Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
* SPIATI DA UN PAZZO!!! Come difendersi?
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
LearningToFly
Mortale devoto
Mortale devoto


Registrato: 09/09/05 01:17
Messaggi: 13

MessaggioInviato: 09 Set 2005 02:04    Oggetto: * SPIATI DA UN PAZZO!!! Come difendersi? Rispondi citando

Saluto il Forum, sono una new entry.
Sono da tempo iscritto alla newsletter, ora però ho specificatamente cercato un canale di comunicazione per risolvere un problema che è davvero assurdo.

Dunque... Trascorro molto tempo in chat, personalmente non ho mai avuto problemi, non sono un mago del PC ma sono senz'altro un utente piuttosto esperto. A fine Luglio ho conosciuto una ragazza su C6 e abbiamo iniziato a conversare piacevolmente tutte le sere. Dopo qualche tempo, tentando un collegamento con la webcam che con C6 spesso non funziona, le ho chiesto il contatto di MSN. A quel punto lei mi risponde che preferisce non darmelo perchè qualcuno la spia. Alla richiesta di spiegazioni più dettagliate emerge una storia piuttosto inquietante ma tutto sommato normale: lei utente inesperta che "bazzica" nei canali di WinMX, un personaggio "furbo" che la prende di mira, un troijan di MSN e tutto si spiega. Da alcune mails provenienti direttamente dal misterioso "spione" l'intrusione è risultata inconfutabile; le sono stati riportati interi stralci di conversazione, riportato il contenuto di conversazioni vocali su MSN e, dulcis in fundo, sono cambiati gli attributi di alcune cartelle (divenute invisibili) sono comparsi files che non c'erano e il menu "dati recenti" di XP mostrava attività svolte da altri.
Col tempo ho cominciato ad affezionarmi molto a questa ragazza, abbiamo iniziato a sentirci al telefono e ho preso abbastanza a cuore la situazione. Le ho cercato e spedito alcuni antitrojians per MSN ma non abbiamo risolto nulla. A questo punto l'ho esortata a formattare il PC in modo da eliminare drasticamente eventuali softwares indesiderati e di munrsi di un buon antivirus che comunque già aveva. Essendomi sempre trovato bene, le ho consigliato il Norton 2005.

Dopo la formattazione lei ha registrato un nuovo profilo su MSN ed abbiamo cominciato a chiacchierare convinti che il problema fosse risolto. Lei nel frattempo frequenta sempre un canale di chat su WinMX (è comunque mIRC) di cui è moderatrice. Proprio questa sera invece... ecco ripresentarsi il problema: due persone della chat di WinMX la contattano per dirle che da ieri succede una cosa strana... appena accendono il PC compare una strana finestra di chat in cui "qualcuno" digita in tempo reale le conversazioni che avvengono tra me e lei su MSN, commentandole.
Qui si va nella fantascienza ma addirittura sostengono che la finestra compaia senza che il PC sia connesso alla rete (e... il misterioso personaggio risponde alle domande per cui non si tratta di un eseguibile appositamente progettato). Sono cose che mi sono state riportate, credo ci sia qualche enorme dettaglio trascurato, ma resta il fatto che il contenuto delle conversazioni era veritiero ed ora sono direttamente coinvolto anch'io.

Ora... sapendo che le conversazioni "divulgate" risalgono ai giorni immediatamente seguenti la formattazione, dopo essermi raccomandato con lei di non accettare files da nessuno e di non aprire allegati di nessun genere dalla posta elettronica, come può questo misterioso personaggio essersi nuovamente infiltrato? e come può usare 2 diversi utenti per giocare divulgando ciò che spia? Temo che non si tratti del classico lamer che si diverte e oltretutto ora è in possesso di informazioni personali su entrambi. Gli antivirus non rilevano nulla, il firewall non segnala niente di anomalo... come si fa a difendersi? Purtroppo l'IP della macchina spiata è fisso... io ho una dial up e penso di essere meno a rischio.

La prima cosa che viene in mente è una bella denuncia alla polizia ma se le persone coinvolte scambiano DivX sui P2P e il canale di WinMX di cui parlavo prima è dedicato proprio a questo, passa subito la voglia di esporsi immaginando le conseguenze in perfetto stile italiano: uno mi spia e io finisco dentro perchè condivido DivX...

Mi rendo conto che i dettagli necessari per capire cosa succeda sono pochi, io stesso sto cercando di capire di più, però è la prima volta che sento una storia simile e sospetto che si tratti di qualcuno in grado di sniffare direttamente il traffico in uscita dal PC "spiato".

Sarei grato a chiunque sapesse come difendersi e volesse contattarmi per darmi qualche consiglio su come arginare il problema.

Grazie a tutti.
Top
Profilo Invia messaggio privato
kimer[a]
Dio maturo
Dio maturo


Registrato: 20/07/05 06:40
Messaggi: 1966
Residenza: Ancona

MessaggioInviato: 09 Set 2005 07:27    Oggetto: Rispondi citando

ti giuro che è la prima volta che sento una cosa del genere i consigli che ti do sono questi :


1)buttare via norton ed usare un'altro antivirus (raccomando molto avast)

2)usare un buon firewall (sygate o zonealarm)

3)buttare via messenger e usare un altro client di messaggistica istantanea tipo Gaim (lo trovi qua gaim inoltre supporta tutti i protocolli di messaggistica + usati )

4)di alla tua amica di chiudere il contatto con la chat di winmx

considerando che tu usi dial-up nn sono sicuro che tu sia + protetto di lei anzi perchè basta che lui si colleghi al tuo pc e con un trojan tipo back oreficew si può collegare con internet dove cuole lui

e in questi casi la bolletta lievita
Top
Profilo Invia messaggio privato HomePage
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 09:48
Messaggi: 2912
Residenza: Milano

MessaggioInviato: 09 Set 2005 08:31    Oggetto: Rispondi citando

quoto Kimer[a] sul discorso generale di proteggere meglio il PC. Pensa in particolare al firewall oltre all'antivirus.

Il firewall è LA difesa principe.

Provate a fare anche scansioni antivirus online. Alcuni validi sono:
- Kaspersky
- TrendMicro
- Fsecure

Per eventuali software spia fai girare Spybot e ADAware con le definizioni aggiornate (scarica aggiornamenti).

Eventualmente usa HijackThis. Questo piccolo software ti farà un log di sistema. Non cancellare NIENTE ma postalo qui che lo guardiamo per capire cosa c'è che non va.

Consiglio comunque anche a te di leggere la guida di Paolo Attivissimo. In particolare dalla pag. 201 relativa alle Chat. Si può scaricare gratuitamente dal suo sito.

Ah, benvenuto sui nostri forum Smile

.
Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 11000
Residenza: Tokelau

MessaggioInviato: 09 Set 2005 09:02    Oggetto: Rispondi citando

E' una backdoor, direi. E qui il discorso è che non tutti gli antivirus rilevano le backdoor e comunque potrebbe essere stato ri-configurato per non rilevarle. Allora qui si parla di
1- scollegarsi (non credo nemmeno di striscio al fatto che possa essere spiata da scollegata... non dirmi che tu ci credi...)
2- installare un firewall, te l'hanno detto qui sopra ma insisto.
3- ricollegarsi ed aggiornare il sistema operativo, perchè il modo in cui "entrano" questi programmi appiccicosi si basa su buchi del software.
4- aggiornare anche WinMX o quel che usa, anche qui ci possono essere bachi che consentono l'accesso...

... e comunque, quel chiunque è un lamer. Punto. Un hacker ha di meglio da fare... no? Smile
Top
Profilo Invia messaggio privato HomePage
Franto
Semidio
Semidio


Registrato: 14/06/05 15:05
Messaggi: 367
Residenza: como (provincia)

MessaggioInviato: 09 Set 2005 09:23    Oggetto: Rispondi citando

inoltre non dimenticarti di aggiornare windows con tutte le patch!

buona fortuna!

una denuncia alla polizia secondo me va comunque fatta.
Top
Profilo Invia messaggio privato HomePage
issproevolution
Eroe
Eroe


Registrato: 19/08/05 20:36
Messaggi: 57
Residenza: Genova

MessaggioInviato: 09 Set 2005 09:38    Oggetto: Rispondi citando

un buon surrogato di MSN (che uso attualmente) e' Trillian...
se vuoi, ho la traduzione (fatta da me Very Happy) in italiano della versione 3.0!!

ciao,
iss
Top
Profilo Invia messaggio privato
LearningToFly
Mortale devoto
Mortale devoto


Registrato: 09/09/05 01:17
Messaggi: 13

MessaggioInviato: 09 Set 2005 12:50    Oggetto: Rispondi citando

Grazie a tutti per le indicazioni Smile
Rispondo ad alcune per definire meglio la situazione.

Citazione:
Provate a fare anche scansioni antivirus online. Alcuni validi sono:
- Kaspersky
- TrendMicro
- Fsecure


Già fatto, sia sul mio che sul suo PC, non è stato rilevato nulla!

Citazione:
Per eventuali software spia fai girare Spybot e ADAware con le definizioni aggiornate (scarica aggiornamenti).


A questo non ho pensato, mi sono procurato un programma specifico per MSN da www.hack-msn.co.uk però neanche lui si è accorto di nulla, anche quando sapevamo con certezza che le intrusioni erano in corso.

Citazione:
Eventualmente usa HijackThis. Questo piccolo software ti farà un log di sistema. Non cancellare NIENTE ma postalo qui che lo guardiamo per capire cosa c'è che non va.


Mi sembra una buona idea e provvederò il prima possibile.

Citazione:
E' una backdoor, direi. E qui il discorso è che non tutti gli antivirus rilevano le backdoor e comunque potrebbe essere stato ri-configurato per non rilevarle. Allora qui si parla di
1- scollegarsi (non credo nemmeno di striscio al fatto che possa essere spiata da scollegata... non dirmi che tu ci credi...)


Non conosco perfettamente la differenza tra troijans e backdoors, tuttavia è stata la mia stessa ipotesi iniziale, motivo principale per cui, dopo aver tentato analisi con gli antivirus e gli altri strumenti ho suggerito la formattazione. Non credo assolutamente che sia spiata da scollegata, ma forse non mi sono spiegato bene prima. La vicenda coinvolge 5 persone. La vittama ed io, con oggetto le nostre conversazioni; lo spione e i due utenti di WinMX che vengono contattati e a cui sono riportati gli stralci delle conversazioni. Sono queste ultime due che sostengono di veder comparire la finestra di chat (con cui interagiscono) senza essere collegati.
Non credo nemmeno a questo... però così dicono.
Essendo ricomparso il problema praticamente subito dopo la formattazione (lo scopro ora ma le conversazioni spiate sono di allora) è piuttosto improbabile che al primo collegamento sia già presente la stessa backdoor di prima, sbaglio?

Citazione:
... e comunque, quel chiunque è un lamer. Punto. Un hacker ha di meglio da fare... no?


Sembrano le stesse parole che sono uscite dalla mia bocca quando, durante il primo racconto della vicenda, provavo a tranquillizarla dicendo che avremmo risolto il problema, poi però... mi sono dovuto ricredere. Purtroppo un hacker è prima di tutto una persona e come tale può avere qualche pessima mania, come prendere di mira una ragazza... Nella mail che le ha scritto diceva cose deliranti tipo "tu hai avuto tutto dalla vita, io niente, voglio rovinartela..."
La osserva da aprile e dai dettagli emerge una meticolosità che mette un po' di paura.
Tutto è cominciato da un blog di MSN, fotografie... ci sono i presupposti perchè una persona poco sana possa "fissarsi".

Citazione:
una denuncia alla polizia secondo me va comunque fatta.


Nulla da eccepire, sto cercando di convincerla ma dovendo coinvolgere altre persone, essendoci in mezzo i DivX, lei è molto titubante.


Citazione:
un buon surrogato di MSN (che uso attualmente) e' Trillian...
se vuoi, ho la traduzione (fatta da me ) in italiano della versione 3.0!!


Ringrazio, al momento non credo sia necessario. Il mio "piano tattico" prevede di chattare d'ora in avanti solo su yahoo messenger in modo da capire se l'intruso riesce a leggere anche lì. Potrebbe essere un'informazione importante.
In alternativa abbiamo anche Skype e C6. Tra l'altro... su C6 la vedo connettersi anche quando lei è al lavoro e a casa non c'è nessuno, quindi probabilmente l'intruso conosce la password....

Insomma, la situazione è davvero pesante... credo che un normale troijan o una backdoor sarebbero relativamente semplici da individuare e rimuovere, qui c'è di mezzo qualcosa di radicalmente differente.

Ancora grazie a tutti, vi terrò informati delle novità, credo sia una vicenda che interessa tutti essendo così anomala.
Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 11000
Residenza: Tokelau

MessaggioInviato: 09 Set 2005 13:02    Oggetto: Rispondi citando

Citazione:
La vicenda coinvolge 5 persone. La vittima ed io, con oggetto le nostre conversazioni; lo spione e i due utenti di WinMX che vengono contattati e a cui sono riportati gli stralci delle conversazioni.


La vicenda si complica.
Hai davvero prova che "i due utenti" abbiano davvero copia della/e conversazioni? Potrebbe essere uno scherzo...
Valutiamo invece che ci sia davvero qualcuno che spia... sei sicuro che il PC spiato sia quello della tua amica e non il tuo?
Scarica Ethereal e installalo sul tuo e sul suo PC. Quando hai sentore di qualcosa di strano fai partire una bella cattura dei pacchetti, fatelo sia te che lei. Poi gli dai una bella guardata, soprattutto guardi se ci sono pacchetti che portano le vostre parole da altre parti...
Terza -ed ultima- ipotesi... "man in the middle" o qualcosa di simile, non semplice... ma potrebbe essere qualcuno sulla tua o sua LAN, se applicabile al vostro caso, con qualcosa tipo il già citato ethereal e la scheda di rete settata in promiscuo... ma per beccare quelli così ci vuole un bel po' di lavoro...

Citazione:
Tra l'altro... su C6 la vedo connettersi anche quando lei è al lavoro e a casa non c'è nessuno, quindi probabilmente l'intruso conosce la password


Comunque cambiala... e magari non solo conosce la password ma proprio si collega da casa sua... beh, non fisicamente seduto lì intendo Wink ma via backdoor...
Top
Profilo Invia messaggio privato HomePage
LearningToFly
Mortale devoto
Mortale devoto


Registrato: 09/09/05 01:17
Messaggi: 13

MessaggioInviato: 09 Set 2005 13:11    Oggetto: Rispondi citando

Dimenticavo... Smile

Citazione:
considerando che tu usi dial-up nn sono sicuro che tu sia + protetto di lei anzi perchè basta che lui si colleghi al tuo pc e con un trojan tipo back oreficew si può collegare con internet dove cuole lui

e in questi casi la bolletta lievita


Non credo proprio... per fare questo dovrebbe entrare nel PC con Back Orifice, creare una connessione differente, disconnettere quella attiva e lanciare la seconda quindi riprendere contatto con il PC tramite Back Orifice perchè l'IP sarebbe cambiato. Per connettermi lancio la connessione manualmente, il modem ha l'altoparlante a tutto volume... Dovrei essermi addormentato davanti al PC perchè possa capitare una cosa del genere sotto al mio naso. E poi... ci sarebbero tracce più che evidenti nell'elenco delle connesioni remote.

Al momento cmq, sul mio PC non c'è traccia di attività "anomala", di nessun genere. Per ora ritengo di essere spiato indirettamente.

A presto!
Top
Profilo Invia messaggio privato
LearningToFly
Mortale devoto
Mortale devoto


Registrato: 09/09/05 01:17
Messaggi: 13

MessaggioInviato: 09 Set 2005 13:26    Oggetto: Rispondi citando

Citazione:
La vicenda si complica.
Hai davvero prova che "i due utenti" abbiano davvero copia della/e conversazioni? Potrebbe essere uno scherzo...


Diciamo che lo escludo, lei mi sembra la classica brava ragazza, al telefono quando parliamo di questa storia sembra sempre piuttosto spaventata tuttavia... è vero, non ho esperienza diretta delle cose di cui scrivo. Per quanto riguarda le altre due persone so che lei ne conosce una personalmente, l'altra è un semplice contatto di chat e potrebbe anche essere lo stesso spione... non ci sono certezze. Sul fatto che abbiano realmente copia delle conversazioni, sapendo che io non le salvo e non le divulgo, ci sono solo due ipotesi... o la ragazza di cui parlo è fuori di testa e si sta inventando tutto oppure effettivamente se ne sono andate in giro per canali non autorizzati.

Citazione:
Scarica Ethereal e installalo sul tuo e sul suo PC. Quando hai sentore di qualcosa di strano fai partire una bella cattura dei pacchetti, fatelo sia te che lei. Poi gli dai una bella guardata, soprattutto guardi se ci sono pacchetti che portano le vostre parole da altre parti...


Ottima indicazione, grazie, è uno strumento che non conoscevo.
Top
Profilo Invia messaggio privato
Shannara
Dio maturo
Dio maturo


Registrato: 18/05/05 17:24
Messaggi: 1083
Residenza: In cerca di GRoANE

MessaggioInviato: 09 Set 2005 14:08    Oggetto: Rispondi citando

Io provvederei anche a eliminare tutti i programmi e le installazioni scaricate: la backdoor potrebbe essere stata occultata in uno di quelli.

Inoltre (perdonami, ma ho letto un po' velocemente e magari mi è sfuggito) l'account Administrator è munito di password? ... visto che ha reinstallato, la pwd se la sarà vista chiedere, oppure era la solita "schifezzina" OEM (o peggio un CD di ripristino)? E la Pwd sull'accaunt che usa, c'è?
E per Pwd non intendo date di nascita, anniversari, nome di fidanzati e via dicendo.

Per il resto condivido sia il dubbio di SvreX (sulla connessione) sia il suggerimento di monitorare il traffico.
Top
Profilo Invia messaggio privato
Franto
Semidio
Semidio


Registrato: 14/06/05 15:05
Messaggi: 367
Residenza: como (provincia)

MessaggioInviato: 09 Set 2005 14:38    Oggetto: Rispondi citando

Shannara ha scritto:

Inoltre (perdonami, ma ho letto un po' velocemente e magari mi è sfuggito) l'account Administrator è munito di password? ... visto che ha reinstallato, la pwd se la sarà vista chiedere, oppure era la solita "schifezzina" OEM (o peggio un CD di ripristino)? E la Pwd sull'accaunt che usa, c'è?
E per Pwd non intendo date di nascita, anniversari, nome di fidanzati e via dicendo


giusto!
e gia che ci sei
vai in pannello di controllo -> Strumenti di amministrazione -> servizi
e disabilita
"condivisione desktop remoto di net meeting"
"connection manager di accesso remoto"
"Gestione sessione di assistenza mediante desktop remoto"

che non si sa mai...

poi controlla in pannello di controllo -> account utente che gli utenti presenti siano solo quelli che conoscete!
Top
Profilo Invia messaggio privato HomePage
LearningToFly
Mortale devoto
Mortale devoto


Registrato: 09/09/05 01:17
Messaggi: 13

MessaggioInviato: 09 Set 2005 15:01    Oggetto: Rispondi citando

Perdonatemi se abbasso un po' il tiro... Ma stiamo parlando di due PC domestici, per forza c'è l'accesso da admin, non ci sono altri utenti ne sul mio PC ne sul suo. Non ci sono LAN (esclusa qui da me la connessione diretta con il portatile che però collego solo quando devo trasferire files tra le due macchine).

Per quanto riguarda il mio PC... ritengo di essere abbastanza blindato: desktop remoto, segnalazione errori e compagnia bella sono le prime cose che disattivo.
Al di là della sicurezza, uso il PC per fare musica in maniera più che seria e quei servizi fanno a botte col software musicale.
Seguendo le guide per l'ottimizzazione audio di XP ho disabilitato molti altri servizi.
L'account utente mi sembra ok, io accedo sempre come amministratore, poi c'è il classico account "guest" che risulta disattivato. Dopo aver installato il .NETframework la presenza di un guest inattivo è normale.
NB: è disattivata anche l'utilità di cambio rapido utente.
Ho appena installato, aggiornato e lanciato SpyBot. Nulla da riportare se non una ventina di cookie traccianti che ho già rimosso. Ho attivato anche l'immunizzazione.

Sul PC della "vittima"... la formattazione è stata fatta da un amico che ha un negozio di PC e non so con esattezza come siano impostati i servizi di XP però mi informerò. Fino a lunedì comunque tregua, lei è via per una piccola vacanza. Cmq ora non posso perchè sono "sotto esame" ma prevedo di fare presto un sopraluogo personalmente per dare un'occhiata a questo PC, credo sia più che opportuno.
Top
Profilo Invia messaggio privato
LearningToFly
Mortale devoto
Mortale devoto


Registrato: 09/09/05 01:17
Messaggi: 13

MessaggioInviato: 09 Set 2005 15:12    Oggetto: Rispondi citando

Ops... chiedo scusa, ho letto male!
No il mio account da amministratore non è protetto da password. Sono l'unico ad usare il mio PC, non aveva senso impostarne una. Sull'altro chiederò appena possibile ma... è rilevante?
Eventualmente creando un account utente senza i privilegi di amministratore, una backdoor si preoccuperebbe di chiedere il permesso?

Mi viene un dubbio sensato proprio ora... lei è moderatrice del famoso canale di WinMX ma... non le ho mai chiesto se accede alla chat tramite lo stesso WinMX o con uno script di mIRC. Se fosse vera la seconda ipotesi si spiegherebbe come mai il problema è ricomparso subito dopo la formattazione. Segno anche questa tra le cose da chiarire...
Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 11000
Residenza: Tokelau

MessaggioInviato: 09 Set 2005 15:33    Oggetto: Rispondi citando

Prendersi delle schifezze dai canali IRC è praticamente un attimo... ah, se il tipo l'ha beccata tramite IRC è un lamer e punto Wink

Ah, puoi usare Active ports per vedere quali programmi usano le porte TCP/IP dove vedi traffico, magari becchi la backdoor...* (occhio che il tool citato viene rilevato come "security risk" da alcuni antivirus, tra cui Symantec... mah Neutral
Top
Profilo Invia messaggio privato HomePage
LearningToFly
Mortale devoto
Mortale devoto


Registrato: 09/09/05 01:17
Messaggi: 13

MessaggioInviato: 09 Set 2005 15:53    Oggetto: Rispondi citando

Si Si, concordo, se il danno viene da mIRC ce la caviamo in un attimo... Purtroppo fino a lunedì non posso indagare oltre.

Il dubbio che comunque ci sia qualcosa di anomalo mi rimane... navigo da anni, sono abbastanza smaliziato ma ben lontano dall'essere un esperto di sicurezza, eppure non ho mai preso nulla bazzicando sia in rete che su mIRC così come in tutti i posti "pericolosi". Questa storia è troppo strana.
Spero di appurare che si tratti di uno script preconfigurato che, dopo la reinstallazione, ha riconsentito l'accesso al PC. Se così non fosse purtroppo il problema si conferma di gravità più che rilevante.

Tra l'altro XP è molto più protetto dei vecchi sistemi e i lamers di solito riuscivano alla peggio a mettere a segno qualche attacco DOS. Senza accettare direttamente un file l'ipotesi che qualcuno riesca a leggere quel che scrivi ad altri è piuttosto remota...

l'indagine è in corso Smile
Top
Profilo Invia messaggio privato
ulisse
Dio maturo
Dio maturo


Registrato: 02/03/05 01:09
Messaggi: 1531
Residenza: Bagnone (MS)

MessaggioInviato: 11 Set 2005 13:55    Oggetto: Rispondi citando

LearningToFly ha scritto:
No il mio account da amministratore non è protetto da password.


Help

La password non serve solo ad evitare che chiunque acceda ai tuoi dati direttamente "da consolle" ovvero usando la tua tastiera.
Serve anche ad evitare che chiunque acceda ai dati dalla rete.
Se un pc in rete non ha gli account Administrator e Guest protetti da password, frugare tra i files dei suoi dischi è un giochetto da ragazzini.

A proposito di utente Guest occhio che l'informazione che vedi dal pannello di Gestione account è solo parziale.
Utente Guest disabilitato in questo caso significa disabilitato per l'accesso da tastiera ma dalla rete è tutto un altro discorso. Se hai la versione Pro di XP puoi constatarlo anche tu andando a vedere l'elenco degli utenti e il loro stato dal pannello di amministrazione del sistema.

Come al solito, quando parlo di argomenti che non sono proprio il mio pane, chiedo per favore che gli esperti confermino (o smentiscano) queste mie affermazioni.
Top
Profilo Invia messaggio privato HomePage
Gipi'
Dio minore
Dio minore


Registrato: 04/07/05 16:32
Messaggi: 978
Residenza: Vicenza e il mondo possibilmente dall'alto (magari del Teide ;-)

MessaggioInviato: 11 Set 2005 17:24    Oggetto: Rispondi citando

Citazione:
..a pensar male, a volte ci s'azzecca


Alcuni fatti riportati hanno un sapore direi da 'assurdo' Shocked , oltre a questo, la reticenza della ragazza alla denuncia del fatto, mi porta a chiederti se sei assolutamente certo di poter escludere di essere tu l'obbiettivo di questo squallido scherzo? Hide

Putroppo non ho altri consigli.
Auguri
.
Top
Profilo Invia messaggio privato
LearningToFly
Mortale devoto
Mortale devoto


Registrato: 09/09/05 01:17
Messaggi: 13

MessaggioInviato: 13 Set 2005 01:24    Oggetto: Rispondi citando

Escludo assolutamente di essere l'oggetto dello scherzo, insomma, non sto a parlare qui di fatti personali ma garantisco che non avrebbe proprio senso. E' vero che a pensar male si indovina sempre Smile però non esageriamo.

Anyway, riporto le ultime novità: le ho chiesto di fare nuovamente le scansioni on line con Fsecure, TrendMicro e Kaspersky. In attesa di vedere se emerge qualcosa questa sera le ho dato il link all'HackerCheck di Trend Micro e mi sono fatto spedire la pagina di risposta.
Questo è il responso:

Citazione:
Abbiamo trovato alcune criticità, di cui dovresti prendere atto. Sebbene il tuo PC ed i tuoi files paiano essere al sicuro dagli hackers, il tuo sistema offre informazioni di tipo personale e/o contenuti pubblicati sul web.

Apri/Chiudi le porte sul tuo PC:

Porte aperte: 443, 80

Porte chiuse: 53, 25, 22, 21

Questa porte non rispondono: 3128, 500, 445, 5900-5910, 8080, 54320, 12345, 8787, 143, 113, 139, 23, 79, 110, 138, 137, 135, 119

Se una porta non sta rispondendo, è possibile che il tuo firewall sia impostato alla massima sicurezza oppure che sul tuo PC non ci sia alcun servizio installato su quella porta. In entrambi i casi questa è la situazione migliore, perchè gli hackers non possono nè accedere a nessuna di queste porte nè raccogliere informazioni dal tuo PC.


Quindi 2 porte aperte ci sono...
Inoltre ho avuto conferma che lo script di mIRC installato dopo la formattazione è lo stesso che aveva usato in precedenza: ci sono alte probabilità che sia lui la causa e che contenga una backdoor.
Nelle prossime sere installeremo ethereal su entrambi i PC e cercheremo di capire se ci sono pacchetti che vanno a spasso.

Il mio PC all'hackercheck risulta sicuro, norton, spybot e i 3 antivirus online citati in precedenza non rilevano nulla.

A questo punto organizzerei i primi passi per arginare il problema ma qui le mie conoscenze diventano nebulose e non so bene come comportarmi.

Cosa VORREI fare:

1) Chiudere le due porte trovate aperte
2) Rimuovere lo script ad alto rischio per sostituirlo con uno dalla provenienza "sicura"

Cosa NON SO fare:

1) La chiusura delle porte... avviene solo tramite firewall? Che blocco bisogna fare? TCP, UDP, ICMP, tutti e 3?
Inoltre... non conosco la 443 ma mi sembra che la porta 80 sia dedicata a servizi importanti, è possibile bloccarla solo "in entrata" e non in "uscita"?
Insomma, l'operazione di chiusura di una singola porta non mi è affatto chiara.
2) Eliminare lo script che probabilmente contiene la backdoor è sufficiente oppure ormai il danno è fatto e la disintallazione è inutile? Esistono strumenti per rilevare le backdoors in uno script? Ho dato un'occhiata su MondoIRC ma non ho trovato nulla di specifico.

Grazie da subito a chi avrà un po' di pazienza per rispondere.
Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 11000
Residenza: Tokelau

MessaggioInviato: 13 Set 2005 08:51    Oggetto: Rispondi

LearningToFly ha scritto:
Porte aperte: 443, 80


Porta HTTPS (443) e HTTP (80) ... hai un webserver su quella macchina? Se no vuol dire che te l'ha installato qualcun altro...
Top
Profilo Invia messaggio privato HomePage
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi