Visualizzazione risultati 1 fino 15 di 15

Discussione: Che fare in caso di port scan?

  1. #1
    Guest

    Question Che fare in caso di port scan?

    Ebbene, su questo sono completamente ignorante. Ho questo tipo che mi sta facendo scan da giorni e non so cosa fargli. Ho fatto un trace-route, senza aspettarmi niente di che, ma ovviamente non lo raggiungo.
    Ho fatto un whois, ma l'IP è nascosto da RIPE. Cioè più che altro mi preoccupa un attacco così persistente.
    Il suo host, se può servire a qualcuno: 61.137.117.207
    Uso come firewall Sygate. Cioè il port.scan è illegale, ma di qui a fare la denuncia ( e se è una società contro la pirateria informatica? Io non sto scaricando un bel nulla da giorni e non so quanto possa essere rischioso denunciare anonimi)

    Questo è un thread da evcz, ma credo che ci sia qualcun'altro che può aiutarmi.

  2. #2
    L'avatar di twisterdark
    twisterdark non è connesso Moderatore
    Data registrazione
    17-11-2002
    Residenza
    Hong Kong
    Messaggi
    3,226

    Predefinito

    Sembra drastica ma chiudi tutte le porte eccetto la 8080 per qualche giorno, vedi se cede...
    E' una guerra, non procedere con denunce...spesso ti si ritorcono contro


    -------------------------------------------------------------------------------------------------------------------------------------
    Un moderatore per gestirli, un moderatore per guidarli, un moderatore per sgridarli e nel buio anche bannarli...

    ------------------------------------------------------------------------------------------------------------------------------------------

  3. #3
    Guest

    Cool

    fai delle prove con le porte... il port scan cmq nn è così drastico...magari è qualke deficente ke si diverte...(cmq credo ke qst nn sia topic da AV)...

  4. #4
    Guest

    Predefinito

    Citazione Originalmente inviato da TurkoSoft
    (cmq credo ke qst nn sia topic da AV)...
    scusate l' OT
    xkè nn dovrebbe essere un topic da AV?

  5. #5
    Guest

    Cool

    so ke su AV nn si possono parlare di ste cose...poi magari mi sbaglierò...cmq...torniamo al discorso principale!

  6. #6
    Guest

    Predefinito

    se ci fai vedere i log potrebbe essere più semplice darti una mano, cmq a mio parere si tratta di un pc bucato che viene usato per scanning automatici di altri pc. Cosa mooolto comune se si tratta di un server con ip fisso. Io ne loggo 2-3 al giorno ad esmpio.

  7. #7
    Ospite Guest

    Predefinito

    a me il whois da un ip appartenente ad un provider cinese

    l'unica cosa è usare un firewall, le denunce sono inutili

    ma scusa tu hai l'ip dinamico credo, vero? se ti fa lo scan sempre vuol dire che il tuo pc si fa trovare in qualche modo

  8. #8
    Guest

    Predefinito

    Citazione Originalmente inviato da Pran
    se ci fai vedere i log potrebbe essere più semplice darti una mano, cmq a mio parere si tratta di un pc bucato che viene usato per scanning automatici di altri pc.
    Questo lo pensavo anch'io, ma allora xkè non riesco a tracciarlo?

  9. #9
    L'avatar di domenicoragusa
    domenicoragusa non è connesso Altervistiano Junior
    Data registrazione
    03-06-2005
    Messaggi
    618

    Predefinito

    @Tabboz: io sono riuscito a tracciarlo e gli ho fatto pure il ping
    Codice:
                                                                                                                            C:\Documents and Settings\#####>tracert 61.137.117.207
    Rilevazione instradamento verso 61.137.117.207 su un massimo di 30 punti di passaggio
    1     *        *        *     Richiesta scaduta.
    2    30 ms    30 ms    30 ms  ip-196-1.sn1.eutelia.it [62.94.196.1]
    3    33 ms    31 ms    31 ms  f0-0-10.rm20.ec.eutelia.it [62.94.0.106]
    4    41 ms    41 ms    41 ms  sl-gw10-mil-5-0.sprintlink.net [217.147.129.201]
    5    42 ms    40 ms    41 ms  sl-bb21-mil-8-0.sprintlink.net [217.147.128.42]
    6    41 ms    42 ms    42 ms  sl-bb20-mil-15-0.sprintlink.net [217.147.128.33]
    7    60 ms    59 ms    58 ms  sl-bb21-par-12-0.sprintlink.net [213.206.129.25]
    8   131 ms   130 ms   130 ms  sl-bb24-nyc-9-0.sprintlink.net [144.232.9.166]
    9   135 ms   131 ms   130 ms  sl-bb21-nyc-6-0.sprintlink.net [144.232.13.186]
    10   132 ms   134 ms   133 ms  sl-bb27-pen-12-0.sprintlink.net [144.232.20.97]
    11   133 ms   133 ms   133 ms  sl-bb22-pen-8-0.sprintlink.net [144.232.16.53]
    12   176 ms   173 ms   172 ms  sl-bb21-fw-15-0.sprintlink.net [144.232.9.31]
    13   201 ms   199 ms   200 ms  sl-bb22-ana-12-0.sprintlink.net [144.232.20.131]
    14   201 ms   200 ms   203 ms  sl-bb20-ana-15-0.sprintlink.net [144.232.1.178]
    15   200 ms   201 ms   199 ms  sl-gw29-ana-0-0.sprintlink.net [144.232.1.146]
    16   205 ms   205 ms   204 ms  sl-china1-6-0.sprintlink.net [144.228.74.222]
    17     *        *      388 ms  202.97.51.221
    18   474 ms   474 ms   473 ms  202.97.33.121
    19     *        *      402 ms  202.97.40.254
    20   403 ms     *      407 ms  61.137.0.158
    21   403 ms   404 ms   405 ms  220.168.141.150                                  22   411 ms     *      402 ms  61.137.117.207
    Rilevazione completata.                                                                                                                                         C:\Documents and Settings\#####>
    forse l'avrai fatto anche tu, ma l'ho postato per sicurezza;
    Codice:
    C:\Documents and Settings\#####>ping 61.137.117.207
    
    Esecuzione di Ping 61.137.117.207 con 32 byte di dati:
    
    Risposta da 61.137.117.207: byte=32 durata=456ms TTL=43
    Richiesta scaduta.
    Risposta da 61.137.117.207: byte=32 durata=405ms TTL=43
    Risposta da 61.137.117.207: byte=32 durata=407ms TTL=43
    
    Statistiche Ping per 61.137.117.207:
        Pacchetti: Trasmessi = 4, Ricevuti = 3, Persi = 1 (25% persi),
    Tempo approssimativo percorsi andata/ritorno in millisecondi:
        Minimo = 405ms, Massimo =  456ms, Medio =  422ms
    
    C:\Documents and Settings\#######>
    ciao ciao
    Ultima modifica di domenicoragusa : 26-10-2005 alle ore 11.38.43

  10. #10
    Guest

    Predefinito

    una volta succedeva anke a me...appena mi connettevo qlk1 mi faceva un port scan o cercava di connettersi su una porta usata generalmente da un trojan. ma io nn mi sn mai proccupato, ho risolto facendo delle scanioni del mio pc con diversi antivirus online ho eliminato dei virus ke il mio nn rilevava e nn ho + avuto problemi

  11. #11
    Ospite Guest

    Predefinito

    tabboz usi windows vero?

    comincia con il controllare se hai delle strane porte aperte da strani programmi con

    netstat -ano

    per ogni porta ti da il PID del programma che la sta usando in quel momento

  12. #12
    Guest

    Predefinito

    Lo farò. Cmq è strano con sygate personal non riesco a fare il backtrace di quell'indirizzo. Proverò un altro programma.

  13. #13
    Guest

    Predefinito

    basta usare tracert di windows

  14. #14
    L'avatar di Evcz
    Evcz non è connesso Utente storico
    Data registrazione
    31-05-2002
    Residenza
    Vicenza
    Messaggi
    5,670

    Predefinito

    IP cattivone noto...

    Codice:
    IP Address:  	61.137.117.207
    HostName: 	61.137.117.207
    DShield Profile: 	
    Country: 	CN  CN
    Contact E-mail: 	anti-spam@ns.chinanet.cn.net
    AS Number:	4134
    AS Name:	CHINANET-BACKBONE
    AS Contact:	anti-spam@ns.chinanet.cn.net
    Total Records against IP: 	  7195
    Number of targets: 	 601
    Date Range:	2005-10-25 to 2005-10-27
    Comments:
    http://www.dshield.org/warning_expla...&Submit=Submit

    http://www.dshield.org/ipinfo.php?ip=061.137.117.207

    Codice:
    inetnum: 61.137.0.0 - 61.137.127.255
    netname: CHINANET-HN
    country: CN
    descr: CHINANET Hunan province network
    descr: China Telecom
    descr: A12,Xin-Jie-Kou-Wai Street
    descr: Beijing 100088
    admin-c: CH93-AP
    tech-c: YX69-AP
    status: ALLOCATED NON-PORTABLE
    changed: lqing@chinatelecom.com.cn 20050825
    mnt-by: MAINT-CHINANET
    source: APNIC
    sfondi una porta aperta... fosse per me tracerei direttamente tutti i collegamenti informatici di qualsiasi tipo con i network cinesi/koreani :D

    a parte gli scherzi: tu cambi ip e loro continuano a farti portscan?
    che porte provano?
    hai qualche servizio di dns dinamici tipo no-ip o dyndns?
    se pur cambiando ip continuano a farti scan io controllerei bene di non avere qualche programma in giro per il pc che segnala il nuovo ip...

    ah... non è detto che ce l'abbiano con te...
    magari stanno provando sistematicamente tutto il range in cui sta il tuo ip ;)
    Ultima modifica di Evcz : 27-10-2005 alle ore 23.07.27
    There are three kinds of people in this world: people who watch things happen ... people who complain about things that happen ... and people who make things happen...

  15. #15
    Guest

    Predefinito

    Queste sono le porte di cui mi ha fatto scan:
    1028, 1029, 1030, and 4081

    Dagli indirizzi che cominciano con 61 ne arrivano anche altri, ma questo qui l'ho notato perchè non la smetteva più. Però oggi ad esempio non l'ho beccato, ma in compenso:
    61.235.154.108 dalla 1027 alla 1029.

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •