[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Curiosità

Ciao a tutti della lista.....
E' da un pò di giorni che mi capita una strana cosa...
Navigando normalmente sul web...di solito nei siti più frequentati quali: 
youtube etc etc.....vedo che ad un certo punto si apre una connessione verso 
un ip "a parere mio" un pò strano: 213.155.157.x x , anche perchè nei 
successivi giorni queste connessioni si ripetono sempre da questa classe di 
indirizzi...
Tra l'altro trovo ancor più strano il nome host di questo ip:
UNKNOWN-213-155-157-83.yahoo.com 
Pensando ovviamente che si tratti di un host anonimo provo a fare la scansione 
delle sue porte con nmap per vedere i le porte che sono aperte su tale host.
La scansione la effettuo con questi parametri:
SYN Stealth Scan
RPC Scan
OS Detection
Scanned Ports: All

Il risultato a tale scansione mi ha ulteriormente insospettito:

Starting Nmap 4.68 ( http://nmap.org ) at 2008-12-14 13:03 CET
Interesting ports on UNKNOWN-213-155-157-83.yahoo.com (213.155.157.83):
Not shown: 1271 closed ports
PORT     STATE SERVICE    VERSION
22/tcp   open  ssh 
80/tcp   open  http 
443/tcp  open  https 
500/tcp  open  isakmp 
9050/tcp open  tor-socks 
No OS matches for host
Uptime: 12.145 days (since Tue Dec  2 09:34:47 2008)
Network Distance: 12 hops

OS detection performed. Please report any incorrect results at 
http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 42.592 seconds

La cosa che mi ha ulteriormente insospettito è che tale host ha la porta 9050 
aperta che indica la presenza del servizio tor in esecuzione. Premetto che 
d'informatica e soprattutto di networking non conosco nulla, però mi sembra 
che tale host sia alquanto sospetto.Inoltre tale connessione che appare 
quando mi collego nei siti più frequentati rimane attiva fino a quando non 
chiudo il browser e non quando vado via dal sito dove è stata aperta. Dato la 
mia scarsa conoscenza di linux ho pensato che si trattasse di qualche virus 
presente nel mio portatile e ho provato a collegarmi con l'altro pc della mia 
NAT....il risultato è lo stesso.....sempre il solito 
indirizzo.....Inoltre,specifico per completezza, che quando mi collego 
utilizzo le seguenti regole di iptables:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Insieme al filtro rp abilitato:    (per evitare attacchi di man in the middle)

function rp_filter(){
for a in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 > $a
    done
return
}

e alla non risposta ai ping:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all ;


purtroppo non ho messo una cache arp statica per evitare l'intrusione di 
ulteriori host nella mia NAT... considerando quindi i miei due pc 
compromessi, ho pensato di fare una ulteriore prova....vedere se questa 
connessione mi appare anche con un sistema operativo in live....utilizzando 
in questo caso linux-mint elyssa (con xfce).....incredibilmente questa strana 
connessione mi appare anche con un sistema operativo in live....escludendo, 
secondo me, l'ipotesi che il problema sia dato da qualche malware....
Intenzionato a capire il motivo di questa strana connessione ho fatto 
l'analisi del traffico passante sulla mia interfaccia per capire cosa 
potrebbe essere.......Analizzando il traffico ho notato qualcosa a parer mio 
strano.....quando navigo effettuo per andare sui vari siti delle query ai DNS 
(fin qua nulla di male, tra l'altro utilizzo OpenDNS) l'unica cosa è che ogni 
tanto alle normali query ai dns vengono aggiunte delle query aventi il record 
CNAME  "permette di collegare un nome DNS ad un altro. La risoluzione 
continuerà con il nuovo nome indicato dal record CNAME. da Wikipedia" dove il 
nuovo dns fa parte proprio della classe degli indirizzi "strani": 
213.155.157.
Prima andava tutto bene...da quel momento in poi noto che il mio pc inizia 
mandare dei SYN su molti indirizzi che fanno parte di quella classe di 
indirizzi "incriminati"......e dopo un pò inizia il triple 
handshake....quindi con la risposta di un SYN+ACK etc etc......tra l'altro da 
quel momento, come detto, la connessione rimane aperta(dovuto "penso" dalla 
presenza di Keep-Alive nei suoi pacchetti tcp) fino a quando non chiudo il 
browser,e vedo che il mio host continua a mandare delle richieste http 
(tramite GET) a tale indirizzo pur cambiando sito.....
Non riesco proprio a capire cosa possa essere......mi sono fatto l'idea di un 
dns spoofing ma purtroppo la mia conoscenza del networking è 
scarsa.....oppure "spero" che sia tutto normale e ho soltanto una eccessiva 
preoccupazione....
Ringrazio chiunque possa aiutarmi....
Un saluto a tutti...
Buone Feste...

1984viking
Reply to: