Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Aiuto per un Newbie: Black Ice, Genius e porte in listening

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Aiuto per un Newbie: Black Ice, Genius e porte in listening

Postdi nemo99 » 30/11/02 08:58

Salve sono nuovo del forum e saluto tutti innanzitutto.

Ho un quesito da porvi..
Le caratteristiche del mio PC sono;
Sistema Operativo WIN98 SE
Firewall Black Ice Defender
Utility Internet Genius

Ieri sera mentre navigavo Black Ice Defender si è messo a lampeggiare come fa di solito, andando a controllare il tipo di attacco che mi stavano
scagliando BID mi ha segnalato


un ICMP unreachable storm proveniente da un certo IP
un ICMP subnet mask request proveniente da un altro IP

Genius mi segnalava nel frattempo qualcuno che cercava di fare un
collegamento Telnet sul mio PC

la macchina poco dopo è andata in crash

Poichè il tema della SICUREZZA mi sta a cuore volevo dei consigli
da voi per stare un pò più al sicuro..

Un'altra cosa strana è che quando eseguo il comando netstat -an (a PC
non collegatato in rete) mi escono un bel pò di porte in listening (tra
cui la 12345 NETBUS?)
Qualcuno pùò suggerirmi come chiudere le porte non indispensabili?

Grazie in anticipo

Proto Indirizzo locale Indirizzo remoto Stato
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1032 0.0.0.0:0 LISTENING
TCP 0.0.0.0:10 0.0.0.0:0 LISTENING
TCP 0.0.0.0:19 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:23 0.0.0.0:0 LISTENING
TCP 0.0.0.0:53 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1080 0.0.0.0:0 LISTENING
TCP 0.0.0.0:12345 0.0.0.0:0 LISTENING
TCP 0.0.0.0:31337 0.0.0.0:0 LISTENING
TCP 0.0.0.0:129 0.0.0.0:0 LISTENING
TCP 0.0.0.0:137 0.0.0.0:0 LISTENING
TCP 0.0.0.0:138 0.0.0.0:0 LISTENING
TCP 0.0.0.0:139 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1019 0.0.0.0:0 LISTENING

:(
nemo99
Utente Junior
 
Post: 33
Iscritto il: 30/11/02 08:52

Sponsor
 

Postdi kadosh » 30/11/02 10:30

Se hai già il Black Ice Defender, uno dei tanti FW in circolazione, puoi chiuderti le porte semplicemente impedendo al programma o al servizio di andare ad aprire una connessione con quella porta in particolare, quindi dovrai settarti delle policy nel FW a mano.
Purtroppo se quello è il tuo tracciato, oltre ad un potenziale Netbus dovresti avere anche il Back Orifice, che lavora sulla porta 31337.
Il resto sono tutti servizi di Win, ma se non ti serve tra questi disabilita il NetBIOS sulla 139 dalle proprietà del protocollo TCP/IP, con Win 98 è davvero facile penetrarti nel File System via NetBIOS. Ciao ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi nemo99 » 30/11/02 13:47

Grazie per la risposta
Quindi di tutte le porte che sono in listening devo chiudere manualmente in BlackIce Defender la 31337 e la 139.

Come posso verificare se sul mio PC si sono installati i troiani che hai detto?

Con un Antivirus o posso verificare il registro di sistema sui servizi che partono allo startup?

Le altre porte in listening sono sicure???

Grazie
nemo99
Utente Junior
 
Post: 33
Iscritto il: 30/11/02 08:52

Postdi kadosh » 30/11/02 14:23

Chiudi anche quella del Netbus, la 12345, le altre sono servizi di rete o di Win.
Per vedere se hai trojani attivi basta controllare se nel Task Manager hai processi strani attivi; oppure puoi usare uno dei programmi che si trovano in circolazione come TrojanRemover, The Cleaner et similia che fanno lo stesso controllo. ;)
Puoi anche usare il RegCleaner per vedere allo startup che c'è di bello e rimuoverlo se non è di tuo gradimento :P
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi nemo99 » 30/11/02 14:32

Quindi il fatto che quelle porte pericolose sono in listening dipende solamente dal fatto che io ho dei server di troiani sul mio PC.

Is it right?

TIA
nemo99
Utente Junior
 
Post: 33
Iscritto il: 30/11/02 08:52

Postdi piercing » 30/11/02 14:37

Ho modificato il titolo per maggiore chiarezza e per facilitare le ricerche sul forum... ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi nemo99 » 30/11/02 14:41

L'avrei intitolato "PORTE in LISTENING"

che dici??
nemo99
Utente Junior
 
Post: 33
Iscritto il: 30/11/02 08:52

Postdi zello » 30/11/02 15:56

Non è che qualcuno dei software si mette in ascolto su porte sospette per individuare i portscans? Hai un sacco di roba che mi suona "strana".
A parte elite (31337) e netbus (12345), hai aperto telnet (23), ftp(21), sock proxy (1080), dns (53), la 10 (e non so cosa sia), chargen (19), e altre che non conosco.
Se non sei in rete (nel senso - se è il computer di casa) la cosa mi sembra sospetta. A livello di tcp io sono messo così
Codice: Seleziona tutto
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING
  TCP    127.0.0.1:110          0.0.0.0:0              LISTENING

Tieni conto che la 110 è spampal e le altre sono blindate dall'esterno.
Prova a disattivare tutti i vari firewall/programmi di sicurezza e rifare netstat -a
Ciao
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi nemo99 » 30/11/02 21:35

Risolto il mistero
:D :D

Le porte pericolose che erano in listening dipendevano dal fatto che stavo usando la funzionalità di Genius PORT GUARDIAN proprio sulle porte menzionate...

Chiuso Genius adesso le uniche porte in listening sono la 137, 138, 139


Meglio così..
nemo99
Utente Junior
 
Post: 33
Iscritto il: 30/11/02 08:52

Postdi zello » 01/12/02 01:23

137-138-139 direi che sono Netbios.
Se non ti serve condividere delle risorse, io lo toglierei (a memoria - dal pannello reti togli client per reti microsoft), meno porte apri e meglio è.

Ma è solo il mio parere.

Ciao
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi BianConiglio » 01/12/02 02:04

zello ha scritto:Ma è solo il mio parere.


E anche il mio :D
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi Nicola » 01/12/02 10:09

BianConiglio ha scritto:
zello ha scritto:Ma è solo il mio parere.


E anche il mio :D

E perchè il mio no? :D

Cmq non capisco l'utilità di quei software (pseudo)anti-trojan che x vedere gli attacchi aprono la porta.. A che serve?

Per me un sw antitrojan deve individuire processi trojan e porte connesse e bloccare entrambi.
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi BianConiglio » 01/12/02 13:18

ma...penso che servano per sgamare gente che tenta di connettersi...anche perchè se il trojan venisse installato e trovasse la porta occupata, switcherebbe su quella succesiva ( default + 1 e così via )
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi Nicola » 01/12/02 13:20

BianConiglio ha scritto:ma...penso che servano per sgamare gente che tenta di connettersi...anche perchè se il trojan venisse installato e trovasse la porta occupata, switcherebbe su quella succesiva ( default + 1 e così via )

a un utente normale credo che non interessi sgamare il lamer di turno ma avere un PC "chiuso" .. no ;) ?
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi BianConiglio » 01/12/02 13:25

ma nemmeno ad esperti...io dico CHISSENEFREGA :D
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi piercing » 01/12/02 13:56

credo che basti togliere il "NetBios over TCP/IP" che generalmente sulle connessioni via modem è già disimpostato di default e nel momento in cui viene attivato causa un messaggio di sistema che avverte dell'insicurezza della cosa...

in pratica attivare il NetBios su tale protocollo consente ad un utente da Internet di vedere le risorse condivise sul tuo PC, e ben conoscendo l'irrobustezza degli algoritmi di verifica password di W98 vorrebbe dire in pratica far vedere a tutto il mondo il tuo pc nell'istante in cui sei connesso...

Se uno si fa una scannerata sulle connessioni dial-up, in giro trova veramente molto di peggio, quindi se non ti serve condividere le risorse in rete (e credo non ti serva...) basta disabilitare quel check... da qualche parte sulle impostazioni di rete... forse su protocolli... vado a memoria perchè W98 non lo vedo da un pezzetto...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi nemo99 » 01/12/02 15:44

Ragazzi col senno di poi è facile parlare...
Ora so che ad usare un antitroiano come Genius peggioro la situazione..

Il problema è che lo avevo usato perchè qualcuno aveva cercato di introfularsi sul mio PC e volevo capire su quale porta ci stava provando...
nemo99
Utente Junior
 
Post: 33
Iscritto il: 30/11/02 08:52

Postdi nemo99 » 01/12/02 15:48

Auto Test pc-flank

Ultimo quesito....


Mi sono fatto un "auto stealth test" nel sito pc-flank

Il risultato è statoche tutto era in modalità stealth

solo il TCP ping packet è risultato non stealth.

Uso Black Ice Defender..

Cosa devo fare per superare questo esame???

Oppure quale servizio devo disabilitare sul WIN98 SE per non avere problemi?

Bye
nemo99
Utente Junior
 
Post: 33
Iscritto il: 30/11/02 08:52


Torna a Sicurezza e Privacy


Topic correlati a "Aiuto per un Newbie: Black Ice, Genius e porte in listening":


Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti