Che fare in caso di port scan?

Ebbene, su questo sono completamente ignorante. Ho questo tipo che mi sta facendo scan da giorni e non so cosa fargli. Ho fatto un trace-route, senza aspettarmi niente di che, ma ovviamente non lo raggiungo.
Ho fatto un whois, ma l'IP è nascosto da RIPE. Cioè più che altro mi preoccupa un attacco così persistente.
Il suo host, se può servire a qualcuno: 61.137.117.207
Uso come firewall Sygate. Cioè il port.scan è illegale, ma di qui a fare la denuncia ( e se è una società contro la pirateria informatica? Io non sto scaricando un bel nulla da giorni e non so quanto possa essere rischioso denunciare anonimi)

Questo è un thread da evcz, ma credo che ci sia qualcun'altro che può aiutarmi.

[twisterdark]

Sembra drastica ma chiudi tutte le porte eccetto la 8080 per qualche giorno, vedi se cede...
E' una guerra, non procedere con denunce...spesso ti si ritorcono contro

fai delle prove con le porte... il port scan cmq nn è così drastico...magari è qualke deficente ke si diverte...(cmq credo ke qst nn sia topic da AV)...

(cmq credo ke qst nn sia topic da AV)...

scusate l' OT
xkè nn dovrebbe essere un topic da AV?

so ke su AV nn si possono parlare di ste cose...poi magari mi sbaglierò...cmq...torniamo al discorso principale!

se ci fai vedere i log potrebbe essere più semplice darti una mano, cmq a mio parere si tratta di un pc bucato che viene usato per scanning automatici di altri pc. Cosa mooolto comune se si tratta di un server con ip fisso. Io ne loggo 2-3 al giorno ad esmpio.

[Ospite]

a me il whois da un ip appartenente ad un provider cinese

l'unica cosa è usare un firewall, le denunce sono inutili

ma scusa tu hai l'ip dinamico credo, vero? se ti fa lo scan sempre vuol dire che il tuo pc si fa trovare in qualche modo

se ci fai vedere i log potrebbe essere più semplice darti una mano, cmq a mio parere si tratta di un pc bucato che viene usato per scanning automatici di altri pc.

Questo lo pensavo anch'io, ma allora xkè non riesco a tracciarlo?

[domenicoragusa]

@Tabboz: io sono riuscito a tracciarlo e gli ho fatto pure il ping

Codice:

                                                                                                                        C:\Documents and Settings\#####>tracert 61.137.117.207
Rilevazione instradamento verso 61.137.117.207 su un massimo di 30 punti di passaggio
1     *        *        *     Richiesta scaduta.
2    30 ms    30 ms    30 ms  ip-196-1.sn1.eutelia.it [62.94.196.1]
3    33 ms    31 ms    31 ms  f0-0-10.rm20.ec.eutelia.it [62.94.0.106]
4    41 ms    41 ms    41 ms  sl-gw10-mil-5-0.sprintlink.net [217.147.129.201]
5    42 ms    40 ms    41 ms  sl-bb21-mil-8-0.sprintlink.net [217.147.128.42]
6    41 ms    42 ms    42 ms  sl-bb20-mil-15-0.sprintlink.net [217.147.128.33]
7    60 ms    59 ms    58 ms  sl-bb21-par-12-0.sprintlink.net [213.206.129.25]
8   131 ms   130 ms   130 ms  sl-bb24-nyc-9-0.sprintlink.net [144.232.9.166]
9   135 ms   131 ms   130 ms  sl-bb21-nyc-6-0.sprintlink.net [144.232.13.186]
10   132 ms   134 ms   133 ms  sl-bb27-pen-12-0.sprintlink.net [144.232.20.97]
11   133 ms   133 ms   133 ms  sl-bb22-pen-8-0.sprintlink.net [144.232.16.53]
12   176 ms   173 ms   172 ms  sl-bb21-fw-15-0.sprintlink.net [144.232.9.31]
13   201 ms   199 ms   200 ms  sl-bb22-ana-12-0.sprintlink.net [144.232.20.131]
14   201 ms   200 ms   203 ms  sl-bb20-ana-15-0.sprintlink.net [144.232.1.178]
15   200 ms   201 ms   199 ms  sl-gw29-ana-0-0.sprintlink.net [144.232.1.146]
16   205 ms   205 ms   204 ms  sl-china1-6-0.sprintlink.net [144.228.74.222]
17     *        *      388 ms  202.97.51.221
18   474 ms   474 ms   473 ms  202.97.33.121
19     *        *      402 ms  202.97.40.254
20   403 ms     *      407 ms  61.137.0.158
21   403 ms   404 ms   405 ms  220.168.141.150                                  22   411 ms     *      402 ms  61.137.117.207
Rilevazione completata.                                                                                                                                         C:\Documents and Settings\#####>

forse l'avrai fatto anche tu, ma l'ho postato per sicurezza;

Codice:

C:\Documents and Settings\#####>ping 61.137.117.207

Esecuzione di Ping 61.137.117.207 con 32 byte di dati:

Risposta da 61.137.117.207: byte=32 durata=456ms TTL=43
Richiesta scaduta.
Risposta da 61.137.117.207: byte=32 durata=405ms TTL=43
Risposta da 61.137.117.207: byte=32 durata=407ms TTL=43

Statistiche Ping per 61.137.117.207:
    Pacchetti: Trasmessi = 4, Ricevuti = 3, Persi = 1 (25% persi),
Tempo approssimativo percorsi andata/ritorno in millisecondi:
    Minimo = 405ms, Massimo =  456ms, Medio =  422ms

C:\Documents and Settings\#######>

ciao ciao

una volta succedeva anke a me...appena mi connettevo qlk1 mi faceva un port scan o cercava di connettersi su una porta usata generalmente da un trojan. ma io nn mi sn mai proccupato, ho risolto facendo delle scanioni del mio pc con diversi antivirus online ho eliminato dei virus ke il mio nn rilevava e nn ho + avuto problemi

[Ospite]

tabboz usi windows vero?

comincia con il controllare se hai delle strane porte aperte da strani programmi con

netstat -ano

per ogni porta ti da il PID del programma che la sta usando in quel momento

Lo farò. Cmq è strano con sygate personal non riesco a fare il backtrace di quell'indirizzo. Proverò un altro programma.

basta usare tracert di windows

[Evcz]

IP cattivone noto...

Codice:

IP Address:  	61.137.117.207
HostName: 	61.137.117.207
DShield Profile: 	
Country: 	CN  CN
Contact E-mail: 	anti-spam@ns.chinanet.cn.net
AS Number:	4134
AS Name:	CHINANET-BACKBONE
AS Contact:	anti-spam@ns.chinanet.cn.net
Total Records against IP: 	  7195
Number of targets: 	 601
Date Range:	2005-10-25 to 2005-10-27
Comments:

http://www.dshield.org/warning_expla...&Submit=Submit

http://www.dshield.org/ipinfo.php?ip=061.137.117.207

Codice:

inetnum: 61.137.0.0 - 61.137.127.255
netname: CHINANET-HN
country: CN
descr: CHINANET Hunan province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
admin-c: CH93-AP
tech-c: YX69-AP
status: ALLOCATED NON-PORTABLE
changed: lqing@chinatelecom.com.cn 20050825
mnt-by: MAINT-CHINANET
source: APNIC

sfondi una porta aperta... fosse per me tracerei direttamente tutti i collegamenti informatici di qualsiasi tipo con i network cinesi/koreani :D

a parte gli scherzi: tu cambi ip e loro continuano a farti portscan?
che porte provano?
hai qualche servizio di dns dinamici tipo no-ip o dyndns?
se pur cambiando ip continuano a farti scan io controllerei bene di non avere qualche programma in giro per il pc che segnala il nuovo ip...

ah... non è detto che ce l'abbiano con te...
magari stanno provando sistematicamente tutto il range in cui sta il tuo ip ;)

Queste sono le porte di cui mi ha fatto scan:
1028, 1029, 1030, and 4081

Dagli indirizzi che cominciano con 61 ne arrivano anche altri, ma questo qui l'ho notato perchè non la smetteva più. Però oggi ad esempio non l'ho beccato, ma in compenso:
61.235.154.108 dalla 1027 alla 1029.