensare ad installarti
>> portsentry e fail2ban in questo modo avresti uno strumento che ti segnala
>> ogni tentativo di portscan anche in modalità stealth e che volendo possono
>> inibire l'attaccante droppando temporaneament ei pacchetti che vengono da
>> quella sorgente IP...
>>
>
> Ci penso ... funzionano assieme? Sono complessi da configurare? Sono
> strumenti professionali e quindi di difficile utilizzo/comprensione?
>
>
>  P.S. Vuoi avvisare la Polizia Postale? Beh se non hai nulla di illegale
>> sul pc puoi farlo :P :D
>>
>
> Bè ... per adesso aspetto.
> Comunque ogni tanto tenativi di phishing ben fatti li ho segnalati... ed ho
> la soddisfazione di aver contribuito in almeno un caso a bloccare il
> crahcker
>
> GRAZIE a tutti!! Fabrizio, Valerio, Franco e tutto l'Imolug!!
> :-)
>
> Daniele Z.
> --
> Sto lavorando duro per prepare il mio prossimo errore
>              Bertolt Brecht
>
> Linux user # 404412 - Ubuntu User # 17027
> ---
> Rispetta l'ambiente: se non ti è necessario, non stampare questa mail.
> ---
> il presente messaggio è stato ricevuto e reinviato ad amici/che della mia
> mailing list; chi volesse essere cancellato dall'indirizzario risponda con
> un messaggio vuoto indicando, quale oggetto: "cancellami", ricordo che, per
> garantire la riservatezza del mittente e dei destinatari, è raccomandabile
> la cancellazione dei medesimi in caso di ulteriori inoltri del messaggio.
>
>
> --
> Mailing list info: http://lists.linux.it/listinfo/imolug
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20090812/7f7272d2/attachment-0001.htm>

Maggiori informazioni sulla lista ImoLUG