On Thu, 24 Feb 2005 22:00:57 +0100 Davide Prina <davide.prina@gmail.com> wrote: > Fabio Nigi ha scritto: > >>>questa cosa succede anche a me, su porte alte e randomiche.. > >>> > >>>ho provato a chiamare telecom(dopo aver chiuso tutte le porte sopra > >>>la 1024 e tenendo aperte solo quelle che voglio)che mi ha detto che > >>>sono dei loro test per il passaggio di banda.. > >>>bho > >> > >>ma che tipo di test fanno ... fanno attacchi ai pc collegati in > >questo >modo, e senza neanche avvertire. > >> > > > > > > > > mha, la signorina del call center non lo sapeva..e a sentirla > > parlare ho capito che parlare di adsl o di scarpe le ere totalmente > > indifferente, leggeva dal terminale e basta > > ho fatto un po' di analisi dei log ed ho trovato che negli ultimi tre > giorni 21, 22, 23 febbraio 2005 ho avuto degli attacchi simili. Quello > > che noto è che i log sono cresciuti a dismisura arrivando intorno ai > 60 MBytes (la rotazione la faccio circa una volta la settimana) > > Guardando gli indirizzi ip, che mi hanno fatto l'attacco il 23, ce ne > sono vari (ne ho preso uno per quasi ogni primo numero diverso): dando un occhio più approfondito devo dire che hai ragione, anche se da me molti di questi sono ip telecom alcuno vengono da fuori, quindi non sono test telecom > 151.49.137.108 <- IUNET-BNET49 > 172.180.218.181 <- IANA-BLK > 199.2.124.98 <- IANA-BLK > 212.108.189.251 <- TRAVEKOM > 213.140.22.64 <- FASTWEB-RESIDENTIAL-01 > 217.113.234.5 <- TOYA > 62.101.126.208 <- FASTWEB-RESIDENTIAL-03 > 65.40.103.245 <- IANA-BLK > 66.157.27.43 <- IANA-BLK > 67.68.9.173 <- IANA-BLK > 68.237.122.12 <- IANA-BLK > 80.105.211.87 <- TIWS-NETECONOMY > 81.208.60.207 <- FASTWEB-RESIDENTIAL-02 > 84.222.88.196 <- TISCALINET > > come si vede quelli qui riportati sono di vari gestori e nessuno di > telecom ... come fa telecom a fare questi test ed usare indirizzi ip > non suoi? > credo che, tolti i full-umbundled in realtà tutti siano ip telecom dati in gestione ma non vorrei dire una ca***ta > Bisognerebbe capire chi subisce questi attacchi e per quale motivo ... > > Le cose notate sono: > 1) sono fatti su porte alte che sembra nessuno usi e che non abbiano > vulnerabilità precise (questo potrebbe essere indizio di un nuovo > worm/trojan che si aggancia ad una di queste porte alte, ma ogni volta mi puzza di un attacco distribuito per qualche potenziale falla microsozz a occhio lo stile è quello > > la porta attaccata è dversa ... o che vogliono far cadere qualche > servizio) 2) l'attacco avviene da indirizzi ip di gestori differenti e > quindi sembra proprio un attacco di computer slave pienamente d accordo e vista la portata fatto da piu persone, piu si va avanti piu mi puzza di un nuovo bug/trojan per windows . > 3) l'attacco inizia in un dato momento ed è solo su una determinata > porta > il problema è che non smette.. Fabio > Ciao > Davide > > -- > Linux User: 302090: http://counter.li.org > Prodotti consigliati: > Sistema operativo: Debian: http://www.it.debian.org > Strumenti per l'ufficio: OpenOffice.org: http://it.openoffice.org > Database: PostgreSQL: http://www.postgres.org > Browser: FireFox: http://texturizer.net/firefox > Client di posta: Thunderbird: http://texturizer.net/thunderbird > Enciclopedia: wikipedia: http://it.wikipedia.org > -- > Non autorizzo la memorizzazione del mio indirizzo di posta a chi usa > outlook: non voglio essere invaso da spam > -- Fabio Nigi nigifabio(at)gmx.it icq:155452384 Il segreto e' cio' che dici a un altro di non rivelare perche' non riesci a tenerlo per te. die Kunst liegt im Weglassen.
Attachment:
pgp1nrYA5ZJSI.pgp
Description: PGP signature