il firewall rileva port scanning

[Carlo]

Risolto il problema vedere sotto prima di farsi prendere dal panico

Modificato April 3, 2004 da Carlo

[Carlo]

...analizzando meglio i log del firewall ho risolto il dilemma che necessita di una migliore spiegazione onde evitare attacchi di panico come è accaduto a me:

il firewall mi ha prima detto che l'attacco proveniva da questo Ip in data 2 aprile04 alle 14:54 (date e orari sono molto importanti da annotare, vedere seguito) : 69.93.21 "3" .yyy...oggi mi sono collegato a questo ip ed ho visto che era una pagina bianca con la scritta cunre eptacle". Mi disconnetto e riavvio il Pc. Rianalizzo i log di intrusione e per maggiore sicurezza faccio una ricerca con google per vedere se esiste qull'ip e se qualcuno ha avuto un caso uguale al mio: mentre copio l'indirizzo Ip nella barra di google mi accorgo però che l'Ip non è proprio quello di prima, anche se il log del firewall segna la stessa data e lo stesso orario. All'inizio non ci h dato peso ma poi mi sono reso conto che effettivamente il firewall ha modificato l'indirizzo ip dell'attacco alla stessa data (ieri) e allo stesso orario in 69.93.21 "7" .yyy (da questo comprendo che non è un nuovo attacco, ma una reinterpretazione dell'IP ) : come potete vedere l'indirizzo IP è quasi identico a quello di sopra tranne che per il "7" del terzo gruppo di numeri...mi collego al nuovo IP e:

sorpresa altro non era che un falso allarme provocato da un sito di giornalismo informatico molto serio che non avrebbe mai fatto una azione del genere (mi è bastato installare un altro firewall per fare la controprova e non ho rilevato alcun attacco, solo un "traffico su router" che è abbastanza normale in internet, probabilemnte il primo firewall ha interpretato erroenamente questo tipo di attività). infatti, analizzando la cronologia di Ie mi sono reso conto che ieri mi ero collegato proprio a quell'ora a quel sito (l'ora cincideva perfettamente ed univocamente con quel sito e non con altri, poichè ho controllato tutta la cronologia: dopotutto erano 5/6 siti che avevo visitato)

Dopodichè il firewall ha cambiato nuovamente ip in yyy.69-93-217.reverse.thepalent.com (che è molto simile a quelli di sopra se notate bene) ....credo che il programma abbia avuto qualche difficoltà nel rilevare l'indirizzo IP del "falso" attacco reinterpretandolo 3 volte.

Meno male ....mi ero preso uno spavento.....

Modificato April 4, 2004 da Carlo

[ZipGenius]

Potrebbe trattarsi del sistema di banner pubblicitari usati da Neowin.net: alcuni firewall con filtraggio dei contenuti li rimuovono poiché giungerebbero da server pubblicitari con indirizzo http://ad. eccetera

[Carlo]

credo che tu abbia ragione :il firewall aveva il blocco dei contentui web attivo...

Secondo te quei tre ip sono ip pubblicitari? O sono solo errori di identificazione?

Guardando due di essi sembrerebbe un errore visto che i numeri dell'indirizzo ip appaiono quasi identici tra loro...

Forse è meglio tenere il filtro contenuti disattivato

Modificato April 3, 2004 da Carlo

[ZipGenius]

Dovrebbero essere gli IP dei server pubblicitari (sono ad-server, infatti): server su cui è in esecuzione un programma per la distribuzione più o meno casuale di banners.

[Carlo]

E meno male che frequento solo siti informatici fidati....effettivamente mi sembrava molto strano che qualcuno attaccasse il mio PC, la cosa che più mi ha spaventato è stata la pagina bianca con quella parola in inglese...in quel momento ho veramente temuto che si trattasse di qualche attacco! Ho poi scoperto che c'è un bug-fix sull'IP resolving del mio firewall. E' la prova definitiva dell'errore di reinterpretazione dell'iP

Modificato April 3, 2004 da Carlo

[ZipGenius]

Che versione di Kerio stai usando?

[Carlo]

la 4.x , che trovo OTTIMA

[ZipGenius]

Io ho la 4.0.14: sai se già contiene il bugfix?

[eagleman]

BugFix non lo so, ma è disponibile anche in italiano.

[Carlo]

Se non sbaglio si.