|
| Precedente :: Successivo |
| Autore |
Messaggio |
chemicalbit
Dio maturo
Registrato: 01/04/05 17:59
Messaggi: 18597
Residenza: Milano
|
 Inviato: 13 Set 2005 15:41 Oggetto: |
 |
|
ciao LearningToFly !
Premesso che non ho seguito per bene tutta la discussione
Anche perché tratta molti argoemnti di cui so ben poco, e quindi mi ci perdo. Per es.:
| LearningToFly ha scritto: | | un canale di chat su WinMX (è comunque mIRC) |
che c'entra WinMX (programma per scambi peer to peer, argomento di cui m'intendo poco) con mIRC (programma per chat IRC, di cui invece sono un po' pratico, ed che uso proprio mIRC) ?
Rispondo però almeno a questa parte su mIRC, della quale un po' me ne intendo
(un po', per cui non prendere per oro colato quello che dico)
| LearningToFly ha scritto: | | Inoltre ho avuto conferma che lo script di mIRC installato dopo la formattazione è lo stesso che aveva usato in precedenza |
Inanzittutto, una domanda:
ma installato volontariamente (pensando che si trattasse di uno script utile ed innocuo?
o installato "non si sa bene come" da qaulche altro programmino-malefico (trojan, virus, ecc.) che è riuscito ad arrivare sul computer?
Come dice lo stesso autore di mIRC nel help del programma,
mai installare script che non si comprendano (e fino in fondo!)
(generale regola di prudenza)
| LearningToFly ha scritto: | Cosa VORREI fare:
[...]
2) Rimuovere lo script ad alto rischio per sostituirlo con uno dalla provenienza "sicura" |
Sostituirlo?
A parte quanto detto detto prima come "generale regola di prudenza",
in quesot caso in particolare a maggior ragione io proverei ad utilizzare mIRC senza alcun script anche per un motivo come dire ... "diagnostico": per vedere se così i problemi si risolvono.
| LearningToFly ha scritto: |
Cosa NON SO fare:
[...]
2) Eliminare lo script che probabilmente contiene la backdoor è sufficiente oppure ormai il danno è fatto e la disintallazione è inutile? Esistono strumenti per rilevare le backdoors in uno script? Ho dato un'occhiata su MondoIRC ma non ho trovato nulla di specifico. |
Inanzittuto prova a guardare in mIRC (ma che verisone hai?),
menù "tools" -> "Script editors".
ti si apre una nuova finestra con cinque linguette:
"Aliases", "Popups", "Remote", "Users", "Variables".
Nel mio mIRC che per quanto riguarda queste configurazini è ancora con l'impostazione di default (proprio perhcé non le conosco bene e quindi non mi fido a cambiarle. Mentrre le altre impostazioni ne cambiate a bizzeffe ...)
l'unica in cui c'è qualcosa è "Popups", che contiene comunque solo comandi abbastanza comprensibili (join, away, whois , motd, eccetera).
Facci sapere se in quelel finestre ci sia qualcos'altro.
Per ogni "sottofinestra" devi prendere il menù view, e guardarli tutte le voci di quel menù.
E controlla anche:
menù Tools -> Options
nella nuova finestra, a sinistra: connect -> options .Nella parte a destra ora premi il pulsante "perform".
Ti si apre un'altra finestra. "Enable perform on connect" deve essere disabilitato.
Io nel frattempo chiedo se gli script posano risiedere anche altrove (in un file esterno per es.).
L'ultima modifica di chemicalbit il 13 Set 2005 16:00, modificato 1 volta |
|
| Top |
|
 |
LearningToFly
Mortale devoto
Registrato: 09/09/05 01:17
Messaggi: 13
|
| Inviato: 13 Set 2005 15:43 Oggetto: |
|
|
| SverX ha scritto: | | ... hai un webserver su quella macchina? Se no vuol dire che te l'ha installato qualcun altro... |
No, la macchina in questione non è la mia ma quella della ormai famosa ragazza spiata. Non credo proprio che abbia un webserver installato, non penso nemmeno che saprebbe cosa farsene. Questa sera vedrò di capire se c'è un motivo.
Ho letto che ci sono diversi trojians che usano la porta 80, già questo potrebbe essere indicativo.
Lurkando qua e là per capirci qualcosa di più, mi sembra di aver intuito che l'unico trojian in grado di fare le cose riportate nei messaggi precedenti è sub7... però sulla macchina "target" c'è il norton 2005 e sub7 viene riconosciuto. Qualche idea? |
|
| Top |
|
|
LearningToFly
Mortale devoto
Registrato: 09/09/05 01:17
Messaggi: 13
|
| Inviato: 13 Set 2005 16:06 Oggetto: |
|
|
| chemicalbit ha scritto: | Inanzittutto, una domanda:
ma installato volontariamente (pensando che si trattasse di uno script utile ed innocuo?
o installato "non si sa bene come" da qaulche altro programmino-malefico (trojan, virus, ecc.) che è riuscito ad arrivare sul computer? |
Ciao a te 
Dunque... lo script è stato installato volontariamente. Il problema grosso in tutta questa discussione è che non ho accesso diretto al PC di cui si parla, quindi fare i controlli che mi suggerisci diventa complicato. Cmq, tempo fa chattavo in mIRC anch'io e me l'ero studiato un po'... la classica backdoor da script non può fare niente di quel che succede su quel PC. Il problema nasce se lo script è stato "confezionato" per installare qualcosa di più pericoloso...
Per quanto riguarda il rapporto WinMX e mIRC... è vero, sono due cose diverse ma su WinMX esistono anche le chat e sono basate su protocollo IRC. Per avere un controllo migliore dei canali, dopo le prime volte, è più comodo usare il mIRC vero e proprio. Lo script su alcuni canali, in particolare quelli di scambio, è necessario. Ad esempio io ne ho uno che si chiama Excursion configurato apposta per lo scambio di basi musicali.
Entrando su un canale in cui lo script è richiesto di solito si assume che sia "sicuro". Purtroppo però... uno script non è come installare Word, se qualcuno te lo passa, potrebbe prima averci messo le mani... |
|
| Top |
|
|
sparko73
Mortale devoto
Registrato: 18/06/05 01:29
Messaggi: 9
Residenza: Bologna
|
| Inviato: 14 Set 2005 03:40 Oggetto: sikurezza |
|
|
Leggo ora il forum per il link trovato sul numero 682 di zeusnews. Sono un semplice utente curioso ma poco studioso, quindi ignorante. Tuttavia l'argomento mi solletica. Ho chiesto ad amici autorevoli in campo di sicurezza di dare un occhiata a questo episodio fornendogli il link della discussione. Non so se risponderanno in questa sede o in pvt (credo la seconda ipotesi) e nel caso vi riporterò tutto quanto mi diranno. Spero mi rispondano e soprattutto che riescano a venirne a capo.  |
|
| Top |
|
|
serix
Mortale devoto
Registrato: 04/05/05 07:28
Messaggi: 19
Residenza: mare e sole
|
| Inviato: 14 Set 2005 08:02 Oggetto: giusto... cambia la password |
|
|
Ciao a tutti... questa discussione fa rabbrividire...
Vuol dire che qualche malintenzionato può mettere le "manacce" nel tuo pc, conoscere tutti i tuoi dati personali leggendo ad esempio i tuoi curriculum  , vedendo le tue foto  , leggendo magari il diario segreto che hai sul pc  : non ci voglio pensare, sembra quasi fantascienza...
Comunque ho sentito dire da alcuni amici che se uno conosce il tuo IP può arrivare + facilmente nel tuo pc, e oltretutto bekkare l'IP di qualcuno mi pare sia semplice.. mi sembra che anche quando ricevi un'email da qualcuno, se vai nelle "proprietà" è visibile... (sbaglio?  )
Ma come mai questa ragazza ha l'IP fisso? Non può metterlo dinamico? Oltretutto consigliale di cambiare la password, scegliendone una alfanumerica con caratteri anche maiuscolo, del tipo "Flyinthesky1473".
Mi raccomando, tienici aggiornati!!! |
|
| Top |
|
|
Isaac Neutron
Mortale devoto
Registrato: 06/09/05 09:17
Messaggi: 14
Residenza: Un po' ovunque
|
| Inviato: 14 Set 2005 09:21 Oggetto: |
|
|
Ciao LtF
Argomento interessante.
Da quello che mi sembra di aver capito sono due PC senza lan collegati in rete tramite modem.
Vi chiamerò A (tu) e B (altro PC) per abbreviare
Secondo me dovresti rifare queste cose in sequenza:
1) formattazione del PC di A e di B e reinstallazione del SO
2) installazione di un firewall e di un AV
3) aggiornamento del SO alle ultime patch
A questo punto è impossibile che via SW ci siano dei problemi, a meno che chi formatta il PC di B (un amico mi pare) non inserisca qualcosa. Ammesso che non lo faccia ed escludendo dispositivi di keylogging HW sul PC di B i due PC sono a posto.
4) Installate programmi sicuri, ad esempio usando Skype la conversazione (anche video) viene cifrata
4b) Provate ad usare una VPN e programmi di crittografia.
5) Se devi controllare il suo PC da remoto prova ad usare UltraVNC.
Altre cose da dire mi pare non ci siano rispetto a quello che già fai.
Tienici aggiornati
Un saluto |
|
| Top |
|
|
Rinaldo
Mortale devoto
Registrato: 03/08/05 09:44
Messaggi: 6
|
| Inviato: 14 Set 2005 10:52 Oggetto: |
|
|
| LearningToFly ha scritto: |
Ho letto che ci sono diversi trojians che usano la porta 80, già questo potrebbe essere indicativo.
|
La porta 80 deve essere bloccata solo in entrata (in uscita è normale che venga aperta, altrimenti smetti di navigare)...
Cmq, secondo me (facendo un grosso sforzo per accettare l'ipotesi che non si tratti di una burla) le formattazioni che avete fatto sono state inutili: se poi avete rimesso tutto ciò che c'era installato, se tra queste cose c'era qualcosa di infetto vi ritrovate al punto di partenza....
Sempre secondo me, quel qualcosa che sta creando danni è arrivato tramite winmx (magari qualche cretinata che ha scaricato la tua amica (tipo screensaver, o qualche programmino per lavorare coi divx) e che continua a reinstallare appena riprende il pc)...e probabilmente, non è l'unica del canale ad averla scaricata: il fatto che solo a due utenti appaiano le conversazioni mi fa pensare che anche loro sono nella stessa vostra situazione...
Ps: un firewall è come una porta blindata a difesa di una casa: se si lascia la chiave di fuori, è solo un bel soprammobile (questo per dire che avere un firewall ma non saperlo configurare (lasciando ad ogni applicazione libertà totale di movimento..sei sicuro che la tua amica non faccia cosi??) è solo uno spreco di risorse ) |
|
| Top |
|
|
horus
Macchinista
Registrato: 22/03/05 09:48
Messaggi: 2554
Residenza: Sirio e dintorni
|
| Inviato: 14 Set 2005 10:59 Oggetto: |
|
|
| Rinaldo ha scritto: | | "Forse" perchè è la porta usata normalmente dall'http (come già detto da qualcuno prima), e perciò non può essere bloccata senza bloccare la normale navigazione su internet? |
Già però mi serve lasciarla aperta solo se ho un webserver attivo (quasi nessuno) altrimenti posso chiuderla tranquillamente, per navigare ti colleghi alla 80 del server.
Concordo pienamente che sia la più sfruttata specialment perché, se non ricordo male, quando installi un sistema operativo con IIS questo è per default avviato automaticamente e a lui serve la 80 aperta.
Edit: si sono accavallati i messaggi, abbiamo detto la stessa cosa. |
|
| Top |
|
|
technoman
Comune mortale
Registrato: 14/09/05 11:42
Messaggi: 1
Residenza: Trieste
|
| Inviato: 14 Set 2005 11:46 Oggetto: presa in giro |
|
|
Ciao.
A me sembra di vedere il film take down, sulla storia di kewin mitnik.
Mi sa molto di presa in giro, o da parte della ragazza o di qualcuno che la conosce bene (tipo la persona che gli ha reinstallato il computer)
Ale  |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 17:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 23 Set 2005 21:13 Oggetto: |
 |
|
| LearningToFly ha scritto: | | Il problema grosso in tutta questa discussione è che non ho accesso diretto al PC di cui si parla, |
Sì, questo l'ho capito (anche se, coem avevo scritto, non avevo seguito tutta questa discussione),
ma
| LearningToFly ha scritto: | | quindi fare i controlli che mi suggerisci diventa complicato. |
in ogni caso mi pare di aver capito che tu sei in contatto con quest'altra persona.
Per cui basterebbe che tu le scrivessi i controlli che deve fare. (anche copia-incollando il relativo pezzo del mio messaggio).
Visto che si tratta di un utente abbstanza esperto di computer (dondivide file, chatta, ecc. ecc.) non penso che ci siano problemi a fare quei semplici controlli[/quote]
| LearningToFly ha scritto: | | Cmq, tempo fa chattavo in mIRC anch'io e me l'ero studiato un po'... la classica backdoor da script non può fare niente di quel che succede su quel PC. |
A dire il vero, il logging di una conversazione non mi sembra una cosa impossibile da fare con uno script
(per correttezza preciso che non sono poi così esperto, per cui questa è solo una mi impressione. non posso dimostrarlo .... per esempio creando un simile script)
| LearningToFly ha scritto: | | Il problema nasce se lo script è stato "confezionato" per installare qualcosa di più pericoloso... |
a me viene in mente uno script che loggi in un file
e una backdoor che pemetta ad un utente esterno di accedere al PC e leggere quel file.
E' un'ipotesi, nulla di più.
| LearningToFly ha scritto: | | Entrando su un canale in cui lo script è richiesto di solito si assume che sia "sicuro" |
Ehm ... come dicevo lo stesso autore di mIRC invita ad avere una maggiore cautela.
se poi tu hai dei validi motivi per fidarti di quello script e dell'autore che l'ha creato non lo vengo a mettere in dubbio,
però visto che la situazione è talmente "assurda" che quasi non ci si dovrebbe neppure fidarci di se stessi (magari in questo moemnto ho uno script + backdoor che scrive al posto mio i messaggio nel forum ) ....
| LearningToFly ha scritto: | | Purtroppo però... uno script non è come installare Word, se qualcuno te lo passa, potrebbe prima averci messo le mani... |
Semmai il problema è l'opposto.
Gli script che potrebbero (e dovrebbero) essere controllati.
Quanti controllano Word prima d'installarlo? Potrebbe essere stato alterato ad arte pure quello ...  |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
