www.MegaLab.it

[Lord Daz]

Ciao a tutti,

Mi collego ad inerent tramite una rete Wireless not protetta.
Il Firewall Comodo mi rivela svariati tentativi di intrusione. Riporto il log.

Data/Orario Applicazione Azione IP Origine Porta Origine IP Destinazion Porta Destinazione Protocollo

10/30/09 19:49:29 System Bloccato 192.168.0.1 7101 192.168.0.107 2869 TCP
10/30/09 19:49:32 System Bloccato 192.168.0.1 7101 192.168.0.107 2869 TCP
10/30/09 19:49:37 System Bloccato 192.168.0.1 7101 192.168.0.107 2869 TCP
10/30/09 19:49:45 System Bloccato 192.168.0.1 7101 192.168.0.107 2869 TCP
10/30/09 19:50:02 System Bloccato 192.168.0.1 7101 192.168.0.107 2869 TCP
10/30/09 19:50:34 System Bloccato 192.168.0.1 7102 192.168.0.107 2869 TCP
10/30/09 19:50:36 System Bloccato 192.168.0.1 7102 192.168.0.107 2869 TCP
10/30/09 19:50:38 System Bloccato 192.168.0.1 7102 192.168.0.107 2869 TCP
10/30/09 19:50:42 System Bloccato 192.168.0.1 7102 192.168.0.107 2869 TCP
10/30/09 19:50:51 System Bloccato 192.168.0.1 7102 192.168.0.107 2869 TCP
10/30/09 19:51:07 System Bloccato 192.168.0.1 7102 192.168.0.107 2869 TCP
10/30/09 19:51:39 System Bloccato 192.168.0.1 7103 192.168.0.107 2869 TCP
10/30/09 19:51:42 System Bloccato 192.168.0.1 7103 192.168.0.107 2869 TCP
10/30/09 19:51:47 System Bloccato 192.168.0.1 7103 192.168.0.107 2869 TCP
10/30/09 19:51:55 System Bloccato 192.168.0.1 7103 192.168.0.107 2869 TCP
10/30/09 19:52:11 System Bloccato 192.168.0.1 7103 192.168.0.107 2869 TCP
10/30/09 19:52:43 System Bloccato 192.168.0.1 7104 192.168.0.107 2869 TCP
10/30/09 19:52:47 System Bloccato 192.168.0.1 7104 192.168.0.107 2869 TCP
10/30/09 19:52:51 System Bloccato 192.168.0.1 7104 192.168.0.107 2869 TCP
10/30/09 19:52:59 System Bloccato 192.168.0.1 7104



Le porte interessate vanno da 7101, 7102, 7103, fino ad arrivare a 7306


Potete spiegarmi che succede? C'è qualcuno che cerca di intromettersi nel mio pc? Se si, come fa?? è possibile che si sia già intromesso ed io nn me ne sia accorto?

e come posso difendermi?

Grazie,
Lord

[zenith]

Secondo me non è una vera intrusione... magari ci sono dei vicini che usano come te dispositivi wireless e che quando avviano il pc fanno partire in automatico la ricerca della loro rete "preferita" (cioè cercano il loro router o roba simile).

Mi collego ad inerent tramite una rete Wireless not protetta.
C'è qualcuno che cerca di intromettersi nel mio pc? Se si, come fa?
e come posso difendermi?

Se dici che la tua è una rete non protetta, dovresti aver messo in conto il fatto che qualcuno potrebbe scroccarti la banda. Io stesso riesco a collegarmi senza problemi ad una rete non protetta del vicino (ovviamente gliel'ho detto, invitandolo a mettere una password!) anche se il segnale risulta alquanto debole.
Dunque, inizia a mettere una password e vedi un po' se il "problema" si ripresenta...

[Lord Daz]

Grazie x la risposta, ma forse non sono stato chiaro.

Io mi collego ad una rete wireles non protetta. (quindi non ho dove mettere la pw).

Il firewall mi rileva svariati tentativi di intrusione e credo (ma non sono sicuro) che qualcuno cerca di intromettersi ne mio pc. (ammesso che utilizzando un firewalle sia possibile che qualcuno entri).

C'è un modo per potermi difendere? o c'è un modo x sapere se veramente qualcuno tenta di entrare?

Grazie

[Lord Daz]

Nessuno sa darmi delucidazioni?
Grazie,
Lord

[Al3x]

forse non sono stato chiaro.
Io mi collego ad una rete wireles non protetta. (quindi non ho dove mettere la pw).

infatti non sei stato proprio chiaro, la rete a cui ti colleghi è la tua?

[Matilda12]

forse non sono stato chiaro.
Io mi collego ad una rete wireles non protetta. (quindi non ho dove mettere la pw).

infatti non sei stato proprio chiaro, la rete a cui ti colleghi è la tua?

... io voto per il "no" (è una "rete pubblica"?).

Nessuno sa darmi delucidazioni?
Grazie,
Lord

Fossi io a dovermi collegare ad internet:
1) procurerei di avere un mio abbonamento a banda larga con un qualche provider (che copre la mia zona validamente);
2) acquisterei un modem/router di buon livello, con firewall integrato (adesso anche le più carrette hanno questo modulo; già da qui puoi eventualmente vedere i tentativi di accesso ed avere un discreto livello di protezione);
3) installerei un buon firewall (QUI sul forum tanto per partire);
4) installerei un discreto corredo di programmi di protezione standard (antivirus e antispyware, per intenderci);
5) per non sapere né leggere né scrivere, mi darei una letta all'articolo pubblicato su MegaLab.it dal titolo Teniamo sotto controllo le risorse condivise.


Matilda12

[zenith]

Segnalo anche un tool che permette di monitorare gli IP della rete LAN.
http://www.netstumbler.com/downloads/

[Matilda12]

Segnalo anche un tool che permette di monitorare gli IP della rete LAN. ...

Funziona solo per le rete wireless, giusto?

Stavo pensando, per monitorare gli IP e le porte (remoti e locali), in maniera user-friendly, anche un semplice programmino come CurrPorts può andar bene.

Parlando di firewall, secondo me Sunbelt Personal Firewall (sebbene in versione freeware, quindi limitata) offre un pannello "carino" sotto questo punto di vista.


Chiaro che poi bisogna mettersi a leggere tutto ... sinceramente lascio fare al firewall!!!


Matilda12

[zenith]

Segnalo anche un tool che permette di monitorare gli IP della rete LAN. ...

Funziona solo per le rete wireless, giusto?

Non lo so, sinceramente. Io dalla mia postazione (via wireless) posso vedere anche i pc collegati via cavo LAN al router, ed il relativo IP in rete.
E' utile per sapere "quante" persone ci sono.

[Lord Daz]

Grazie per le risposte.

Allora io ho trovo una rete wireless non protetta e mi ci collego. (scrocco la banda a non so chi!). Premesso che nel paese dove vivo, "scroccare" la banda è legale, purchè non sia x commettere atti illeciti. (cosa che io non ho ne le capacità ne le intensioni x farlo).

Vorrei sapere perche COMODO mi rileva tutti questi tentativi di intrusione e sopratutto se c'è qualcuno che sta cercando di intromettersi nel mio pc.

Grazie smpre x i vostri lumi,
Lord

[Lo Re]

10/30/09 19:49:29 System Bloccato 192.168.0.1 7101 192.168.0.107 2869 TCP

Dallo stralcio di log che hai postato si evince che l'ip di origine è il router.
Ora, a meno che qualcuno non si sostituisca al router (redirezionando quindi tutto il traffico su di lui) credo che si possa escludere il fattore attacco dall'esterno.
Per toglierti il dubbio dal prompt dei comandi digita netstat e vedi\posta il risultato.

Magari si scopre qualcosa di più.

Saluti

[Lord Daz]

Grayie per la rispota,

Qui di seguito il log di netstat:

Connessioni attive

Proto Indirizzo locale Indirizzo esterno Stato
TCP 127.0.0.1:49159 PC-US3R:49160 ESTABLISHED
TCP 127.0.0.1:49160 PC-US3R:49159 ESTABLISHED
TCP 127.0.0.1:49161 PC-US3R:49162 ESTABLISHED
TCP 127.0.0.1:49162 PC-US3R:49161 ESTABLISHED
TCP 192.168.0.107:49427 ew-in-f102:http ESTABLISHED
TCP 192.168.0.107:49605 a195-176-255-165:http ESTABLISHED
TCP 192.168.0.107:50133 62.2.27.27:http ESTABLISHED
TCP 192.168.0.107:50239 62.2.27.26:http TIME_WAIT
TCP 192.168.0.107:50263 ew-in-f167:http ESTABLISHED
TCP 192.168.0.107:50276 ew-in-f154:http ESTABLISHED
TCP 192.168.0.107:50742 ew-in-f167:http ESTABLISHED
TCP 192.168.0.107:50743 ew-in-f167:http ESTABLISHED
TCP 192.168.0.107:50744 ew-in-f167:http ESTABLISHED
TCP 192.168.0.107:50775 ew-in-f154:http ESTABLISHED
TCP 192.168.0.107:50780 ew-in-f154:http ESTABLISHED
TCP 192.168.0.107:50788 server-it:http TIME_WAIT
TCP 192.168.0.107:50797 ew-in-f152:http ESTABLISHED
TCP 192.168.0.107:50798 server-it:http TIME_WAIT
TCP 192.168.0.107:50801 server-it:http TIME_WAIT
TCP 192.168.0.107:50816 server-it:http TIME_WAIT
TCP 192.168.0.107:50819 server-it:http TIME_WAIT
TCP 192.168.0.107:50834 server-it:http TIME_WAIT
TCP 192.168.0.107:50837 ew-in-f113:http ESTABLISHED
TCP 192.168.0.107:50838 ew-in-f103:http ESTABLISHED
TCP 192.168.0.107:50839 ew-in-f103:http ESTABLISHED
TCP 192.168.0.107:50840 ew-in-f100:http ESTABLISHED
TCP 192.168.0.107:50841 a195-176-255-165:http ESTABLISHED
TCP 192.168.0.107:50842 a195-176-255-165:http ESTABLISHED
TCP 192.168.0.107:50843 a195-176-255-165:http ESTABLISHED
TCP 192.168.0.107:50844 a195-176-255-165:http ESTABLISHED
TCP 192.168.0.107:50845 a195-176-255-165:http ESTABLISHED
TCP 192.168.0.107:50846 a195-176-255-165:http ESTABLISHED
TCP 192.168.0.107:50848 a195-176-255-165:http ESTABLISHED
TCP 192.168.0.107:50849 91.103.138.62:http ESTABLISHED
TCP 192.168.0.107:50850 a195-176-255-165:http ESTABLISHED
TCP 192.168.0.107:50852 logc193:http TIME_WAIT
TCP 192.168.0.107:50854 webx124:http CLOSE_WAIT
TCP 192.168.0.107:50855 webx124:http CLOSE_WAIT
TCP 192.168.0.107:50856 webx124:http CLOSE_WAIT
TCP 192.168.0.107:50857 webx124:http CLOSE_WAIT
TCP 192.168.0.107:50858 webx124:http CLOSE_WAIT

Non essendo esperto on capisto nulla di quello che c'è scritto. puoi x faovre dirmi se é tutto ok?

Un'altra domanda: i siti che io visto, le password che inserisco, i file che scarico, possono essere visualizzati dal proprietario della rete wireless?
Se si, é possibilire risalire al me? (nome e cognome intendo).

Grazie,
Lord

[ninjabionico]

Ciao.


Privacy su una connessione wireless non protetta?



Se tutto passa in chiaro (non essendo protetta, cioè cifrata), anche un ragazzino di 12-14 anni che ti passa sotto casa col netbook può sniffare il traffico che generi con tanto di username e password in chiaro...
... a meno che per il login non venga utilizzata una pagina con protocollo cifrato, come SHTTP per capirci, ma ci sono ugualmente tecniche per catturarle ugualmente (beh, forse non alla portata del ragazzino di 12-14 anni ma non ci giurerei).

[Lo Re]

Al momento in cui hai fatto netstat non mi sembra ci fossero connessioni "sospette".
Leggendo il reply di ninja, deduco che non hai impostato opzioni di sicurezza (mac address filtering, ecc.)
Fallo alla svelta se così fosse. Così perlomeno scoraggi l'hacker della domenica.