Pagina 1 di 1

Problema firewall

MessaggioInviato: dom ott 26, 2003 11:27 pm
da bandrew
Ho appena installato il firewall della Sygate e mi dà periodicamente, ogni ora, una segnalazione del tipo
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">Traffic from IP address 1.255.54.186 is blocked from 10/26/2003 21:48:53 to 10/26/2003 21:58:53.<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
e poco dopo
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">F30002 DCE BIND to potentially vulnerable RPC DCOM interface attempt detected<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
dopo un'ora e dieci gli stessi messaggi, ho provato a fare il backtrace (senza neanke sapere cosa sia, ma immagino sia tracciare il sito) e come whois mi dà questo risultato:
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 1.0.0.0 - 1.255.255.255
CIDR: 1.0.0.0/8
NetName: RESERVED-9
NetHandle: NET-1-0-0-0-1
Parent:
NetType: IANA Reserved
Comment:
RegDate:
Updated: 2002-09-12

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org

# ARIN WHOIS database, last updated 2003-10-25 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
Cosa vuol dire? Scusate il msg un po' lungo ma è meglio essere dettagliati... Grazie [:)]

Problema firewall

MessaggioInviato: dom ott 26, 2003 11:27 pm
da bandrew
Ho appena installato il firewall della Sygate e mi dà periodicamente, ogni ora, una segnalazione del tipo
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">Traffic from IP address 1.255.54.186 is blocked from 10/26/2003 21:48:53 to 10/26/2003 21:58:53.<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
e poco dopo
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">F30002 DCE BIND to potentially vulnerable RPC DCOM interface attempt detected<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
dopo un'ora e dieci gli stessi messaggi, ho provato a fare il backtrace (senza neanke sapere cosa sia, ma immagino sia tracciare il sito) e come whois mi dà questo risultato:
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 1.0.0.0 - 1.255.255.255
CIDR: 1.0.0.0/8
NetName: RESERVED-9
NetHandle: NET-1-0-0-0-1
Parent:
NetType: IANA Reserved
Comment:
RegDate:
Updated: 2002-09-12

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org

# ARIN WHOIS database, last updated 2003-10-25 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
Cosa vuol dire? Scusate il msg un po' lungo ma è meglio essere dettagliati... Grazie [:)]

MessaggioInviato: lun ott 27, 2003 12:34 am
da bandrew
Aggiornamento: ho scoperto che i problemi sono causati dal file svchost.exe che è nella cartella C:windowssystem32 a questo punto vorrei capire la connessione logica tra me, windows (e la Microsoft) e la IANA: bah. Scusate l'ignoranza che è pressochè totale sull'argomento ma la cosa è molto strana e c capisco sempre meno.

MessaggioInviato: lun ott 27, 2003 10:09 pm
da EntropheaR
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da bandrew</i>
<br />Aggiornamento: ho scoperto che i problemi sono causati dal file svchost.exe che è nella cartella C:windowssystem32 a questo punto vorrei capire la connessione logica tra me, windows (e la Microsoft) e la IANA: bah. Scusate l'ignoranza che è pressochè totale sull'argomento ma la cosa è molto strana e c capisco sempre meno.
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

Sinceramente non ne ho la più pallida idea...il mio consiglio è di dare una passata con ad-aware <font size="1">(aggiornato...ovviamente[;)])</font id="size1"> per vedere se ci sono porcherie...

MessaggioInviato: mar ott 28, 2003 12:21 am
da Zane
Ad occhio dovrebbe essere qlc rimasuglio del virus Blaster su una macchina remota (California), probabilmente infettata a sua insaputa, che tenta di entrarti, e il firewall la respinge. Niete di preccupante. Magari dai una passata con un antivirus aggiornato, ma nn penso ci siano problemi...

MessaggioInviato: mar ott 28, 2003 9:26 am
da Xerex
Non so dire dove sia il problema, ma il fatto che l'aggressione venga da un ip che inizia con 1.x.y.z e' piuttosto strano.Ho dei dubbi che un proprietario di un ip di classe A si metta ad attaccare gli utenti in giro per il mondo...indaghero' [8D]

MessaggioInviato: mar ott 28, 2003 4:15 pm
da bandrew
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">Non so dire dove sia il problema, ma il fatto che l'aggressione venga da un ip che inizia con 1.x.y.z e' piuttosto strano.Ho dei dubbi che un proprietario di un ip di classe A si metta ad attaccare gli utenti in giro per il mondo...indaghero'<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
anche perché è una organizzazione con tanto di sito pubblicizzato nn si metterebbe ad intrufolarsi nei sistemi altrui [^] comunque grazie a tutti, ora farò qualche scan con antivirus e ad-ware.

MessaggioInviato: mar ott 28, 2003 7:51 pm
da EntropheaR
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da bandrew</i>
<br />
anche perché è una organizzazione con tanto di sito pubblicizzato nn si metterebbe ad intrufolarsi nei sistemi altrui [^] comunque grazie a tutti, ora farò qualche scan con antivirus e ad-ware.
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

Magari è semplicemente un impegato con un hobby particolare...[;)]

MessaggioInviato: mar ott 28, 2003 10:31 pm
da Zane
Ragazzi, ribadisco (ma avete letto il mio smg poco sopra? [;)]) con tuta probabilità è un attacco da Blaster o qlcosa simile!

MessaggioInviato: mer ott 29, 2003 2:05 pm
da milka
Ribadisco anch'io. Di sicuro Blaster o Nachi worm che hanno dato anche a me lo stesso problema. Ho risolto pulendo il pc con lo "Stinger" di McAfee scaricabile in internet e aggiornando il pc con l'opportuna Patch rilasciata da Microsoft.

[8D]

MessaggioInviato: mer ott 29, 2003 5:29 pm
da Xerex
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"> Ragazzi, ribadisco (ma avete letto il mio smg poco sopra? ) con tuta probabilità è un attacco da Blaster o qualcosa simile!<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

Sarà, ma la cosa non mi convince più di tanto...
è l'indirizzo 1.x.y.z che mi lascia perplesso...

MessaggioInviato: gio ott 30, 2003 12:04 am
da bandrew
Mi potete dare il link della patch di Microsoft?

MessaggioInviato: dom nov 02, 2003 6:53 pm
da bandrew
Aggiornamento: ho fatto tutto ciò che mi avete consigliato ma ogni ora si ripete la stessa cosa da una settimana, so che nn c sono problemie nn mi preoccupo affatto ma la cosa mi da fastidio.
Ho fatto una scansione completa con il Norton Antivirus aggiornato, una scansione con il mcafee Stinger e una con Ad-ware aggiornato, tanto che c'ero ho fatto uno scandisk e una deframmentazione prima con windows e poi con Voptxp ma nn è cambiato nulla. Bah...

MessaggioInviato: lun nov 03, 2003 8:53 pm
da Zane
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da bandrew</i>
<br />Mi potete dare il link della patch di Microsoft?
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

http://www.zanezane.net/z.asp?mail=129

MessaggioInviato: lun nov 03, 2003 10:01 pm
da bandrew
Ho installato anche la patch e ho fatto partire la ricerca del worm dal link: mi dice che nn è presente. Dopo il riavvio esattamente come prima. Lascio stare, mi tengo questi attacchi, basta che siano innocui nn voglio + cercare di toglierli, grazie a quelli che c hanno provato con me [;)]

MessaggioInviato: mar nov 04, 2003 10:48 pm
da old shark
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da bandrew</i>
<br />Ho installato anche la patch e ho fatto partire la ricerca del worm dal link: mi dice che nn è presente. Dopo il riavvio esattamente come prima. Lascio stare, mi tengo questi attacchi, basta che siano innocui nn voglio + cercare di toglierli, grazie a quelli che c hanno provato con me [;)]
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

MessaggioInviato: mar nov 04, 2003 11:00 pm
da old shark
Cerca il file ginst_001.exe, è un file nascosto che si autoinstalla scaricando altri programmi, dovrebbe essere in c:documents and settings ua_directoryimpostazioni locali emp e in c:windowssystem32prefetech (se hai windows xp).
Cancellalo, poi pulisci il registro di windows.
Io avevo lo stesso problema e con questa operazione l'ho risolto.
Auguri !!