Curiosità
Ciao a tutti della lista.....
E' da un pò di giorni che mi capita una strana cosa...
Navigando normalmente sul web...di solito nei siti più frequentati quali:
youtube etc etc.....vedo che ad un certo punto si apre una connessione verso
un ip "a parere mio" un pò strano: 213.155.157.x x , anche perchè nei
successivi giorni queste connessioni si ripetono sempre da questa classe di
indirizzi...
Tra l'altro trovo ancor più strano il nome host di questo ip:
UNKNOWN-213-155-157-83.yahoo.com
Pensando ovviamente che si tratti di un host anonimo provo a fare la scansione
delle sue porte con nmap per vedere i le porte che sono aperte su tale host.
La scansione la effettuo con questi parametri:
SYN Stealth Scan
RPC Scan
OS Detection
Scanned Ports: All
Il risultato a tale scansione mi ha ulteriormente insospettito:
Starting Nmap 4.68 ( http://nmap.org ) at 2008-12-14 13:03 CET
Interesting ports on UNKNOWN-213-155-157-83.yahoo.com (213.155.157.83):
Not shown: 1271 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh
80/tcp open http
443/tcp open https
500/tcp open isakmp
9050/tcp open tor-socks
No OS matches for host
Uptime: 12.145 days (since Tue Dec 2 09:34:47 2008)
Network Distance: 12 hops
OS detection performed. Please report any incorrect results at
http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 42.592 seconds
La cosa che mi ha ulteriormente insospettito è che tale host ha la porta 9050
aperta che indica la presenza del servizio tor in esecuzione. Premetto che
d'informatica e soprattutto di networking non conosco nulla, però mi sembra
che tale host sia alquanto sospetto.Inoltre tale connessione che appare
quando mi collego nei siti più frequentati rimane attiva fino a quando non
chiudo il browser e non quando vado via dal sito dove è stata aperta. Dato la
mia scarsa conoscenza di linux ho pensato che si trattasse di qualche virus
presente nel mio portatile e ho provato a collegarmi con l'altro pc della mia
NAT....il risultato è lo stesso.....sempre il solito
indirizzo.....Inoltre,specifico per completezza, che quando mi collego
utilizzo le seguenti regole di iptables:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Insieme al filtro rp abilitato: (per evitare attacchi di man in the middle)
function rp_filter(){
for a in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $a
done
return
}
e alla non risposta ai ping:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all ;
purtroppo non ho messo una cache arp statica per evitare l'intrusione di
ulteriori host nella mia NAT... considerando quindi i miei due pc
compromessi, ho pensato di fare una ulteriore prova....vedere se questa
connessione mi appare anche con un sistema operativo in live....utilizzando
in questo caso linux-mint elyssa (con xfce).....incredibilmente questa strana
connessione mi appare anche con un sistema operativo in live....escludendo,
secondo me, l'ipotesi che il problema sia dato da qualche malware....
Intenzionato a capire il motivo di questa strana connessione ho fatto
l'analisi del traffico passante sulla mia interfaccia per capire cosa
potrebbe essere.......Analizzando il traffico ho notato qualcosa a parer mio
strano.....quando navigo effettuo per andare sui vari siti delle query ai DNS
(fin qua nulla di male, tra l'altro utilizzo OpenDNS) l'unica cosa è che ogni
tanto alle normali query ai dns vengono aggiunte delle query aventi il record
CNAME "permette di collegare un nome DNS ad un altro. La risoluzione
continuerà con il nuovo nome indicato dal record CNAME. da Wikipedia" dove il
nuovo dns fa parte proprio della classe degli indirizzi "strani":
213.155.157.
Prima andava tutto bene...da quel momento in poi noto che il mio pc inizia
mandare dei SYN su molti indirizzi che fanno parte di quella classe di
indirizzi "incriminati"......e dopo un pò inizia il triple
handshake....quindi con la risposta di un SYN+ACK etc etc......tra l'altro da
quel momento, come detto, la connessione rimane aperta(dovuto "penso" dalla
presenza di Keep-Alive nei suoi pacchetti tcp) fino a quando non chiudo il
browser,e vedo che il mio host continua a mandare delle richieste http
(tramite GET) a tale indirizzo pur cambiando sito.....
Non riesco proprio a capire cosa possa essere......mi sono fatto l'idea di un
dns spoofing ma purtroppo la mia conoscenza del networking è
scarsa.....oppure "spero" che sia tutto normale e ho soltanto una eccessiva
preoccupazione....
Ringrazio chiunque possa aiutarmi....
Un saluto a tutti...
Buone Feste...
1984viking
Reply to: