continui tentativi di intrusione

Ciao
qualche giorno fa ho provato a cambiare un’impostazione degli avvisi di Comodo (da ‘basso’ a ‘medio’)
Mi sono così reso conto che ci sono continui tentativi di intrusione (una media di due-tre al minuto) che riguardano Windows Operating System e non cessano un minuto finchè rimango collegato

Le porte di destinazione cambiano, e anche gli ip di origine. A volte sono diversi ip che si alternano, altre volte è uno solo che per molte ore tenta di collegarsi.

Non capisco cosa possa essere, anche perchè io non uso programmi di p2p (almeno non più da molto tempo)

Sono connesso con una rete senza fili, mentre un altro computer si connette allo stesso modem via cavo.
Ammetto di non essere un esperto, quindi spero siate pazienti :smiley:

grazie

Ciao jokappa, benvenuto nel forum :slight_smile:

per sapere di cosa si tratta bisognerebbe vedere il log (eventi firewall), se vuoi, puoi fare uno screenshot e allegarlo al post…

(:WAV)

ecco qua

il primo screenshot è di ieri. ho tagliato fuori per sbaglio gli orari, comunque erano sulla media di almeno 3 al minuto

http://img195.imageshack.us/img195/8963/scr03.png

http://img266.imageshack.us/img266/6436/scr01.png

Da quello che vedo nel primo screen, niente di preoccupante eccetto la richiesta sulla porta 135 per svchost.

Nel secondo screenshot mi preoccupano tutte quelle richieste in Entrata sulle porte 22, 135 e 445…

Il firewall blocca le connessioni pericolose, comunque io farei un controllo approfondito (scansioni) con vari software antimalware per vedere se c’è qualche ospite indesiderato. :-\

Grazie della risposta. Farò una scansione con a-square e spybot

Ma tutte queste intrusioni cosa potrebbero essere? Sapevo che era normale usando il p2p, ma come dicevo io non lo uso più da almeno un anno. Scusa se insisto…

Mi ero dimenticato di dire che Comodo è su livello ‘policy personali’ e queste intrusioni le blocco io manualmente, perchè quando ho provato ad aggiungere delle regole o a selezionare “ricorda la mia risposta” mi creava problemi con la rete senza fili. Quindi lascio passare quando vedo l’ip 192.168.1.2 e blocco gli altri.
Ovviamente non è che devo bloccare tutte le intrusioni in continuazione ogni minuto, a volte vedo che le blocca da solo, altre volte invece me lo chiede la prima volta soltanto quando cambia l’ip di origine.

Avevo pensato di attivare defense, ma non essendo esperto ho paura di farmi danni da solo!

Perfetto.

Ovviamente non è che devo bloccare tutte le intrusioni in continuazione ogni minuto, a volte vedo che le blocca da solo, altre volte invece me lo chiede la prima volta soltanto quando cambia l'ip di origine.

Avevo pensato di attivare defense, ma non essendo esperto ho paura di farmi danni da solo!

Prova seguendo la guida, dovrai impegnarti un po’ all’inizio… però poi avrai un valido alleato contro tutti i malware :wink:

ok grazie ciao

sirio allora ci potrebbe essere qualcosa a me… cioè, ricevo continui tentativi bloccati sulle porte 137-138… ieri sono arrivato a oltre 1000 intrusioni!!! tutti provendono dall’applicazione “system”… dovrei preoccuparmi ?

Ciao TirpitzITA,

non credo, sicuramente le tue sono UDP Out verso l’indirizzo broadcast che finisce .255

Se fosse così le puoi abilitare.

ha grazie ;D si, sono UDP out verso un indirizzo che termina con .255. cominciavo a spaventarmi dopo quel picco di ieri :wink:

ciao ragazzi,mi intrometto in questa discussione perchè mi è venuto un dubbio…allego i miei eventi :

http://img121.imageshack.us/img121/7532/eventifirewall.jpg

…ci vedete qualcosa di strano?

premetto che questi blocchi il firewall me li ha più o meno sempre fatti.

grazie

         (:WAV)

Ciao nick,

beh… si, in effetti c’è qualcosa di strano.

Coprendo tutti gli indirizzi non si riesce a capire bene, dovresti avere cura di cancellare solo il tuo IP, cioè quello che risulta aprendo il prompt dei comandi (finestra dos) e digitando ipconfig, poi guardare dove c’è scritto Indirizzo IPv4, quell’indirizzo è da offuscare per motivi di privacy.

Veniamo al log, le connessioni in entrata possono essere molto pericolose, perché significa che qualcuno dall’esterno vuole accedere al vostro computer, le porte 22, 23 e 135 (le porte sono indicative, possono venir usate anche altre porte) possono essere usate per il controllo da remoto del vostro pc mentre la 445 può venir usata per esplorare le risorse del vostro pc da un computer remoto.

Di solito chi utilizza un moderno router NAT ha un firewall hardware che a default blocca tutte le connessioni in entrata a meno che non abbiate aperto una o più porte.

Quali trasmissioni in entrata potete consentire? Tutte quelle interne, cioè quelle relative alla vostra rete locale, gli IP li riconoscete perché inequivocabili: di solito quelli compresi nel range 192.168.0.0 - 192.168.255.255, oppure il range 169.254.0.0 - 169.254.255.255 quando c’è qualche errore nell’ottenere l’indirizzo IP.

Spero che questo vi sia d’aiuto per configurare correttamente il firewall e rispondere correttamente alle sue richieste.

                   (:WAV)

ciao sirio :smiley:

sempre gentile e preciso ;D

ti allego uno screen con segnalato una cosa che può essere sospetta…

http://img36.imageshack.us/img36/2072/eventostrano.jpg

Quali trasmissioni in entrata potete consentire? Tutte quelle interne, cioè quelle relative alla vostra rete locale, gli IP li riconoscete perché inequivocabili: di solito quelli compresi nel range 192.168.0.0 - 192.168.255.255, oppure il range 169.254.0.0 - 169.254.255.255 quando c'è qualche errore nell'ottenere l'indirizzo IP.

Riprendo il concetto perché non sono stato chiaro.
Potete accettare le connessioni in entrata avente come Indirizzo di origine uno della vostra rete (192.168.0.0 - 192.168.255.255, oppure 169.254.0.0 - 169.254.255.255).

Quindi nick, fai bene a bloccare le connessioni in entrata che hanno come Porta di destinazione (visto che la connessione è in entrata la Porta di destinazione è quella sul tuo PC) la 445, e come Indirizzo di origine un IP esterno, per i motivi spiegati precedentemente.

Poi ho dimenticato un’altra cosa, l’indirizzo IP 192.168.0.2 (quello che hai malamente offuscato :D) lo puoi lasciare visibile perché fa parte della “rete locale” (che in realtà non lo è) tra il tuo PC ed il router, ed è comune per molti altri.

:wink:

…si nota il mio essere esperto in ste cose… ;D

…è che sulle questioni UDP,TCP,I.P. , ci fatico un po a comprendere :stuck_out_tongue:

tanti saluti

     (:WAV)

Ho fatto scansioni con avira antivirus e a-squared, ma non hanno trovato niente
Devo preoccuparmi? questa è di oggi:

http://img211.imageshack.us/img211/1708/im01c.png

No, se il PC è pulito…

Il firewall sta facendo bene il suo lavoro, e tutti gli eventi bloccati che mostri è giusto che lo siano.

Son ancora qua a rompere le scatole… ;D
Ho provato Windows worms doors cleaner, ho chiuso NetBIOS (tra parentesi l’avevo già disabilitato tramite proprietà della connessione, ma secondo wwdc risultava lo stesso attivo), facendo così però non riuscivo più a connettermi alla rete senza fili, quindi ho lasciato perdere.
Ho provato a chiudere almeno la porta 445, ho riavviato, ma il firewall continua a segnalare e bloccare intruisioni su questa porta

Visto che ti crea problemi non puoi usare WWDC, segui la guida per chiudere quelle porte con il firewall :wink:

Ciao.

ok, grazie ancora :slight_smile: