Ciao a tutti, ho un “problema” con il firewall.
Da quando accendo il computer ho continuamente tentativi di intrusione sul protocollo UDP principalmente sulla porta di uTorrent ( porta di destinazione ) e di emule da parte del sistema operativo che puntualmente il firewall blocca.
L’ip di origine e la porta di origine cambiano sempre.
L’ip di destinazione è 87.xxx.xxx.xxx e non è il mio.
Ovviamente raskphone.pbk era già in sola lettura e non ha subito modifiche.
Ho provato anche a disabilitare il protocollo UDP sulla porta di uTorrent ed emule anche sul router, ma niente.
Qualcuno può spiegarmi che succede?
Ovviamente raskphone.pbk era già in sola lettura e non ha subito modifiche.
Ho provato anche a disabilitare il protocollo UDP sulla porta di uTorrent ed emule anche sul router, ma niente.
Qualcuno può spiegarmi che succede?
Forse hai sbagliato qualche regola. Dovresti postare gli eventi del firewall oscurando il tuo IP interno (quello che hai postato è quello esterno).
No, l’indirizzo NON è il mio; è di uno che sta in provincia di vicenza, e non sono io.
Mi è venuto il dubbio che possa aver scaricato qualcosa di malevolo con la lista server del mulo all’avvio, dato che lo stavo provando, e dato che è la prima volta che lo uso e non so che cosa ho scaricato.
Comunque, per non saper nè leggere nè scrivere, mi risulta che se non condividi nulla non scarichi nulla; da qui la mia perplessità …
Ho anche eliminato tutte le porte sul virtual server ( sia del mulo che di torrent ), ma i tentativi di intrusione sono tuttora in corso ( da parte del sistema operativo; è cambiato anche l’IP di destinazione! ).
Rimango in attesa di chiarimenti,
Grazie
spegni il router x qlk minuto e riavvia anche il tuo pc… vedrai che quando riaccendi tutto non avrai più intrusioni (ovviamente fino a qnd i programmi p2p non verranno aperti!)
Mi è venuto il dubbio che possa aver scaricato qualcosa di malevolo con la lista server del mulo all'avvio, dato che lo stavo provando, e dato che è la prima volta che lo uso e non so che cosa ho scaricato.
Comunque, per non saper nè leggere nè scrivere, mi risulta che se non condividi nulla non scarichi nulla; da qui la mia perplessità ...
Ho anche eliminato tutte le porte sul virtual server ( sia del mulo che di torrent ), ma i tentativi di intrusione sono tuttora in corso ( da parte del sistema operativo; è cambiato anche l'IP di destinazione! ).
Rimango in attesa di chiarimenti,
Grazie
Mah… non credo, cmq prova a fare delle scansioni con vari programmi anti-malware per essere più sicuro.
In ogni modo se non mi fai vedere gli eventi del FW non ti posso aiutare.
Ho provato a spegnere e a riaccendere sia win che il router ma nulla; sia il mulo che utorrent sono portatili, quindi non vedo come possano interfacciare; dai risultati delle scansioni non emerge nulla ( neanche con ShieldsUP ); ho eliminato tutte le porte sul virtual server; io non sono di Vicenza, anche se le gatte mi piacciono; tramite ipconfig ho un’altro indirizzo ( saprò pure dove abito! ).
Waiting …
Certo che ci vuole pazienza con te, come fai a dire che quell’IP è di Vicenza? Te lo dico io di dove sei, sei di Roma e ti connetti con Telecom Italia S.p.A. TIN EASY LIT.
Ci sono due IP per ognuno di noi, uno è quello privato che puoi vedere nelle connessioni attive di CIS l’altro è quello pubblico, che è quello che ho oscurato nel tuo post.
Prova ad andare su www.who.is e vedrai il tuo IP pubblico, nella dicitura: Your IP is xxx.xxx.xxx.xxx
Ora, se vuoi aiuto, dovresti mostrarmi gli eventi del firewall sennò pace.
Se vai su START Esegui cmd ( prompt ) ipconfig ti esce il tuo ip sia pubblico che privato e ti ripeto che l’ip non è il mio! Io sono di Verona e ho un router alice gate 2 plus. In ogni caso ill mo ip non lo vede nessuno perchè navigo su reti anonime con ultrasurf, jondo e tor, per cui questa è la prova che quello che hai tu è di qualcun altro. Ma questo non è il problema; cosa devo fare per mandarti uno screenshot? Proverò light screen port se funzona; ( è la prima volta che faccio screenshot ). ( Comunque adesso tutti gli ip sono cambiati e anche le porte ).
No, ti esce solo quello privato ed altre informazioni.
e ti ripeto che l'ip non è il mio! Io sono di Verona e ho un router alice gate 2 plus. In ogni caso ill mo ip non lo vede nessuno perchè navigo su reti anonime con ultrasurf, jondo e tor, per cui questa è la prova che quello che hai tu è di qualcun altro. Ma questo non è il problema;
Questo non lo sapevo, però forse il problema che hai è dovuto a questo tipo di navigazione, non so, non ho esperienza in questo campo. Non ho mai avuto questa necessità.
cosa devo fare per mandarti uno screenshot? Proverò light screen port se funzona; ( è la prima volta che faccio screenshot ). ( Comunque adesso tutti gli ip sono cambiati e anche le porte ).
Non è difficile, per fare uno screenshot di tutto lo schermo è sufficiente premere il tasto Stamp della tastiera, mentre per fare uno screenshot della sola finestra attiva devi premere Alt + Stamp insieme. Una volta fatto questo apri paint e incolli l’immagine, poi la salverai in formato png o jpg e la alleghi nel post.
Per allegare l’immagine basta cliccare su Additional Options… (che trovi sotto la finestra per scrivere il post), e dopo cerchi l’immagine col pulsante Browse… dove c’è scritto Attach:.
■■■ un altro colpito da WOT ;D
Riporto da un mio post in altri luoghi che non pubblicizzo che non è corretto
Non vi preoccupate, il vostro PC non è indemoniato, state tranquilli, CIS sta solo facendo il suo lavoro che è BLOCCARE !!!
Bloccare è la regola e acconsentire l’eccezione, mai il contrario e CIS fa prorprio questo, esegue quanto gli abbiamo detto di fare;
Avete sicuramente un programma di P2P tipo eule, torrent o simili, se notate il grosso delle intrusioni si hanno quando chiudete questi programmi di condivisione, ciò perchè sebbene il programma sia stato chiuso, chi veniva sul vostro pc per fare download dei vostri file condivisi continua per un bel po’ a chiedere il file, non sa che voi avete chiuso la porta in faccia, quindi i tentativi di entrare continuano. Ora però che il programma P2P è chiuso CIS blocca questi tentativi al 100% ed ecco che il log si riempie anche a distanza di ore dall’ultima volta che avete usato il mulo o torrent;
Windows Operating System (WOS) è un nome di fantasia che gli sviluppatori di Comodo hanno dato, era meglio lo avessero chiamato “Pippo Pluto e Paperino” ma …pazienza.
Ho aperto Torrent pochi secondi e non ho neppure nulla da condividere se non OpenOffice, vi sono altri utenti Torrent che cercano il mio OpenOffice per scaricarlo e fino a quando le loro richieste combaciano con la regola TORRENT che abbiamo creato è tutto ok, poi dopo pochi minuti chiudo il programma e già sono assalito da queste richieste WOS.
Sono richieste in entrata, gli IP sono i più svariati e su porte varie, vogliono il mio OpenOffice che ho messo in condivisione (e legalmente essendo un programma free-open) ma ora ho chiuso Torrent quindi quale è l’applicazione che viene richiamata da queste “intrusioni”? CIS non lo può più sapere visto che Torrent non è più attivo sul sistema e quindi gli da questo nome WOS che sta un po’ come a dire “Non so chi è ma è qualche programma che hai sul pc”.
Spero che sia chiaro ora il perhè di questo elevato numero di eventi e di avervi tranquillizzato.
Se non avete programmi p2p sul pc e fino a ieri le intrusioni indicate erano pochissime ma oggi sono milioni, beh allora forse qualcosa che non va c’è, fate mente locale se tra “ieri” e “oggi” avete installato qualcosa, ci sono stati avvisi del D+ che non avete capito e ai quali avete risposto ok a prescindere… in questi casi fate i controllo con scansione dell’AV e altro e postate il log del FW e vediamo di capire se qualosa di strano si è insediato nel vostro caro pc. Avendo chiuso il P2P inoltre CIS non esegue più la regola TORRENT e quindi giustamente blocca tutto anche se arrivasse sule porte giuste. Le intrusioni possono essere anche cento al minuto dipende anche da quanto condividete, più file a disposizione e più tentativi di entrare per fare download ovvio.
Ora tu usi vari programmi di offuscamento, spesso inutili, come il famigerato Ultrasurf che è quasi un malware, penso che vadano ad agire su alcune porte specifiche magari è la 22 o la 23.
Telnet è un protocollo client-server basato su TCP; i client solitamente si connettono alla porta 23 sul server (nonostante la porta possa essere differente, come per parecchi protocolli internet). In parte a causa della progettazione del protocollo e in parte per la flessibilità tipicamente fornita dai programmi Telnet, è possibile utilizzare un programma Telnet per stabilire una connessione interattiva ad un qualche altro servizio su un server internet.
Qui la lista delle porte IANA
A te scoprire se quei vari orpelli inutili che hai messo passano da quelle porte del tuo pc
Ciao, riguardo l’assenza… ci mancherebbe ognuno ha i propri impegni.
Nello screen che hai postato il protocollo è TCP e non UDP.
Le connessioni vengono bloccate dalle Regole Globali (che regole hai? Potresti postarle?), le connessioni sono in entrata, si perché l’IP Destinazione mostrato è il tuo IP, cioè quello che risulta anche a me.
Ora non so il motivo di questi eventi, forse dipende dal tipo di navigazione che usi (tor, ecc.) so per cderto che il firewall fa quello che deve, cioè blocca le connessioni in entrata.
Dovrei fare dei test per capire, sono anche curioso, però sinceramente non so dove trovare il tempo.
[at] Romagolo
WOT come lo chiami tu ;D non è un nome di fantasia, l’ho scritto tante, ma tante volte… Windows Operating System negli eventi sta a significare che il blocco della trasmissione avviene dalle Regole Globali e non dalle Regole Applicazioni.
Il discorso qui è diverso, gas_972 dice di utilizzare reti anonime per la navigazione, l’IP mostrato negli eventi è quello privato (interno) ma a me risulta come IP pubblico (esterno), cioè l’ultimo suo post proviene da quell’IP.
Inolrte, ci sono tentativi di connessione anche sulle porte 22, 23, che con uTorrent o eMule hanno poco a che fare…
Ciao
P.S. Ho visto che hai aggiunto qualcosa, l’aggiungo pure io ;D
Un’altra cosa: da come dice gas_972, questi eventi li ha da come accende il PC, mentre se dipendessero dai programmi P2P avverrebbero dopo la loro chiusura.
Bella la teoria di Romagnolo, peccato che l’IP di destino cambi sempre e non è il mio. Inoltre i tentativi di intrusione continuano a distanza di giorni dall’apertura dei P2P portatili, dalla riaccensione del router e del computer.
Allego le regole globali di default del network, ( c’erano 4 regole per bloccare e nessun allow, ma adesso sono cambiate !!! ) sulle quali nutro qualche perplessità. Ditemi voi se corretta o meno.
Allego inoltre ipconfig, onde fugare ogni dubbio ( la privacy ,va beh! ).
IPConfig è un comando che non serve a nulla, visto che ti da dati solo della configurazione interna alla rete, quindi quello che vedi non è il tuo IP pubblico (quello che CIS ti indica) ma solo quello dentro casa
Per sapere il tuo IP pubblico devi vedere nel router generalmente nella sua prima schermata trovi WAN ADDRESS e lì lo trovi, altrimenti prova ad andare qui
Per entrare nel router c’è un indirizzo specifico ma cambia da marca a marca, comunque nel tuo caso , lo capisco dal ipconfig che hai dato è http://192.168.1.1/
Da qui comunque http://www.azpoint.net/Script_vari/indirizzoIP.asp lo dovrebbe mostrare, vedi se uguale o meno che con tutti sti programmi di anonimato non si sa cosa verrà fuori.
Darci IP interni non è dire addio alla privacy perchè per sfruttarli uno dovrebbe essere nel raggio di azione del tuo router, conoscerne la password e quindi entrare dentro la tua rete domestica, insomma tranquillo
Una volta che vedrai il tuo IP esterno per me si chiariscono varie cose ovvero che tutto quello che vedi sono tentativi di quel cavolo di roba assurda che hai piazzato per l’anonimato sul pc
Le regole globali che hai non vanno bene, parlo di quelle verdi, devi cancellare tutto ed andare in Proactive Security come Livello di configurazione, mi sa che sei in Internet Security che permette tutto
Poi vai in FW - Procedura invisibilità porte e scegli la opzione 2
Ripeto Ultrasurf & Co. sono dei malware, si comportano come tali quindi se si guardano log e si vede la trasmissione dati si è convinti di essere sotto assedio malware, inoltre per quanto appena detto, se si fosse attaccati da un malware a causa di sti programmi uno manco se ne accorgerebbe
Ma che devi anonimare su un pc? ma che sei la CIA?
PS il tuo IP esterno lo vede pure sto sito, se ti logghi e vedi in una tua risposta in basso c’è il monitorino e a fianco il tuo IP pubblico (che vedi solo tu una volta loggato)
Comunque una bella scansioncina con Emsisoft ex asquared http://www.emsisoft.com/en/software/eek/
e vediamo cosa trova, di sucuro ti segna tutti quei programmi per anonimato come malware e non avrebbe manco tutti i torti
Ovvio che sono le global rules a bloccare, le application rules non possono perchè CIS non riconosce quale programma origina la richiesta, poi WOT è un nome di fantasia che fa solo casini e la gente pensa che il suo sistema operativo non va ;D ne abbiamo visti parecchi di sti soggetti, magari lo chiamassero Global Rules Warning o una roba simile sarebbe stato molto meglio, ma si sa gli ingegneri so straniiii O0
Lui deve iniziare col seccare parecchi servizi del suo XP (penso XP perchè Telnet su porta 23 su seven non c’è di default, penso anche vista non lo abbia attivo,grazie a dio tanto non serve a nulla) però non so se venga usato da uno di quei 3 programmi che usa per anonimato, io provai Ultrasurf e cavolo il pc sembrava posseduto ;D un sacco di entrate e uscite assurde, log non più rispondente alla realtà, insomma da me sta roba è durata un’ora e basta.
Diciamo che dopo una bella pulizia ai servizi inutili il suo log sarebbe più chiaro
E se vai su www.who.is (o il link indicato da Romagnolo) dovrebbe corrispondere al secondo IP che hai con ipconfig (Scheda PPP AliceADSL:).
Poi, nelle connessioni attive di CIS (o negli eventi da te mostrati) risulta il tuo IP pubblico e non quello privato come avviene di solito… perché? ???
Non finisco mai di stupirmi… mi son venuti molti dubbi e mi piacerebbe capire.
Nelle Regole Globali che hai postato i blocchi avvengono perché - da come hai spiegato nell’ultimo post - adesso usi delle regole per bloccare tutte le connessioni in entrata (cioè hai fatto la Procedura Invisibilità Porte scegliendo la terza opzione), primo screen, giusto?
Per i programmi P2P non vanno bene, dovresti usare la Procedura Invisibilità Porte scegliendo la seconda opzione ed otterrai delle regole come nel terzo screen. Con queste Regole Globali però dovresti usare più attenzione a come configuri le Regole Applicazioni per le connessioni in entrata.
Come sono le tue Regole Applicazioni? Le hai configurate correttamente?
Dovresti postare anche quelle per controllare.
192.168 ecc ecc è l’indirizzo de router alice gate 2 plus; detto questo, vorrei ricordare a Romagnolo, nonostante le sue giuste osservazioni, che l’ultima volta che ci siamo sentiti mi aveva consigliato prevx, “tanto per stare tranquillo”, che a mio avviso, e non solo mio, oltre ad appesantire la scansione altrui, non fa un beneamato tubo ( lui! ). Inoltre, l’altro strumento che mi ha consigliato adesso, a quanto leggo in giro, te lo regalano da tanto che è buono; per quanto riguarda il “famigerato” u997, prima di attivarlo l’ho mandato in camas e non fa altro che attivare la potenziale configurazione proxi su IE. Tuttavia non è questa la sede per “queste finezze”. Vorrei focalizzare l’attenzione sul fatto che a distanza di un riavvio le NETSECPOL sono cambiate radicalmente come da screen precedenti. Sul primo screen 4 blocchi e sul secondo la situazione che ritengo normale e di default.
Correggetemi se sbaglio. Inoltre non ho modificato in alcun modo la procedura invisibilità porte; flag numero 3, dato che fin che non si risolve questa cosa non vado certo a far girare il mulo, utorrent o JD ( portatili ).
In ogni caso proverò a rispostare il flag per vedere se il cambiamento delle netsecpol dipende da questo ( ho forti perplessità ). Per quanto riguarda le regole per configurare il mulo, ut e JD ( no, questo ancora mi manca ) mi sono rifatto al trustato forum inglese ( almeno così dicono ). Per quanto riguarda l’IP effettivamente cambia e risulta da ipconfig su gateway predefinito ( così come sugli altri siti per vedersi l’ip, ( tipo questo) ).
Lo strano comportamento dei rilevamenti del firewall dipende invece proprio da dove metto il flag, se sul num 2 o sul num 3. Infati una volta swappato da 3 a 2 sono ripresi i tentativi di intrusione. Sottolineo che queste “manifestazioni” sono iniziate proprio seguendo le regole di configurazione che ho trovato sul forum inglese. Tuttavia, dato che da quando ho provato il mulo, ut o JD, saranno passate almeno 2 settimane, e che le regole per ut e em le ho cancellate per sicurezza, non riesco proprio a spiegarmi il motivo di un simile comportamento specialmente visto e considerato che il firewall, nel frattempo, e per motivi che non rientrano nella presente, ho dovuto reinstallarlo.
