Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Per gieffeo sul TCP/IP filtering
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
SpaceCitizen
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 19/07/03 08:54
Messaggi: 172

MessaggioInviato: 18 Ago 2003 23:03    Oggetto: Per gieffeo sul TCP/IP filtering Rispondi citando

Quote:
quindi è consigliabile attivare il filtro TCP/IP come una delle misure anti-Blaster


Troppo generico: in primo luogo un filtro TCP/IP è rappresentato da un firewall ed in secondo luogo non basta. Esso controlla le varie porte di accesso ai vari protocolli di comunicazione. Dato che le mie difese ( non sto quì a dire come sono strutturate) "nascondono" le porte inutilizzate ed il blaster è passato lo stesso, mi sento di consigliare ( a chi interessa) di andarsi a leggere l'articolo della Microsoft e della Symantec in merito. D'altronde l'avevo già citato io in un post che non è stato minimamente preso in considerazione presi come eravamo da battute facili e polemiche. Occorre chiudere l'accesso a delle porte specifiche ed installare la patch di correzione del sistema operativo. Inoltre (aggiungo io) occorre attivare il firewall per impedire l'accesso dei pacchetti TCP/IP frammentati che potrebbero rappresentare il preludio ad un attacco hacker. I pacchetti frammentati non sono altro che un treno di dati che non vengono correttamente interpretati dal PC e la porta verso cui vengono indirizzati si trova in una sorta di stand by perchè il computer reinvia i dati per riceverne altri e fare il confronto. Durante questa negoziazione se arrivano altri dati "sporchi" la porta continua ad rimanere aperta e l'intruso può mettere in atto il cosiddetto attacco denial of service mettendo sotto stress TUTTE le porte d'accesso. Ci si accorge di questo con un improvviso blocco della navigazione e naturalmente dalla perdita di controllo del pc perchè nel frattempo l'hacker è entrato con un trojan ( simile ad un worm) sfruttando la "saturazione" delle porte d'accesso. Se ti occorre qualche spiegazione non hai che da chiedere.:)

Top
Profilo Invia messaggio privato
gieffeo
Dio minore
Dio minore


Registrato: 17/07/03 14:37
Messaggi: 784

MessaggioInviato: 18 Ago 2003 23:16    Oggetto: ... Rispondi citando

Quote:
in un post che non è stato minimamente preso in considerazione


mal comune, mezzo gaudio :lol (naturalmente continuando a non "pesare" niente!!!)



grazie, se ho bisogno chiedo sicuramente ... d'altronde l'avevo gia' fatto, ma non sempre si e' fortunati al primo colpo :rolleyes



per intanto le due spiegazioni mi hanno sufficientemente chiarito il dubbio :)



p.s. anche se avessi postato sotto quello gia' aperto, non mi sarei offesa affatto ;)

Top
Profilo Invia messaggio privato
SpaceCitizen
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 19/07/03 08:54
Messaggi: 172

MessaggioInviato: 19 Ago 2003 05:20    Oggetto: Re: ... Rispondi citando

Si ma non mi andava di incollarlo ad un 3d con polemiche. :) E nel frattempo mi è venuto anche un dubbio: che qualcuno non crede al mio problema. Questo è il report dell'antivirus:

---------------------------------------

Category: Virus alerts



Date,Feature,Virus Name,Action Taken,Item Type,Target,Suspicious Action,User Name,Computer Name,Details



15/08/2003 20.35.16,Auto-Protect,W32.Blaster.Worm,Automatically deleted,File,N/A,N/A,SHADOW,HAL9000,Source: C: RECYCLERS-1-5-21-1343024091-1935655697-725345543-1003Dc11.exe



15/08/2003 19.57.10,Auto-Protect,W32.Blaster.Worm,Repair failed,File,N/A,N/A,SHADOW,HAL9000,Source: C: WINDOWSSystem32msblast.exe



15/08/2003 19.57.10,Auto-Protect,W32.Blaster.Worm,Access denied,File,N/A,N/A,SHADOW,HAL9000,Source: C: WINDOWSSystem32msblast.exe



15/08/2003 19.57.10,Auto-Protect,W32.Blaster.Worm,Repair failed,File,N/A,N/A,SHADOW,HAL9000,Source: C: WINDOWSSystem32msblast.exe

-----------------------------------------

Omettendo almeno un centinaio di altri dati uguali, perchè veniva individuato ma non cancellato. Sono stato costretto prima ad eliminarlo a mano ed una volta isolato dal sistema e gettato nel cestino ( recycler) è stato eliminato definitivamente. In seguito, per togliere i files residui e la stringa di registro che lo avrebbe attivato ad "orologeria" per un attacco DoS ( Denial of Service) ho lanciato un tool apposito. La gravità di questa situazione risiedeva nell'essere coinvolto assieme ad altri pc nell'attacco al web update di Microsoft, la quale aveva già preso le contromisure. E questo voleva dire essere indagato assieme agli altri come possibile "guastatore". Altro che battuta su IE. Leggi:



Quote:
In pratica, l'anonimo creatore del «verme» ha sbagliato nell'inserire l'indirizzo della pagine web da attaccare. Così venerdì Microsoft ha potuto proteggere la sua rete eliminando la pagina web con la Url usata dal Blaster.




Questo è lo stralcio d'articolo di giornale menzionato da pincopallino. A Sverx sembrava strano che Microsoft avesse messo in atto una sostutuzione di pagine in tal modo. Ebbene se la url usata dal blaster era sbagliata questo non vuol dire che avrebbe potuto incasinare lo stesso qualcosa. Quindi hanno rimosso le pagine lasciando intatto l'indirizzo per appostarsi e tracciare l'attacco. Altrimenti sarebbe andato a vuoto. L'autore dell'articolo forse non è stato molto preciso. Se QUALCUNO mi avesse posto la fatidica domanda: ma perchè sei così agitato, avrei potuto dare questa spiegazione invece che mettermi a litigare. VA BENE? E quest'altro è il report degli errori di sistema:

------------------------------------------

Rapporto System Information disponibile in: 08/18/03 13:48:10

Nome sistema: HAL9000

[Segnalazione errori di Windows]

Ora        Tipo        Dettagli       

11/08/2003 9.33        Application Error        Applicazione che ha provocato l'errore iexplore.exe, versione 6.0.2800.1106, modulo che ha provocato l'errore mshtml.dll, versione 6.0.2800.1106, indirizzo errore 0x000a62a3.


-------------------------------------------

Che corrisponde in pieno al giorno in cui ho chiesto lumi ad egosumquisum2 perchè pensavo che fosse l'unico in sede. Apparentemente sembrerebbe esatta la tesi di SverX ma in realtà manca il codice di errore generato e riporta solo l'indirizzo di memoria. Questo potrebbe far pensare ad un tentativo di interpretazione in html di una a-p-p-l-e-t-java bloccata perchè conteneva codice maligno. Di questo non posso incollare il report perchè l'elenco all'11 di Agosto si è aggiornato. E dato che il blaster si introduceva tramite a-p-p-l-e-t-java...Questa è un' ipotesi, non intendo dare la colpa al webmaster ma sembra proprio che sia stata operata una sostituzione temporanea di pagina. E nei due giorni precedenti visualizzavo dei riquadri di pubblicità "ambigue". E cercavo riscontro con ego perchè gli altri credo non siano entrati affatto nel forum per poter notare tali mutamenti. E se anche fosse l'autore di questo "capolavoro" potrebbe aver preso di mira proprio me, dato che anche se navighi con un firewall l'indirizzo IP non è stealth. Difatti il tipo con le esternazioni metafisiche mi aveva puntato con i suoi post. Ed io avevo DETTO A TUTTI di stare in campana.



Top
Profilo Invia messaggio privato
gieffeo
Dio minore
Dio minore


Registrato: 17/07/03 14:37
Messaggi: 784

MessaggioInviato: 19 Ago 2003 07:49    Oggetto: risposte e polemiche Rispondi citando

no, forse non mi sono spiegata: intendevo il 3d aperto da pinco in cui rispondeva alla domanda e dal quale hai tratto il pezzetto che hai citato, non l'altro con le polemiche :)



beh, non ha importanza: alla fine io ho avuto la mia risposta e tu hai esteso per bene fin nei dettagli il tuo problema ... meglio di cosi', non si poteva, no? 8o

Top
Profilo Invia messaggio privato
SpaceCitizen
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 19/07/03 08:54
Messaggi: 172

MessaggioInviato: 19 Ago 2003 14:09    Oggetto: Re: risposte e polemiche Rispondi citando

Si ma io sono rimasto nel frattempo senza una spiegazione logica. Ho solo ricevuto una bella serie di improperi. :rolleyes

Top
Profilo Invia messaggio privato
SpaceCitizen
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 19/07/03 08:54
Messaggi: 172

MessaggioInviato: 19 Ago 2003 17:02    Oggetto: Re: solo risposte e basta polemiche Rispondi citando

Ebbene si, non mi interessa più. D'altronde sono tornato per rimanerci.

Top
Profilo Invia messaggio privato
gieffeo
Dio minore
Dio minore


Registrato: 17/07/03 14:37
Messaggi: 784

MessaggioInviato: 19 Ago 2003 17:23    Oggetto: risposte Rispondi citando

azzardo? secondo me, se non hai ottenuto delucidazioni e' perche' nessuno le aveva: succede ed e' sempre meglio che ricevere per indiscutibili risposte fuorvianti :)



per gli improperi, vai tranquillo, che dall'esterno sembrava pari e patta :rollin



;)



(cmq non disperare, che da quanto ho visto, a volte utenti di passaggio riesumano vecchi 3d e forniscono l'agognata risposta esatta :D )

Top
Profilo Invia messaggio privato
SpaceCitizen
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 19/07/03 08:54
Messaggi: 172

MessaggioInviato: 19 Ago 2003 18:30    Oggetto: Re: risposte Rispondi

Quote:
per gli improperi, vai tranquillo, che dall'esterno sembrava pari e patta


Puzzolente:rollin



Quote:
secondo me, se non hai ottenuto delucidazioni e' perche' nessuno le aveva




A dire il vero SverX mi ha poi risposto. Anche se si fosse trattato di un attacco mi esortava a non considerare una situazione mirata verso di me. Probabilmente ha ragione.

Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi