Re: porta 26137
Fabio Nigi ha scritto: On Fri, 25 Feb 2005 23:19:13 +0100 Cristian Versari wrote: Davide Prina ha scritto: Non so se esiste un metodo sicuro per ottenere questo cambio man pppd opzione local_IP_address:remote_IP_address avevo sentito di *leggende* che dicevano che settando un ip alto questo poteva essere gestito come un ip fisso visto che non cambiava mai.. un solo dubbio.. e se telecom prova ad associarlo ad un altro client, visto che cmq per lei è libero cosa succede? io non sono un esperto in questo settore, ma secondo me la cosa non è fattibile proprio per nulla perché appunto come dice Fabio gli indirizzi ip vengono assegnati ai vari pc che si collegano e quindi il rischio che quell'indirizzo ip che si vuole usare sia già usato da un altro è altissimo. Facendo così non so cosa si rischia ... nella peggiore delle ipotesi penso che nessuno dei due che usano quell'indirizzo riesce a navigare ... qualche anno fa nella mia vecchia ditta era successo più volte qualcosa del genere (ma qui era colpa del DHCP che assegnava a due pc lo stesso indirizzo ... non ho capito come e perché), però non riusciva ad andare in rete solo il pc con uindous, il mio con GNU/Linux non aveva nessunissimo problema :-) Ciao Davide -- Linux User: 302090: http://counter.li.org Prodotti consigliati: Sistema operativo: Debian: http://www.it.debian.org Strumenti per l'ufficio: OpenOffice.org: http://it.openoffice.org Database: PostgreSQL: http://www.postgres.org Browser: FireFox: http://texturizer.net/firefox Client di posta: Thunderbird: http://texturizer.net/thunderbird Enciclopedia: wikipedia: http://it.wikipedia.org -- Non autorizzo la memorizzazione del mio indirizzo di posta a chi usa outlook: non voglio essere invaso da spam
Re: porta 26137
Davide Prina ha scritto: secondo me la cosa non è fattibile proprio per nulla perché appunto come dice Fabio gli indirizzi ip vengono assegnati ai vari pc che si collegano e quindi il rischio che quell'indirizzo ip che si vuole usare sia già usato da un altro è altissimo. Come precedentemente detto, non e' possibile rubare ip altrui (ne' www.micro$oft.com ne' gli ip gia' assegnati). Sulla fattibilita', beh, io lo faccio da anni. Le poche volte che sono stato costretto a cambiare ip e' per via del cambio della classe da parte di telecom. Poi ognuno e' libero di crederci o no, o di farne leggende metropolitane :) Saluti Cristian -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: porta 26137
On Thu, 24 Feb 2005 22:00:57 +0100 Davide Prina [EMAIL PROTECTED] wrote: Fabio Nigi ha scritto: questa cosa succede anche a me, su porte alte e randomiche.. ho provato a chiamare telecom(dopo aver chiuso tutte le porte sopra la 1024 e tenendo aperte solo quelle che voglio)che mi ha detto che sono dei loro test per il passaggio di banda.. bho ma che tipo di test fanno ... fanno attacchi ai pc collegati in questo modo, e senza neanche avvertire. mha, la signorina del call center non lo sapeva..e a sentirla parlare ho capito che parlare di adsl o di scarpe le ere totalmente indifferente, leggeva dal terminale e basta ho fatto un po' di analisi dei log ed ho trovato che negli ultimi tre giorni 21, 22, 23 febbraio 2005 ho avuto degli attacchi simili. Quello che noto è che i log sono cresciuti a dismisura arrivando intorno ai 60 MBytes (la rotazione la faccio circa una volta la settimana) Guardando gli indirizzi ip, che mi hanno fatto l'attacco il 23, ce ne sono vari (ne ho preso uno per quasi ogni primo numero diverso): dando un occhio più approfondito devo dire che hai ragione, anche se da me molti di questi sono ip telecom alcuno vengono da fuori, quindi non sono test telecom 151.49.137.108 - IUNET-BNET49 172.180.218.181 - IANA-BLK 199.2.124.98 - IANA-BLK 212.108.189.251 - TRAVEKOM 213.140.22.64 - FASTWEB-RESIDENTIAL-01 217.113.234.5 - TOYA 62.101.126.208 - FASTWEB-RESIDENTIAL-03 65.40.103.245 - IANA-BLK 66.157.27.43 - IANA-BLK 67.68.9.173 - IANA-BLK 68.237.122.12 - IANA-BLK 80.105.211.87 - TIWS-NETECONOMY 81.208.60.207 - FASTWEB-RESIDENTIAL-02 84.222.88.196 - TISCALINET come si vede quelli qui riportati sono di vari gestori e nessuno di telecom ... come fa telecom a fare questi test ed usare indirizzi ip non suoi? credo che, tolti i full-umbundled in realtà tutti siano ip telecom dati in gestione ma non vorrei dire una ca***ta Bisognerebbe capire chi subisce questi attacchi e per quale motivo ... Le cose notate sono: 1) sono fatti su porte alte che sembra nessuno usi e che non abbiano vulnerabilità precise (questo potrebbe essere indizio di un nuovo worm/trojan che si aggancia ad una di queste porte alte, ma ogni volta mi puzza di un attacco distribuito per qualche potenziale falla microsozz a occhio lo stile è quello la porta attaccata è dversa ... o che vogliono far cadere qualche servizio) 2) l'attacco avviene da indirizzi ip di gestori differenti e quindi sembra proprio un attacco di computer slave pienamente d accordo e vista la portata fatto da piu persone, piu si va avanti piu mi puzza di un nuovo bug/trojan per windows . 3) l'attacco inizia in un dato momento ed è solo su una determinata porta il problema è che non smette.. Fabio Ciao Davide -- Linux User: 302090: http://counter.li.org Prodotti consigliati: Sistema operativo: Debian: http://www.it.debian.org Strumenti per l'ufficio: OpenOffice.org: http://it.openoffice.org Database: PostgreSQL: http://www.postgres.org Browser: FireFox: http://texturizer.net/firefox Client di posta: Thunderbird: http://texturizer.net/thunderbird Enciclopedia: wikipedia: http://it.wikipedia.org -- Non autorizzo la memorizzazione del mio indirizzo di posta a chi usa outlook: non voglio essere invaso da spam -- Fabio Nigi nigifabio(at)gmx.it icq:155452384 Il segreto e' cio' che dici a un altro di non rivelare perche' non riesci a tenerlo per te. die Kunst liegt im Weglassen. pgp97s2GtvG3f.pgp Description: PGP signature
Re: porta 26137
Fabio Nigi ha scritto: 3) l'attacco inizia in un dato momento ed è solo su una determinata porta il problema è che non smette.. bisognerebbe trovare il modo di cambiare indirizzo ip, perché l'attacco è rivolto ad un indirizzo ip dinamico. Probabilmente basta uscire (killare pppd), aspettare qualche minuto e rientrare ... l'altra sera ho provato (senza attesa però), ma mi ha assegnato lo stesso indirizzo ip :-( Oggi ho riprovato attendendo penso 5-10 minuti e ho avuto un nuovo indirizzo ip :-) Non so se esiste un metodo sicuro per ottenere questo cambio Ciao Davide -- Linux User: 302090: http://counter.li.org Prodotti consigliati: Sistema operativo: Debian: http://www.it.debian.org Strumenti per l'ufficio: OpenOffice.org: http://it.openoffice.org Database: PostgreSQL: http://www.postgres.org Browser: FireFox: http://texturizer.net/firefox Client di posta: Thunderbird: http://texturizer.net/thunderbird Enciclopedia: wikipedia: http://it.wikipedia.org -- Non autorizzo la memorizzazione del mio indirizzo di posta a chi usa outlook: non voglio essere invaso da spam
Re: porta 26137
Davide Prina ha scritto: Non so se esiste un metodo sicuro per ottenere questo cambio man pppd opzione local_IP_address:remote_IP_address Con opportuni accorgimenti (cioe' senza pretendere di avere l'ip di www.micro$oft.com e rispettando la classe assegnataci dal provider) spesso e' possibile sceglierselo. Cio' non salvera' dai continui scan: questione di pochi secondi o minuti perche' la situazione ricominci. Riguardo alla curiosita' sull'utilizzare ip non propri (comportamento da non attribuire ai tecnici telecom) consiglio una ricerca su ip spoofing. Saluti Cristian P.S.: ma proprio nessuno con oscuri trascorsi su irc? :) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: porta 26137
Davide Prina wrote: nel giro di circa 20 minuti ho ricevuto quasi 500 tentativi di accesso alla porta 26137 e poi mi caduta la connessione (ADSL). I tentativi sono stati fatti da vari indirizzi IP (ogni indirizzo ha fatto pi tentativi, in media 4-5), per ognuno appartiene ad una classe diversa. Il protocollo sempre TCP, il TOS sempre 0x00, la lunghezza quasi sempre 48, tranne in alcuni casi che 44, 60, 64 o 77. Non lo so se la stessa cosa, ma io mi trovo un numero di tentativi di accesso al minuto crescente, su tre o quattro porte diverse, da innumerevoli adsl telecom, qualcuno tiscali e altra roba. Secondo me un nuovo worm. Vincenzo -- Please note that I do not read the e-mail address used in the from field but I read vincenzo_ml at yahoo dot it Attenzione: non leggo l'indirizzo di posta usato nel campo from, ma leggo vincenzo_ml at yahoo dot it -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: porta 26137
On Fri, 25 Feb 2005 23:19:13 +0100 Cristian Versari [EMAIL PROTECTED] wrote: Davide Prina ha scritto: Non so se esiste un metodo sicuro per ottenere questo cambio man pppd opzione local_IP_address:remote_IP_address avevo sentito di *leggende* che dicevano che settando un ip alto questo poteva essere gestito come un ip fisso visto che non cambiava mai.. un solo dubbio.. e se telecom prova ad associarlo ad un altro client, visto che cmq per lei è libero cosa succede? Con opportuni accorgimenti (cioe' senza pretendere di avere l'ip di www.micro$oft.com e rispettando la classe assegnataci dal provider) spesso e' possibile sceglierselo. Cio' non salvera' dai continui scan: questione di pochi secondi o minuti perche' la situazione ricominci. Riguardo alla curiosita' sull'utilizzare ip non propri (comportamento da non attribuire ai tecnici telecom) consiglio una ricerca su ip spoofing. Saluti ;-))) Fabio Cristian P.S.: ma proprio nessuno con oscuri trascorsi su irc? :) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Fabio Nigi nigifabio(at)gmx.it icq:155452384 pgpOxid5Ho6a9.pgp Description: PGP signature
Re: porta 26137
Davide Prina wrote: nel giro di circa 20 minuti ho ricevuto quasi 500 tentativi di accesso alla porta 26137 e poi mi è caduta la connessione (ADSL). I tentativi sono stati fatti da vari indirizzi IP (ogni indirizzo ha fatto più tentativi, in media 4-5), però ognuno appartiene ad una classe diversa. Il protocollo è sempre TCP, il TOS sempre 0x00, la lunghezza è quasi Che software usi per accorgerti di questo? Ciao e grazie -- Giancarlo Martini (Replace 'AAA' with @) mailto:giancarlomartiniAAAkatamail.com Registered Linux user number 367542 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: porta 26137
Davide Prina wrote: nel giro di circa 20 minuti ho ricevuto quasi 500 tentativi di accesso alla porta 26137 e poi mi è caduta la connessione (ADSL). I tentativi sono stati fatti da vari indirizzi IP (ogni indirizzo ha fatto più tentativi, in media 4-5), però ognuno appartiene ad una classe diversa. Il protocollo è sempre TCP, il TOS sempre 0x00, la lunghezza è quasi sempre 48, tranne in alcuni casi che è 44, 60, 64 o 77. non so che dirti, ma a me da un po' di giorni mi succede la stessa identica cosa sulla 10419, e anche io ho dovuto disattivare il log altrimenti mi intasava tutto!!! -- .enjoy. legolas CMlug member: http://www.cmlug.org Io sono un clown, e faccio collezione di attimi... (Heinrich Boll - Opinioni di un clown) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: porta 26137
Quoting Legolas [EMAIL PROTECTED]: Il protocollo è sempre TCP, il TOS sempre 0x00, la lunghezza è quasi sempre 48, tranne in alcuni casi che è 44, 60, 64 o 77. non so che dirti, ma a me da un po' di giorni mi succede la stessa identica cosa sulla 10419, e anche io ho dovuto disattivare il log altrimenti mi intasava tutto!!! Ciao non era proprio il momento opportuno per disattivare; come avresti potuto controllare se cessavano questi accessi non desiderati? Cosa ti intasava, HD, RAM, processi,... ? Come prima difesa se non si capisce si potrebbe mettere un DROP iptables su quella porta. Ciao -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: porta 26137
On Thu, 24 Feb 2005 10:05:42 +0100 (CET) [EMAIL PROTECTED] wrote: Quoting Legolas [EMAIL PROTECTED]: Il protocollo è sempre TCP, il TOS sempre 0x00, la lunghezza è quasi sempre 48, tranne in alcuni casi che è 44, 60, 64 o 77. non so che dirti, ma a me da un po' di giorni mi succede la stessa identica cosa sulla 10419, e anche io ho dovuto disattivare il log altrimenti mi intasava tutto!!! Ciao non era proprio il momento opportuno per disattivare; come avresti potuto controllare se cessavano questi accessi non desiderati? Cosa ti intasava, HD, RAM, processi,... ? questa cosa succede anche a me, su porte alte e randomiche.. ho provato a chiamare telecom(dopo aver chiuso tutte le porte sopra la 1024 e tenendo aperte solo quelle che voglio)che mi ha detto che sono dei loro test per il passaggio di banda.. bho Fabio Come prima difesa se non si capisce si potrebbe mettere un DROP iptables su quella porta. Ciao -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Fabio Nigi nigifabio(at)gmx.it icq:155452384 Il segreto e' cio' che dici a un altro di non rivelare perche' non riesci a tenerlo per te. die Kunst liegt im Weglassen. pgpNPe0NfRC2I.pgp Description: PGP signature
Re: porta 26137
Giancarlo Martini wrote: è quasi Che software usi per accorgerti di questo? Ciao e grazie Non importa, ho capito. sono 'colpito, anch'io io sono collegato con infostrada, questa è una riga di syslog Feb 24 09:49:12 Shorewall:net2all:DROP:IN=ppp0 OUT= MAC= SRC=82.80.149.211 DST=151.37.67.182 LEN=47 TOS=0x00 PREC=0x20 TTL=116 ID=35609 PROTO=UDP SPT=6346 DPT=6347 LEN=27 -- Giancarlo Martini (Replace 'AAA' with @) mailto:giancarlomartiniAAAkatamail.com Registered Linux user number 367542 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: porta 26137
Giancarlo Martini ha scritto: Feb 24 09:49:12 Shorewall:net2all:DROP:IN=ppp0 OUT= MAC= SRC=82.80.149.211 DST=151.37.67.182 LEN=47 TOS=0x00 PREC=0x20 TTL=116 ID=35609 PROTO=UDP SPT=6346 DPT=6347 LEN=27 Non ti confondere: questi sono probabilmente pacchietti della rete gnutella, che tipicamente usa quelle porte! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: porta 26137
non so che dirti, ma a me da un po' di giorni mi succede la stessa identica cosa sulla 10419, e anche io ho dovuto disattivare il log altrimenti mi intasava tutto!!! non era proprio il momento opportuno per disattivare; come avresti potuto controllare se cessavano questi accessi non desiderati? Come prima difesa se non si capisce si potrebbe mettere un DROP iptables su quella porta. sorry... e' proprio quello che ho fatto, pero' mi sono spiegato male... drop diretto di iptables - non ci sono + log :) grazie cmq x l'interessamento!! :) -- .enjoy. legolas CMlug member: http://www.cmlug.org Io sono un clown, e faccio collezione di attimi... (Heinrich Boll - Opinioni di un clown) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: porta 26137
Lucio Crusca wrote: Non ti confondere: questi sono probabilmente pacchietti della rete gnutella, che tipicamente usa quelle porte! oops. -- Giancarlo Martini (Replace 'AAA' with @) mailto:giancarlomartiniAAAkatamail.com Registered Linux user number 367542 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: porta 26137
Cerco di rispondere in una volta sola un po' a tutti On Thu, 24 Feb 2005 10:43:49 +0100, Fabio Nigi wrote: On Thu, 24 Feb 2005 10:05:42 +0100 (CET) [EMAIL PROTECTED] wrote: Quoting Legolas [EMAIL PROTECTED]: Il protocollo è sempre TCP, il TOS sempre 0x00, la lunghezza è quasi sempre 48, tranne in alcuni casi che è 44, 60, 64 o 77. non so che dirti, ma a me da un po' di giorni mi succede la stessa identica cosa sulla 10419, e anche io ho dovuto disattivare il log altrimenti mi intasava tutto!!! Ciao non era proprio il momento opportuno per disattivare; come avresti in pratica ho fatto il drop dei log per quella porta, cioè ho disattivato il log solo su quella porta. I log attivi (non disattivati) li vedo da firestarter, dove li posso ordinare e capire velocemente cosa sta succedendo. potuto controllare se cessavano questi accessi non desiderati? Cosa ti intasava, HD, RAM, processi,... ? mi intasava i log, se pensi che in 10 minuti (riguardando i log i minuti erano circa una decina e non venti come avevo detto) ho ricevuto 500 attacchi da almeno 150-200 indirizzi ip differenti ... Per il resto il mio sistema non aveva problemi per il momento, l'unico problema è che, se non ti accorgi, nel giro di pochi giorni si potrebbe intasare la partizione con tutti i log e di conseguenza potrebbe causare una chiusura automatica di varie applicazione attive. In ogni caso io non ho mai attivo nulla di strano che accede all'esterno se non: browser, client mail, a volte ftp e wget. Ieri ho scaricato circa 25 MBytes e fatto l'update di circa 400 KBytes. questa cosa succede anche a me, su porte alte e randomiche.. ho provato a chiamare telecom(dopo aver chiuso tutte le porte sopra la 1024 e tenendo aperte solo quelle che voglio)che mi ha detto che sono dei loro test per il passaggio di banda.. bho ma che tipo di test fanno ... fanno attacchi ai pc collegati in questo modo, e senza neanche avvertire. Poi come fanno ad usare così tanti indirizzi ip differenti per fare l'accesso ad una determinata porta? ... spero non siano in qualche modo in grado di controllare i vari pc su cui è installato winzozz con il loro programma!!! Però non ho capito neanche perché mi è caduta la connessione ... non è che stanno facendo delle prove per vedere fino a quando regge una connessione prima di cadere? Fabio Come prima difesa se non si capisce si potrebbe mettere un DROP iptables su quella porta. è quello che ho fatto. grazie a tutti Davide -- Linux User: 302090: http://counter.li.org Prodotti consigliati: Sistema operativo: Debian: http://www.it.debian.org Strumenti per l'ufficio: OpenOffice.org: http://it.openoffice.org Database: PostgreSQL: http://www.postgres.org Browser: FireFox: http://texturizer.net/firefox Client di posta: Thunderbird: http://texturizer.net/thunderbird Enciclopedia: wikipedia: http://it.wikipedia.org -- Non autorizzo la memorizzazione del mio indirizzo di posta a chi usa outlook: non voglio essere invaso da spam
Re: porta 26137
ciao Davide Prina, nel giro di circa 20 minuti ho ricevuto quasi 500 tentativi di accesso alla porta 26137 e poi mi è caduta la connessione (ADSL). I tentativi se non lo conosci gia' questo e' un buon sito: http://www.dshield.org/ ciao -- /* Paolo Pedaletti, -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: porta 26137
Fabio Nigi ha scritto: questa cosa succede anche a me, su porte alte e randomiche.. ho provato a chiamare telecom(dopo aver chiuso tutte le porte sopra la 1024 e tenendo aperte solo quelle che voglio)che mi ha detto che sono dei loro test per il passaggio di banda.. bho ma che tipo di test fanno ... fanno attacchi ai pc collegati in questo modo, e senza neanche avvertire. mha, la signorina del call center non lo sapeva..e a sentirla parlare ho capito che parlare di adsl o di scarpe le ere totalmente indifferente, leggeva dal terminale e basta ho fatto un po' di analisi dei log ed ho trovato che negli ultimi tre giorni 21, 22, 23 febbraio 2005 ho avuto degli attacchi simili. Quello che noto è che i log sono cresciuti a dismisura arrivando intorno ai 60 MBytes (la rotazione la faccio circa una volta la settimana) Guardando gli indirizzi ip, che mi hanno fatto l'attacco il 23, ce ne sono vari (ne ho preso uno per quasi ogni primo numero diverso): 151.49.137.108 - IUNET-BNET49 172.180.218.181 - IANA-BLK 199.2.124.98 - IANA-BLK 212.108.189.251 - TRAVEKOM 213.140.22.64 - FASTWEB-RESIDENTIAL-01 217.113.234.5 - TOYA 62.101.126.208 - FASTWEB-RESIDENTIAL-03 65.40.103.245 - IANA-BLK 66.157.27.43 - IANA-BLK 67.68.9.173 - IANA-BLK 68.237.122.12 - IANA-BLK 80.105.211.87 - TIWS-NETECONOMY 81.208.60.207 - FASTWEB-RESIDENTIAL-02 84.222.88.196 - TISCALINET come si vede quelli qui riportati sono di vari gestori e nessuno di telecom ... come fa telecom a fare questi test ed usare indirizzi ip non suoi? Bisognerebbe capire chi subisce questi attacchi e per quale motivo ... Le cose notate sono: 1) sono fatti su porte alte che sembra nessuno usi e che non abbiano vulnerabilità precise (questo potrebbe essere indizio di un nuovo worm/trojan che si aggancia ad una di queste porte alte, ma ogni volta la porta attaccata è dversa ... o che vogliono far cadere qualche servizio) 2) l'attacco avviene da indirizzi ip di gestori differenti e quindi sembra proprio un attacco di computer slave 3) l'attacco inizia in un dato momento ed è solo su una determinata porta Ciao Davide -- Linux User: 302090: http://counter.li.org Prodotti consigliati: Sistema operativo: Debian: http://www.it.debian.org Strumenti per l'ufficio: OpenOffice.org: http://it.openoffice.org Database: PostgreSQL: http://www.postgres.org Browser: FireFox: http://texturizer.net/firefox Client di posta: Thunderbird: http://texturizer.net/thunderbird Enciclopedia: wikipedia: http://it.wikipedia.org -- Non autorizzo la memorizzazione del mio indirizzo di posta a chi usa outlook: non voglio essere invaso da spam
