Discussione:
Aiuto porte aperte
(troppo vecchio per rispondere)
seamaster
2009-07-30 09:00:18 UTC
Permalink
salve a tutti,
ho urgente bisogno di aiuto in quanto lunedì VORREI andare in ferie ma
se non risolvo questi non mi mandano! ;-)
Ho un server win2003 EN e lanciando currport vedo una lista infinita di
connessioni mentre non dovrebbe essere così.
Cosa potrebbe essere? virus, trojan, malware, spyware ecc.???
Avete qualche consiglio su qualche tools da lanciare per capire innanzi
tutto cos'ho?
Grazie a tutti
--
Seamaster
Gabriele Del Giovine [Microsoft MVP for MOSS]
2009-07-30 10:52:54 UTC
Permalink
Post by seamaster
salve a tutti,
ho urgente bisogno di aiuto in quanto lunedì VORREI andare in ferie ma se
non risolvo questi non mi mandano! ;-)
Ho un server win2003 EN e lanciando currport vedo una lista infinita di
connessioni mentre non dovrebbe essere così.
Cosa potrebbe essere? virus, trojan, malware, spyware ecc.???
Avete qualche consiglio su qualche tools da lanciare per capire innanzi
tutto cos'ho?
Hijackthis forse ti permetterebbe di capirci qualcosa...
seamaster
2009-07-30 11:05:47 UTC
Permalink
Ciao e grazie
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Hijackthis forse ti permetterebbe di capirci qualcosa...
adesso lo scarico e vedo...
cmq ho notato che tutti gli ip arrivano alla porta 445 TCP.
Ti viene in mente qualcosa?
Ciao
--
Seamaster
ObiWan [MVP]
2009-07-30 11:18:04 UTC
Permalink
Post by seamaster
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Hijackthis forse ti permetterebbe di capirci qualcosa...
ma anche

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
Post by seamaster
cmq ho notato che tutti gli ip arrivano alla porta 445 TCP.
AHIA !!
Post by seamaster
Ti viene in mente qualcosa?
si, conficker :P

http://isc.sans.org/port.html?port=445
seamaster
2009-07-30 11:32:37 UTC
Permalink
Ciao
Post by ObiWan [MVP]
si, conficker :P
http://isc.sans.org/port.html?port=445
scusami se approfitto... ho capito poco dei link che mi hai mandato ma
adesso li rileggo con + attenzione.
Come si combatte il conficker?
Bisogna installare qualche patch? se si potresti dirmi quale così la
passo? Purtroppo devo scaricarle prima per poi passarle in quanto il
server è su una rete privata non collegata ad internet.
Tools per rimuoverla?
Ciao e grazie
--
Seamaster
IZ5MSM - McGrull
2009-07-30 11:59:58 UTC
Permalink
Post by seamaster
Ciao
Post by ObiWan [MVP]
si, conficker :P
http://isc.sans.org/port.html?port=445
scusami se approfitto... ho capito poco dei link che mi hai mandato ma
adesso li rileggo con + attenzione.
Come si combatte il conficker?
Bisogna installare qualche patch? se si potresti dirmi quale così la
passo? Purtroppo devo scaricarle prima per poi passarle in quanto il
server è su una rete privata non collegata ad internet.
Tools per rimuoverla?
Da buon ex commilitone ;) ti consiglio di guardare questo:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

E' l'ultimo (credo e chiedo conferma) bollettino ufficiale sul
conficker, di li trovi i link per scaricare le opportune patch...

Ad esempio se sono i client ad essere infetti, e ammosso che siano XP
dovresti per prima cosa ripulirli, con questo removal tool...
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99

Successivamente passare la patch opportuna per la riparazione di XP,
che se non erro, è la 958644.

Chiedo conferma, perchè (sgrat sgrat sgrat) non ho avuto di questi
problemi.
seamaster
2009-07-30 12:06:24 UTC
Permalink
Post by IZ5MSM - McGrull
Da buon ex commilitone ;)
;-) ;-) ;-) ;-)
--
Seamaster
IZ5MSM - McGrull
2009-07-30 12:07:05 UTC
Permalink
Post by seamaster
Post by IZ5MSM - McGrull
Da buon ex commilitone ;)
;-) ;-) ;-) ;-)
Sono chiari i link?
seamaster
2009-07-30 12:08:28 UTC
Permalink
Post by IZ5MSM - McGrull
E' l'ultimo (credo e chiedo conferma) bollettino ufficiale sul
conficker, di li trovi i link per scaricare le opportune patch...
in base a questo link io che ho windows 203 server sp2 posso escludere
di esserne affetto, giusto?
ciao
--
Seamaster
IZ5MSM - McGrull
2009-07-30 12:11:53 UTC
Permalink
Post by seamaster
Post by IZ5MSM - McGrull
E' l'ultimo (credo e chiedo conferma) bollettino ufficiale sul
conficker, di li trovi i link per scaricare le opportune patch...
in base a questo link io che ho windows 203 server sp2 posso escludere
di esserne affetto, giusto?
No, ma che è il primo bollettino di sicurezza che ne parla. Infatti se
clicchi sul rigo di 2003 SP2 ti apre la pagina per scaricare la
relativa patch.

Ma prima verificherei col tool di cui sopra se è presente qualcosa...
E poi la applicherei...
ObiWan [MVP]
2009-07-30 12:36:42 UTC
Permalink
Post by IZ5MSM - McGrull
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
E' l'ultimo (credo e chiedo conferma) bollettino ufficiale sul
conficker, di li trovi i link per scaricare le opportune patch...
Ad esempio se sono i client ad essere infetti, e ammosso che siano XP
dovresti per prima cosa ripulirli, con questo removal tool...
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99
Post by IZ5MSM - McGrull
Successivamente passare la patch opportuna per la riparazione di XP,
che se non erro, è la 958644.
Chiedo conferma, perchè (sgrat sgrat sgrat) non ho avuto di questi
problemi.
concordo, in ogni caso, ecco un paio di tools utili

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

http://www.mcafee.com/us/enterprise/confickertest.html

il primo permette di determinare rapidamente se un sistema è infetto
da conficker, il secondo, più orientato ai "sysadmin" permette di
effettuare
una scansione su una determinata subnet e verificare se vi siano hosts
infettati da confiker sulla stessa

per quanto riguarda il discorso "commilitoni"... <<<sigh>>> non mi ci
fate pensare sennò mi viene la malinconia :)
IZ5MSM - McGrull
2009-07-30 13:06:24 UTC
Permalink
Post by ObiWan [MVP]
concordo,
Grazie, mi confermi che la patch ultima sulla questione è proprio
quella? Sai tornasse utile :((((
Post by ObiWan [MVP]
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
http://www.mcafee.com/us/enterprise/confickertest.html
Caruccissimi entrambi..

Tnx a lot...
seamaster
2009-07-30 13:08:06 UTC
Permalink
Ciao
Post by ObiWan [MVP]
Post by ObiWan [MVP]
concordo, in ogni caso, ecco un paio di tools utili
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
ma dove si scarica? in alto vedo i link alle pagine e sotto non c'è
niente cliccabile.... scusami ma oggi sono proprio cotto con questo
conficker...
Post by ObiWan [MVP]
http://www.mcafee.com/us/enterprise/confickertest.html
lanciato e sta scansionando tutta la mia rete.... per ora tutti NOT
INFECTED
Post by ObiWan [MVP]
per quanto riguarda il discorso "commilitoni"... <<<sigh>>> non mi ci
fate pensare sennò mi viene la malinconia :)
lol
--
Seamaster
IZ5MSM - McGrull
2009-07-30 13:13:08 UTC
Permalink
Post by seamaster
Ciao
Post by ObiWan [MVP]
Post by ObiWan [MVP]
concordo, in ogni caso, ecco un paio di tools utili
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
ma dove si scarica? in alto vedo i link alle pagine e sotto non c'è
niente cliccabile.... scusami ma oggi sono proprio cotto con questo
conficker...
Non si scarica, si devono vedere le immagini e tutte e 6.
seamaster
2009-07-30 13:24:07 UTC
Permalink
Post by IZ5MSM - McGrull
Non si scarica, si devono vedere le immagini e tutte e 6.
allora lo devo fare su internet?
non lo posso fare in quanto sto su una intranet locale non collegata.
Ciao
--
Seamaster
ObiWan [MVP]
2009-07-30 13:17:20 UTC
Permalink
Post by seamaster
Post by ObiWan [MVP]
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
ma dove si scarica? in alto vedo i link alle pagine e sotto non c'è
niente cliccabile.... scusami ma oggi sono proprio cotto con questo
conficker...
non si scarica :) leggi la "legenda" e capirai :D
Post by seamaster
Post by ObiWan [MVP]
http://www.mcafee.com/us/enterprise/confickertest.html
lanciato e sta scansionando tutta la mia rete.... per ora tutti NOT
INFECTED
beh... oppure semplicemente "firewalled" <g>
seamaster
2009-07-30 14:52:22 UTC
Permalink
Post by ObiWan [MVP]
per quanto riguarda il discorso "commilitoni"... <<<sigh>>> non mi ci
fate pensare sennò mi viene la malinconia :)
se vuoi scrivimi in privato... :oÞ
Ciao
--
Seamaster
seamaster
2009-07-30 11:18:02 UTC
Permalink
Ciao
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Hijackthis forse ti permetterebbe di capirci qualcosa...
ho fatto la scansione e ti incollo il log.... io non ci capisco niente!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:17:42, on 30-07-2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP2 (6.00.3790.3959)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\oracle\ora92\BIN\TNSLSNR.exe
c:\oracle\ora92\bin\ORACLE.EXE
C:\Program Files\VMware\VMware Tools\VMwareService.exe
C:\WINDOWS\system\VMwareService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VMware\VMware Tools\VMwareTray.exe
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\SIGE\jdk\bin\java.exe
C:\Documents and Settings\Administrator\Desktop\cport\cports.exe
C:\Documents and Settings\Administrator\Desktop\New
Folder\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.cru.ispel.esercito.difesa.it/portale/login_cmd.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
https://gcwserver25/sige
O2 - BHO: Supporto di collegamento per Adobe PDF Reader -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common
Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper -
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} -
C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [VMware Tools] C:\Program Files\VMware\VMware
Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Program Files\VMware\VMware
Tools\VMwareUser.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft
Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall]
%systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall]
%systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall]
%systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall]
%systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program
Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Program
Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel -
res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote -
{2670000A-7350-4f3c-8081-5663EE0C6C49} -
C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote -
{2670000A-7350-4f3c-8081-5663EE0C6C49} -
C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) -
http://localhost:81/capicom.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{DFFAA544-D1D3-4ACB-BEE2-B3CA4106777D}:
NameServer = 192.168.10.58,192.168.11.252
O17 -
HKLM\System\CCS\Services\Tcpip\..\{EA3C0EDD-5EC7-4227-8341-3EE7378BEDBF}:
NameServer = 192.168.10.58,192.168.11.252
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD}
- C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: TPSvc - C:\WINDOWS\SYSTEM32\TPSvc.dll
O23 - Service: OracleOraHome92ClientCache - Unknown owner -
C:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: OracleOraHome92PagingServer - Unknown owner -
C:\oracle\ora92/bin/pagntsrv.exe
O23 - Service: OracleOraHome92SNMPPeerEncapsulator - Unknown owner -
C:\oracle\ora92\BIN\ENCSVC.EXE
O23 - Service: OracleOraHome92SNMPPeerMasterAgent - Unknown owner -
C:\oracle\ora92\BIN\AGNTSVC.EXE
O23 - Service: OracleOraHome92TNSListener - Unknown owner -
C:\oracle\ora92\BIN\TNSLSNR.exe
O23 - Service: OracleServiceSIGE - Oracle Corporation -
c:\oracle\ora92\bin\ORACLE.EXE
O23 - Service: TP AutoConnect Service (TPAutoConnSvc) - ThinPrint GmbH
- C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
O23 - Service: VMware Descheduled Time Accounting Service (vmdesched) -
VMware, Inc. - C:\Program Files\VMware\VMware Tools\vmdesched.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. -
C:\Program Files\VMware\VMware Tools\VMwareService.exe
O23 - Service: VMwareService - Unknown owner -
C:\WINDOWS\system\VMwareService.exe

--
End of file - 4933 bytes
--
Seamaster
IZ5MSM - McGrull
2009-07-30 11:25:44 UTC
Permalink
Beh la 445 è rinomata, è la porta dei directory services..

http://www.iana.org/assignments/port-numbers



Riguardo il logfile, pastalo qui:
http://www.hijackthis.de
Edoardo Benussi [MVP]
2009-07-30 11:32:27 UTC
Permalink
Post by seamaster
Ciao
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Hijackthis forse ti permetterebbe di capirci qualcosa...
ho fatto la scansione e ti incollo il log.... io non ci capisco niente!
[cut]

il log è pulito.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
seamaster
2009-07-30 11:42:46 UTC
Permalink
Post by Edoardo Benussi [MVP]
il log è pulito.
quindi le connessioni che vedo sono in entrata?

come posso difendere il server da queste connessioni a cui deve
rspondere?
Ciao e grazie
--
Seamaster
Edoardo Benussi [MVP]
2009-07-30 12:04:10 UTC
Permalink
Post by seamaster
Post by Edoardo Benussi [MVP]
il log è pulito.
quindi le connessioni che vedo sono in entrata?
io ho detto questo ?
Post by seamaster
come posso difendere il server da queste connessioni a cui deve
rspondere?
chi dice che il server non si sta già difendendo ?

posta il risultato di un
netstat -an -p tcp
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
seamaster
2009-07-30 12:17:05 UTC
Permalink
Post by Edoardo Benussi [MVP]
posta il risultato di un
netstat -an -p tcp
Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

C:\Documents and Settings\Administrator>netstat -an -p tcp

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1098 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1521 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2100 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2974 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2975 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2984 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4444 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4446 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7245 0.0.0.0:0 LISTENING
TCP 0.0.0.0:8009 0.0.0.0:0 LISTENING
TCP 0.0.0.0:8080 0.0.0.0:0 LISTENING
TCP 0.0.0.0:8083 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1049 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1921 127.0.0.1:1922 ESTABLISHED
TCP 127.0.0.1:1922 127.0.0.1:1921 ESTABLISHED
TCP 127.0.0.1:2202 127.0.0.1:2203 ESTABLISHED
TCP 127.0.0.1:2203 127.0.0.1:2202 ESTABLISHED
TCP 127.0.0.1:2294 127.0.0.1:2295 ESTABLISHED
TCP 127.0.0.1:2295 127.0.0.1:2294 ESTABLISHED
TCP 127.0.0.1:3023 127.0.0.1:3024 ESTABLISHED
TCP 127.0.0.1:3024 127.0.0.1:3023 ESTABLISHED
TCP 127.0.0.1:3086 127.0.0.1:3089 ESTABLISHED
TCP 127.0.0.1:3089 127.0.0.1:3086 ESTABLISHED
TCP 127.0.0.1:3447 127.0.0.1:3448 ESTABLISHED
TCP 127.0.0.1:3448 127.0.0.1:3447 ESTABLISHED
TCP 127.0.0.1:3565 127.0.0.1:3566 ESTABLISHED
TCP 127.0.0.1:3566 127.0.0.1:3565 ESTABLISHED
TCP 127.0.0.1:4208 127.0.0.1:4209 ESTABLISHED
TCP 127.0.0.1:4209 127.0.0.1:4208 ESTABLISHED
TCP 127.0.0.1:4218 127.0.0.1:4219 ESTABLISHED
TCP 127.0.0.1:4219 127.0.0.1:4218 ESTABLISHED
TCP 127.0.0.1:4567 127.0.0.1:4568 ESTABLISHED
TCP 127.0.0.1:4568 127.0.0.1:4567 ESTABLISHED
TCP 127.0.0.1:4620 127.0.0.1:4621 ESTABLISHED
TCP 127.0.0.1:4621 127.0.0.1:4620 ESTABLISHED
TCP 127.0.0.1:4624 127.0.0.1:4625 ESTABLISHED
TCP 127.0.0.1:4625 127.0.0.1:4624 ESTABLISHED
TCP 127.0.0.1:4628 127.0.0.1:4629 ESTABLISHED
TCP 127.0.0.1:4629 127.0.0.1:4628 ESTABLISHED
TCP 127.0.0.1:4631 127.0.0.1:4632 ESTABLISHED
TCP 127.0.0.1:4632 127.0.0.1:4631 ESTABLISHED
TCP 127.0.0.1:4634 127.0.0.1:4635 ESTABLISHED
TCP 127.0.0.1:4635 127.0.0.1:4634 ESTABLISHED
TCP 127.0.0.1:4638 127.0.0.1:4639 ESTABLISHED
TCP 127.0.0.1:4639 127.0.0.1:4638 ESTABLISHED
TCP 127.0.0.1:4642 127.0.0.1:4643 ESTABLISHED
TCP 127.0.0.1:4643 127.0.0.1:4642 ESTABLISHED
TCP 127.0.0.1:4649 127.0.0.1:4650 ESTABLISHED
TCP 127.0.0.1:4650 127.0.0.1:4649 ESTABLISHED
TCP 127.0.0.1:4652 127.0.0.1:4653 ESTABLISHED
TCP 127.0.0.1:4653 127.0.0.1:4652 ESTABLISHED
TCP 192.168.10.1:139 0.0.0.0:0 LISTENING
TCP 192.168.10.1:443 192.168.1.18:1438 ESTABLISHED
TCP 192.168.10.1:443 192.168.1.31:1974 ESTABLISHED
TCP 192.168.10.1:443 192.168.1.31:1975 ESTABLISHED
TCP 192.168.10.1:443 192.168.6.79:1504 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.79:1505 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.79:1506 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.79:1507 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.79:1509 ESTABLISHED
TCP 192.168.10.1:443 192.168.6.79:1510 ESTABLISHED
TCP 192.168.10.1:443 192.168.6.94:1512 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.94:1513 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.94:1514 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.94:1515 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.94:1516 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.94:1517 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.94:1519 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.94:1523 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.94:1524 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.94:1525 TIME_WAIT
TCP 192.168.10.1:443 192.168.6.94:1526 ESTABLISHED
TCP 192.168.10.1:443 192.168.6.94:1527 ESTABLISHED
TCP 192.168.10.1:1100 192.168.10.1:1521 ESTABLISHED
TCP 192.168.10.1:1289 192.168.1.3:445 ESTABLISHED
TCP 192.168.10.1:1304 192.168.1.15:445 ESTABLISHED
TCP 192.168.10.1:1312 192.168.1.20:445 ESTABLISHED
TCP 192.168.10.1:1321 192.168.1.26:445 ESTABLISHED
TCP 192.168.10.1:1330 192.168.1.31:445 ESTABLISHED
TCP 192.168.10.1:1521 192.168.10.1:1100 ESTABLISHED
TCP 192.168.10.1:1823 192.168.3.2:445 ESTABLISHED
TCP 192.168.10.1:1826 192.168.3.3:445 ESTABLISHED
TCP 192.168.10.1:1831 192.168.3.7:445 ESTABLISHED
TCP 192.168.10.1:2085 192.168.4.1:445 ESTABLISHED
TCP 192.168.10.1:2121 192.168.4.33:445 ESTABLISHED
TCP 192.168.10.1:2417 192.168.20.14:445 ESTABLISHED
TCP 192.168.10.1:2622 192.168.6.17:445 ESTABLISHED
TCP 192.168.10.1:2624 192.168.6.18:445 ESTABLISHED
TCP 192.168.10.1:2635 192.168.6.27:445 ESTABLISHED
TCP 192.168.10.1:2642 192.168.6.32:445 ESTABLISHED
TCP 192.168.10.1:2683 192.168.6.66:445 ESTABLISHED
TCP 192.168.10.1:2691 192.168.6.72:445 ESTABLISHED
TCP 192.168.10.1:2698 192.168.6.76:445 ESTABLISHED
TCP 192.168.10.1:2702 192.168.6.79:445 ESTABLISHED
TCP 192.168.10.1:2713 192.168.6.83:445 ESTABLISHED
TCP 192.168.10.1:2716 192.168.6.84:445 ESTABLISHED
TCP 192.168.10.1:2720 192.168.6.85:445 ESTABLISHED
TCP 192.168.10.1:2724 192.168.6.88:445 ESTABLISHED
TCP 192.168.10.1:2729 192.168.6.91:445 ESTABLISHED
TCP 192.168.10.1:2771 192.168.6.130:445 ESTABLISHED
TCP 192.168.10.1:2783 192.168.6.139:445 ESTABLISHED
TCP 192.168.10.1:2788 192.168.6.142:445 ESTABLISHED
TCP 192.168.10.1:2846 192.168.6.197:445 ESTABLISHED
TCP 192.168.10.1:2851 192.168.6.201:445 ESTABLISHED
TCP 192.168.10.1:2856 192.168.6.203:445 ESTABLISHED
TCP 192.168.10.1:3636 192.168.10.1:1521 TIME_WAIT
TCP 192.168.10.1:3752 192.168.10.58:445 ESTABLISHED
TCP 192.168.10.1:3753 192.168.10.59:445 ESTABLISHED
TCP 192.168.10.1:3770 192.168.10.68:445 ESTABLISHED
TCP 192.168.10.1:3792 192.168.10.91:445 ESTABLISHED
TCP 192.168.10.1:3804 192.168.10.100:445 ESTABLISHED
TCP 192.168.10.1:3873 0.0.0.0:0 LISTENING
TCP 192.168.10.1:3944 192.168.10.236:445 ESTABLISHED
TCP 192.168.10.1:3972 192.168.11.5:445 ESTABLISHED
TCP 192.168.10.1:3973 192.168.11.3:445 ESTABLISHED
TCP 192.168.10.1:3991 192.168.11.18:445 ESTABLISHED
TCP 192.168.10.1:4000 192.168.11.27:445 ESTABLISHED
TCP 192.168.10.1:4005 192.168.11.30:445 ESTABLISHED
TCP 192.168.10.1:4019 192.168.11.41:445 ESTABLISHED
TCP 192.168.10.1:4031 192.168.11.51:445 ESTABLISHED
TCP 192.168.10.1:4034 192.168.11.52:445 ESTABLISHED
TCP 192.168.10.1:4060 192.168.11.73:445 ESTABLISHED
TCP 192.168.10.1:4069 192.168.11.76:445 ESTABLISHED
TCP 192.168.10.1:4081 192.168.11.88:445 ESTABLISHED
TCP 192.168.10.1:4113 192.168.11.117:445 ESTABLISHED
TCP 192.168.10.1:4129 192.168.11.131:445 ESTABLISHED
TCP 192.168.10.1:4160 192.168.11.153:445 ESTABLISHED
TCP 192.168.10.1:4161 192.168.11.158:445 ESTABLISHED
TCP 192.168.10.1:4194 192.168.11.186:445 ESTABLISHED
TCP 192.168.10.1:4204 192.168.11.195:445 ESTABLISHED
TCP 192.168.10.1:4241 192.168.11.229:445 ESTABLISHED
TCP 192.168.10.1:4262 192.168.11.245:445 ESTABLISHED
TCP 192.168.10.1:4268 192.168.11.252:445 ESTABLISHED
TCP 192.168.10.1:4306 192.168.20.2:139 ESTABLISHED
TCP 192.168.10.1:4393 192.168.10.1:1521 TIME_WAIT
TCP 192.168.10.1:4717 192.171.143.131:445 SYN_SENT
TCP 192.168.10.1:4718 192.171.143.132:445 SYN_SENT
TCP 192.168.10.1:4719 192.171.143.133:445 SYN_SENT
TCP 192.168.10.1:4720 192.171.143.134:445 SYN_SENT
TCP 192.168.10.1:4721 192.171.143.135:445 SYN_SENT
TCP 192.168.10.1:4722 192.171.143.136:445 SYN_SENT
TCP 192.168.10.1:4723 192.171.143.137:445 SYN_SENT
TCP 192.168.10.1:4724 192.171.143.138:445 SYN_SENT
TCP 192.168.10.1:4725 192.171.143.139:445 SYN_SENT
TCP 192.168.10.1:4726 192.171.143.140:445 SYN_SENT
TCP 192.168.10.1:4727 192.171.143.141:445 SYN_SENT
TCP 192.168.10.1:4728 192.171.143.142:445 SYN_SENT
TCP 192.168.10.1:4729 192.171.143.143:445 SYN_SENT
TCP 192.168.10.1:4730 192.171.143.144:445 SYN_SENT
TCP 192.168.10.1:4731 192.171.143.145:445 SYN_SENT
TCP 192.168.10.1:4732 192.171.143.146:445 SYN_SENT
TCP 192.168.10.1:4733 192.171.143.147:445 SYN_SENT
TCP 192.168.10.1:4734 192.171.143.148:445 SYN_SENT
TCP 192.168.10.1:4735 192.171.143.150:445 SYN_SENT
TCP 192.168.10.1:4736 192.171.143.149:445 SYN_SENT
TCP 192.168.10.1:4737 192.171.143.151:445 SYN_SENT
TCP 192.168.10.1:4738 192.171.143.152:445 SYN_SENT
TCP 192.168.10.1:4739 192.171.143.153:445 SYN_SENT
TCP 192.168.10.1:4740 192.171.143.154:445 SYN_SENT
TCP 192.168.10.1:4741 192.171.143.155:445 SYN_SENT
TCP 192.168.10.1:4742 192.171.143.156:445 SYN_SENT
TCP 192.168.10.1:4743 192.171.143.157:445 SYN_SENT
TCP 192.168.10.1:4744 192.171.143.158:445 SYN_SENT
TCP 192.168.10.1:4745 192.171.143.159:445 SYN_SENT
TCP 192.168.10.1:4746 192.171.143.160:445 SYN_SENT
TCP 192.168.10.1:4747 192.171.143.161:445 SYN_SENT
TCP 192.168.10.1:4748 192.171.143.162:445 SYN_SENT
TCP 192.168.10.1:4749 192.171.143.163:445 SYN_SENT
TCP 192.168.10.1:4750 192.171.143.164:445 SYN_SENT
TCP 192.168.10.1:4751 192.171.143.165:445 SYN_SENT
TCP 192.168.10.1:4752 192.171.143.167:445 SYN_SENT
TCP 192.168.10.1:4753 192.171.143.166:445 SYN_SENT
TCP 192.168.10.1:4754 192.171.143.168:445 SYN_SENT
TCP 192.168.10.1:4755 192.171.143.169:445 SYN_SENT
TCP 192.168.10.1:4756 192.171.143.170:445 SYN_SENT
TCP 192.168.10.1:4757 192.171.143.171:445 SYN_SENT
TCP 192.168.10.1:4758 192.171.143.172:445 SYN_SENT
TCP 192.168.10.1:4759 192.171.143.173:445 SYN_SENT
TCP 192.168.10.1:4760 192.171.143.174:445 SYN_SENT
TCP 192.168.10.1:4761 192.171.143.175:445 SYN_SENT
TCP 192.168.10.1:4762 192.171.143.176:445 SYN_SENT
TCP 192.168.10.1:4763 192.171.143.177:445 SYN_SENT
TCP 192.168.10.1:4764 192.171.143.178:445 SYN_SENT
TCP 192.168.10.1:4765 192.171.143.179:445 SYN_SENT
TCP 192.168.10.1:4766 192.171.143.180:445 SYN_SENT
TCP 192.168.10.1:4767 192.171.143.181:445 SYN_SENT
TCP 192.168.10.1:4768 192.171.143.182:445 SYN_SENT
TCP 192.168.10.1:4769 192.171.143.183:445 SYN_SENT
TCP 192.168.10.1:4770 192.171.143.184:445 SYN_SENT
TCP 192.168.10.1:4771 192.171.143.185:445 SYN_SENT
TCP 192.168.10.1:4772 192.171.143.186:445 SYN_SENT
TCP 192.168.10.1:4773 192.171.143.187:445 SYN_SENT
TCP 192.168.10.1:4774 192.171.143.188:445 SYN_SENT
TCP 192.168.10.1:4775 192.171.143.189:445 SYN_SENT
TCP 192.168.10.1:4776 192.171.143.190:445 SYN_SENT
TCP 192.168.10.1:4777 192.171.143.191:445 SYN_SENT
TCP 192.168.10.1:4778 192.171.143.192:445 SYN_SENT
TCP 192.168.10.1:4779 192.171.143.193:445 SYN_SENT
TCP 192.168.10.1:4780 192.171.143.194:445 SYN_SENT
TCP 192.168.10.1:4781 192.171.143.195:445 SYN_SENT
TCP 192.168.10.1:4782 192.171.143.196:445 SYN_SENT
TCP 192.168.10.1:4783 192.171.143.197:445 SYN_SENT
TCP 192.168.10.1:4784 192.171.143.198:445 SYN_SENT
TCP 192.168.10.1:4785 192.171.143.199:445 SYN_SENT
TCP 192.168.10.1:4786 192.171.143.200:445 SYN_SENT
TCP 192.168.10.1:4787 192.171.143.201:445 SYN_SENT

C:\Documents and Settings\Administrator>
--
Seamaster
Gabriele Del Giovine [Microsoft MVP for MOSS]
2009-07-30 12:05:31 UTC
Permalink
Post by seamaster
Post by Edoardo Benussi [MVP]
il log è pulito.
quindi le connessioni che vedo sono in entrata?
Spetta un momento.
Avere un elevato numero di connessioni attive su porte TCP/UDP non significa
mica automaticamente
che hai il sistema compromesso. Occorre vedere in primo luogo quali
indirizzi IP remoti sono coinvolti
e quale numero di porta locale è interessato.
Se la tua macchina è un file server/print server o un controllore di dominio
è perfettamente normale
che ci siano una moltitudine di connessioni aperte originate dai client
presenti nella rete locale o comunque
di reti IP che tu gestisci e consideri sicure.

Con i tools tipo TCPView
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
puoi vedere quali processi in esecuzione sul server utilizzano le porte
TCP/UDP.
Da li puoi quindi capire se i programmi sono "fidati" o si tratta di oggetti
estranei ed indesiderati.

Saluti.
Post by seamaster
come posso difendere il server da queste connessioni a cui deve rspondere?
Ciao e grazie
--
Seamaster
seamaster
2009-07-30 12:39:47 UTC
Permalink
Ciao
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Spetta un momento.
Avere un elevato numero di connessioni attive su porte TCP/UDP non significa
mica automaticamente
che hai il sistema compromesso. Occorre vedere in primo luogo quali indirizzi
IP remoti sono coinvolti
e quale numero di porta locale è interessato.
no, no qui c'è un traffico anomalo.... ci saranno poche persone negli
uffici qui invece sembra che ci sia mezza italia collegata!
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Se la tua macchina è un file server/print server o un controllore di dominio
server oracle per un applicativo.
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Con i tools tipo TCPView
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
puoi vedere quali processi in esecuzione sul server utilizzano le porte
TCP/UDP.
Da li puoi quindi capire se i programmi sono "fidati" o si tratta di oggetti
estranei ed indesiderati.
ti posto qualche riga del log
come potrai vedere gli indirizzi 192.168.dalla 6 alla 18.xx sono miei
tutti gli altri non so chi sono...

ci sono centinaia di righe così
VMwareService.exe:1540 TCP ****:3211 192.171.199.90:microsoft-ds SYN_SENT
--
Seamaster
Gabriele Del Giovine [Microsoft MVP for MOSS]
2009-07-30 12:44:38 UTC
Permalink
Post by seamaster
ci sono centinaia di righe così
VMwareService.exe:1540 TCP ****:3211 192.171.199.90:microsoft-ds SYN_SENT
Sei sicuro che non stai offrendo un servizio di Virtual Machine aggratis a
mezzo mondo?
Hai Vmware sulla macchina? QUante VM sono attive?
seamaster
2009-07-30 12:55:05 UTC
Permalink
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Sei sicuro che non stai offrendo un servizio di Virtual Machine aggratis a
mezzo mondo?
Hai Vmware sulla macchina? QUante VM sono attive?
No, in realtà la macchina server di cui stiamo parlando è un win2003
installato su VM... quindi ci sono le vmware utility installate.
c'entra? io non penso...
--
Seamaster
Gabriele Del Giovine [Microsoft MVP for MOSS]
2009-07-30 13:21:20 UTC
Permalink
Post by seamaster
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Sei sicuro che non stai offrendo un servizio di Virtual Machine aggratis
a mezzo mondo?
Hai Vmware sulla macchina? QUante VM sono attive?
No, in realtà la macchina server di cui stiamo parlando è un win2003
installato su VM... quindi ci sono le vmware utility installate. c'entra?
io non penso...
Si sono i vmware tools. Ma non dovrebbero avere tutte quelle connessioni in
quello stato.
ObiWan [MVP]
2009-07-30 12:51:43 UTC
Permalink
Post by seamaster
no, no qui c'è un traffico anomalo.... ci saranno poche persone
negli uffici qui invece sembra che ci sia mezza italia collegata!
beh... non esageriamo, il fatto che ci sia poca gente negli uffici
non significa che i computers siano spenti, poi ovviamente ci
sarebbe da tenere in considerazioni le stampanti di rete e varie
periferiche "intelligenti" :)
Post by seamaster
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Se la tua macchina è un file server/print server o un controllore di dominio
server oracle per un applicativo.
si ho notato oracle

TCP 0.0.0.0:1521 0.0.0.0:0 LISTENING

però... mica c'è solo quello eh

TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:8080 0.0.0.0:0 LISTENING
Post by seamaster
ti posto qualche riga del log
VMwareService.exe:1540 TCP ****:3211 192.171.199.90:microsoft-ds
SYN_SENT

hmm... hai delle Virtual Machines VMware in esecuzione sulla rete ?
Nel caso, questo /potrebbe/ spiegare gli IP "strani" visibili nel
netstat,
come ad esempio....

TCP 192.168.10.1:4717 192.171.143.131:445 SYN_SENT
TCP 192.168.10.1:4718 192.171.143.132:445 SYN_SENT
TCP 192.168.10.1:4719 192.171.143.133:445 SYN_SENT
TCP 192.168.10.1:4720 192.171.143.134:445 SYN_SENT

anche se, in TEORIA vmware dovrebbe usare delle subnet private
VALIDE e non roba tipo quella sopra; tra l'altro l'uso di IP che vanno
ad incrementarsi mi puzza
seamaster
2009-07-30 13:04:46 UTC
Permalink
fino a qualche giorno fa e con il quadruplo della gente non c'era
neanche un decimo dl traffico di oggi
Post by ObiWan [MVP]
si ho notato oracle
TCP 0.0.0.0:1521 0.0.0.0:0 LISTENING
perfetto, oracle è settato col listning sulla 1521
Post by ObiWan [MVP]
però... mica c'è solo quello eh
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:8080 0.0.0.0:0 LISTENING
che sono? non penso che le ho messe perchè è un server dedicato solo ad
oracle
Post by ObiWan [MVP]
Post by seamaster
ti posto qualche riga del log
VMwareService.exe:1540 TCP ****:3211 192.171.199.90:microsoft-ds
SYN_SENT
hmm... hai delle Virtual Machines VMware in esecuzione sulla rete ?
si un paio ma le VM hanno il loro indirizzo fisso sempre 192.168.10.xx
Post by ObiWan [MVP]
Nel caso, questo /potrebbe/ spiegare gli IP "strani" visibili nel
netstat,
come ad esempio....
TCP 192.168.10.1:4717 192.171.143.131:445 SYN_SENT
TCP 192.168.10.1:4718 192.171.143.132:445 SYN_SENT
TCP 192.168.10.1:4719 192.171.143.133:445 SYN_SENT
TCP 192.168.10.1:4720 192.171.143.134:445 SYN_SENT
non sono miei... io ho solo 192.168.6-20.xxx
Post by ObiWan [MVP]
anche se, in TEORIA vmware dovrebbe usare delle subnet private
VALIDE e non roba tipo quella sopra; tra l'altro l'uso di IP che vanno
ad incrementarsi mi puzza
infatti
--
Seamaster
ObiWan [MVP]
2009-07-30 13:21:43 UTC
Permalink
Post by seamaster
Post by seamaster
TCP 0.0.0.0:1521 0.0.0.0:0 LISTENING
perfetto, oracle è settato col listning sulla 1521
e, fin qui... ci siamo :)
Post by seamaster
Post by seamaster
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:8080 0.0.0.0:0 LISTENING
che sono? non penso che le ho messe perchè è un server
dedicato solo ad oracle
questo dovresti dircelo tu, ad esempio usando i tools già visti
considera che la 443 di norma viene usata da webservers che
siano pubblicati su HTTPS mentre la 8080 normalmente viene
usata come porta per proxy HTTP; nel tuo caso potrebbe anche
essere qualcosa di relativo ad oracle, ma sarebbe utile usare
i tools già visti per verificare *cosa* stia in ascolto su quelle porte
Post by seamaster
Post by seamaster
hmm... hai delle Virtual Machines VMware in esecuzione sulla rete ?
si un paio ma le VM hanno il loro indirizzo fisso sempre 192.168.10.xx
beh... ammesso (e NON concesso) che siano le VM, (e non sembra il caso)
quella valanga di IP in ordine crescente con dei SYN_SENT sulla 445 mi
puzzano parecchio
Post by seamaster
Post by seamaster
TCP 192.168.10.1:4717 192.171.143.131:445 SYN_SENT
TCP 192.168.10.1:4718 192.171.143.132:445 SYN_SENT
TCP 192.168.10.1:4719 192.171.143.133:445 SYN_SENT
TCP 192.168.10.1:4720 192.171.143.134:445 SYN_SENT
non sono miei... io ho solo 192.168.6-20.xxx
ecco... appunto, ergo sarebbe utile capire da dove saltino fuori
seamaster
2009-07-30 14:38:31 UTC
Permalink
Post by ObiWan [MVP]
questo dovresti dircelo tu, ad esempio usando i tools già visti
considera che la 443 di norma viene usata da webservers che
siano pubblicati su HTTPS mentre la 8080 normalmente viene
usata come porta per proxy HTTP; nel tuo caso potrebbe anche
essere qualcosa di relativo ad oracle, ma sarebbe utile usare
i tools già visti per verificare *cosa* stia in ascolto su quelle porte
hai ragione come ho già scritto sotto mi cospargo il capo di cenere!
Post by ObiWan [MVP]
beh... ammesso (e NON concesso) che siano le VM, (e non sembra il caso)
quella valanga di IP in ordine crescente con dei SYN_SENT sulla 445 mi
puzzano parecchio
infatti, cosa posso provare a fare?
Post by ObiWan [MVP]
ecco... appunto, ergo sarebbe utile capire da dove saltino fuori
faccio un'ipotesi e voi cazziatemi se la sparo grossa: la mia intranet
fa parte di una intranet più grande. In pratica noi siamo una struttura
collegata ad altre strutture uguali alla mia che componiamo un insieme
però tutti insieme non POSSIAMO uscire su internet. E' possibile che
qualche client in giro per la intranet sia infetto e spara verso di me?
Ho lanciato il tools McAfee enterprise consigliatomi più in alto e,
nella mia LAN, non ha trovato nulla su nessun client acceso.
Nel caso come posso limitare l'accesso alla macchina solo alla mia LAN?
Non mi dite di intervenire sugli switch ecc. perchè non ho gli accessi
ed il collega che si occupa della rete è in ferie.... Dal 10 agosto che
torna gli dirò di provvedere...
Ciao
--
Seamaster
ObiWan [MVP]
2009-07-30 14:51:03 UTC
Permalink
Post by seamaster
Post by ObiWan [MVP]
essere qualcosa di relativo ad oracle, ma sarebbe utile usare
i tools già visti per verificare *cosa* stia in ascolto su quelle porte
hai ragione come ho già scritto sotto mi cospargo il capo di cenere!
non credo ce ne sia bisogno :) solo... usa quei tools e verifica per
bene
e poi facci sapere, altrimenti saremo costretti ad andare a tentoni e
non
è esattamente il sistema più rapido per risolvere un problema :)
Post by seamaster
Post by ObiWan [MVP]
beh... ammesso (e NON concesso) che siano le VM, (e non sembra il
caso) quella valanga di IP in ordine crescente con dei SYN_SENT
sulla 445 mi puzzano parecchio
infatti, cosa posso provare a fare?
bella domanda ma... risposta difficile senza avere un panorama della
tua infrastuttura di rete; così "a braccio" direi che potresti tentare
quanto
segue; attiva il firewall di sistema inserendo un'eccezione che consenta
il traffico da/verso la subnet 192.168.0.0 / 255.255.0.0 (la mask serve
a
permettere ad eventuali altre subnet nella tua "struttura" di contattare
il
server) ed assicurati che il firewall logghi i pacchetti bloccati,
quindi
appena possibile riavvia il sistema e tienilo sotto controllo; so che
la soluzione è molto grossolana, ma come "pezza" potrebbe essere
ok, almeno fin quando il tuo collega non tornerà dalle ferie e, più
importante, sarà facile in caso di problemi tornare alla "situazione
precedente" semplicemente disattivando il firewall :)
seamaster
2009-07-30 15:10:30 UTC
Permalink
Post by ObiWan [MVP]
bella domanda ma... risposta difficile senza avere un panorama della
tua infrastuttura di rete; così "a braccio" direi che potresti tentare
in pratica sono messo così:
la mia struttura ha una sottorete intera da 255 ip ma noi, essendo di
più ci siamo NATTATI.
Da dentro siamo da 192.168.10.x a 192.168.20.x naturalmente le
sottoreti non sono piene altrimenti dovrei combattere con 2500 client
:-(
sulla 10 abbiamo i server e gli apparati fissi mentre le altri sono per
i client divisi per piano, zone, uffici ecc.
i principali server che devono essere visti anche da fuori sono nattati
1:1 mentre gli altri escono usando un ip ogni sottorete.
Il mio server è nattato 1:1 solo per farmi fare assistenza remota (solo
sull'applicativo e non sistemistica) nel caso avessi bisogno.
Ora potrei anche abilitare l'uscita solo al bisogno....
Spero di aver chiarito meglio la situazione in modo che potrai
consigliarmi più miratamente.
Cmq domattina, ad utenti scollegati, voglio fare una semplice prova:
stacco il cavetto in modo da capire se le connessioni sono da fuori
verso il mio server o sono io che sparo fuori.... poi riavvio come mi
hai detto vediamo...
ciao
--
Seamaster
ObiWan [MVP]
2009-07-30 15:27:00 UTC
Permalink
Post by seamaster
la mia struttura ha una sottorete intera da 255 ip ma noi, essendo di
più ci siamo NATTATI.
Da dentro siamo da 192.168.10.x a 192.168.20.x naturalmente le
sottoreti non sono piene altrimenti dovrei combattere con 2500 client
:-(
hmm... nel netstat vedo anche 192.168.1.x, 192.168.3.x e 192.168.6.x
è per quello che consigliavo di usare una netmask 255.255.0.0 per
la regola del firewall... ammesso e non concesso che quelle reti
DEBBANO contattare il tuo server (es. altre sottoreti relative a
"sedi" ;) esterne ma con le quali sia necessario comunicare, ad
esempio per ActiveDirectory o altro); certo che se aveste usato
delle VLAN probabilmente ora non avresti questo problema.. ok,
inutile piangere sul latte versato...
Post by seamaster
Spero di aver chiarito meglio la situazione in modo che potrai
consigliarmi più miratamente.
oddio... un pochino si, ma non più di tanto, e del resto meglio non
postare qui in pubblico più di tanti dettagli, detto questo ...
Post by seamaster
stacco il cavetto in modo da capire se le connessioni sono da fuori
verso il mio server o sono io che sparo fuori.... poi riavvio come mi
hai detto vediamo...
prima di farlo, prova ad attivare il firewall impostando poi l'eccezione
come ti ho consigliato, quindi, senza staccare il cavetto, riavvia ed a
quel punto controlla la situazione per qualche tempo; a staccare il
cavo "wan" farai sempre in tempo... in un secondo momento :) detto
questo, potresti attivare il firewall già da ora facendo qualche test
iniziale; non si "romperà" nulla ma per lo meno potresti ottenere
qualche informazione in più
seamaster
2009-07-30 16:04:40 UTC
Permalink
Post by ObiWan [MVP]
hmm... nel netstat vedo anche 192.168.1.x, 192.168.3.x e 192.168.6.x
è per quello che consigliavo di usare una netmask 255.255.0.0 per
la regola del firewall... ammesso e non concesso che quelle reti
DEBBANO contattare il tuo server (es. altre sottoreti relative a
"sedi" ;) esterne ma con le quali sia necessario comunicare, ad
esempio per ActiveDirectory o altro); certo che se aveste usato
delle VLAN probabilmente ora non avresti questo problema.. ok,
inutile piangere sul latte versato...
Giusto, hai ragione, ci sono anche le vlan delle sottoreti 1, 3, 6 e 7
di una sede vicino la nostra... le scordo sempre perchè sono staccati
da noi
Post by ObiWan [MVP]
oddio... un pochino si, ma non più di tanto, e del resto meglio non
postare qui in pubblico più di tanti dettagli, detto questo ...
ovvio, sono stato generico...
Post by ObiWan [MVP]
prima di farlo, prova ad attivare il firewall impostando poi l'eccezione
come ti ho consigliato, quindi, senza staccare il cavetto, riavvia ed a
quel punto controlla la situazione per qualche tempo;
proverò

a staccare il
Post by ObiWan [MVP]
cavo "wan" farai sempre in tempo... in un secondo momento :) detto
questo, potresti attivare il firewall già da ora facendo qualche test
iniziale; non si "romperà" nulla ma per lo meno potresti ottenere
qualche informazione in più
veramente ora sto già a casa, domani proverò e ti faccio sapere.
Grazie mille... a domani.
--
Seamaster
seamaster
2009-07-31 05:07:36 UTC
Permalink
Ciao
Post by seamaster
proverò
a staccare il
Post by ObiWan [MVP]
cavo "wan" farai sempre in tempo... in un secondo momento :) detto
questo, potresti attivare il firewall già da ora facendo qualche test
iniziale; non si "romperà" nulla ma per lo meno potresti ottenere
qualche informazione in più
veramente ora sto già a casa, domani proverò e ti faccio sapere.
Grazie mille... a domani.
appena arrivato in ufficio ho provato a staccare il cavetto ed anche
dopo qualche minuti ci sono tutte le connessioni :-@
allora è la mia che le genera....porc!
Cos'altro posso fare visto che i tools segnalatomi ieri hanno detto che
non sono infetto?
Grazie
--
Seamaster
ObiWan [MVP]
2009-07-31 07:24:00 UTC
Permalink
Post by seamaster
appena arrivato in ufficio ho provato a staccare il cavetto ed
allora è la mia che le genera....porc!
rileggendo l'output del netstat che hai postato ieri, avevo iniziato
a sospettarlo, queste righe ...

TCP 192.168.10.1:4717 192.171.143.131:445 SYN_SENT
TCP 192.168.10.1:4718 192.171.143.132:445 SYN_SENT
TCP 192.168.10.1:4719 192.171.143.133:445 SYN_SENT
TCP 192.168.10.1:4720 192.171.143.134:445 SYN_SENT
TCP 192.168.10.1:4721 192.171.143.135:445 SYN_SENT
TCP 192.168.10.1:4722 192.171.143.136:445 SYN_SENT
TCP 192.168.10.1:4723 192.171.143.137:445 SYN_SENT
TCP 192.168.10.1:4724 192.171.143.138:445 SYN_SENT
TCP 192.168.10.1:4725 192.171.143.139:445 SYN_SENT
[...]
TCP 192.168.10.1:4784 192.171.143.198:445 SYN_SENT
TCP 192.168.10.1:4785 192.171.143.199:445 SYN_SENT
TCP 192.168.10.1:4786 192.171.143.200:445 SYN_SENT
TCP 192.168.10.1:4787 192.171.143.201:445 SYN_SENT

sembrano quasi essere uno "scan" sulla subnet 192.171.143.201
il problema è capire *COSA* diavolo stia generandolo, anche se,
vista la porta (445) è probabile si tratti di un malware; ad ogni modo
per tentare di capire qualcosa in più, prova ad utilizzare

http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

e verifica quale sia l'applicazione responsabile; in qualsiasi caso
secondo me, l'idea di attivare il firewall non è poi così "ballerina" :)
Edoardo Benussi [MVP]
2009-07-31 07:30:32 UTC
Permalink
Post by seamaster
appena arrivato in ufficio ho provato a staccare il cavetto ed anche
allora è la mia che le genera....porc!
Cos'altro posso fare visto che i tools segnalatomi ieri hanno detto
che non sono infetto?
Grazie
guarda gli ultimi due post di questo thread
http://vbulletin.thesite.org/archive/index.php/t-68990.html
potrebbe essere sasser.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Gabriele Del Giovine [Microsoft MVP for MOSS]
2009-07-31 07:39:54 UTC
Permalink
Post by Edoardo Benussi [MVP]
guarda gli ultimi due post di questo thread
http://vbulletin.thesite.org/archive/index.php/t-68990.html
potrebbe essere sasser.
Non direi protrebbe essere Sasser: E' SASSER!
ObiWan [MVP]
2009-07-31 07:50:02 UTC
Permalink
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Post by Edoardo Benussi [MVP]
guarda gli ultimi due post di questo thread
http://vbulletin.thesite.org/archive/index.php/t-68990.html
potrebbe essere sasser.
Non direi protrebbe essere Sasser: E' SASSER!
beh nel caso http://support.microsoft.com/kb/841720 :)
Edoardo Benussi [MVP]
2009-07-31 08:03:10 UTC
Permalink
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Post by Edoardo Benussi [MVP]
guarda gli ultimi due post di questo thread
http://vbulletin.thesite.org/archive/index.php/t-68990.html
potrebbe essere sasser.
Non direi protrebbe essere Sasser: E' SASSER!
volevo essere ottimista :)
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
seamaster
2009-07-31 08:32:15 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Post by Edoardo Benussi [MVP]
guarda gli ultimi due post di questo thread
http://vbulletin.thesite.org/archive/index.php/t-68990.html
potrebbe essere sasser.
Non direi protrebbe essere Sasser: E' SASSER!
volevo essere ottimista :)
allora penso di aver risolto:
ho installato un antivirus differente da clamwin e mi ha rilevato il
W32/Autorun-RX ed ha bloccato il file vmwareservice.exe.
Ora le connessioni sono nella normalità! :-)
All'inizio mi sono spaventato che la vm potesse crashare perchè quel
file di vmware dal nome mi sembrava importante mentre invece funziona
tutto bene compreso i vmware tools.
Grazie mille a tutti siete MAGGGGICI!
fiùùù posso andare in ferie lol
--
Seamaster
Edoardo Benussi [MVP]
2009-07-31 08:53:12 UTC
Permalink
io credo di no.
Post by seamaster
ho installato un antivirus differente da clamwin e mi ha rilevato il
W32/Autorun-RX ed ha bloccato il file vmwareservice.exe.
Ora le connessioni sono nella normalità! :-)
hai solo fermato il veicolo di infezione ma
non hai rimosso il virus.
ti conviene fare una ulteriore scansione
con un removal tool specifico per sasser.
two controls is better than one ;)
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
ObiWan [MVP]
2009-07-31 09:42:46 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by seamaster
ho installato un antivirus differente da clamwin
oddio ... avevi SOLTANTO clamwin su quel sistema ?!?
Post by Edoardo Benussi [MVP]
Post by seamaster
e mi ha rilevato il W32/Autorun-RX ed ha bloccato
il file vmwareservice.exe. Ora le connessioni sono
nella normalità! :-)
hai solo fermato il veicolo di infezione ma
non hai rimosso il virus.
esatto; a questo punto direi che una passata con un boot-cd
come ad esempio

http://www.free-av.com/en/tools/12/avira_antivir_rescue_system.html

potrebbe essere opportuna; nel caso, sarà necessario usare
una macchina "pulita" (non infetta) per scaricare il tool e per
masterizzarlo su CD (basta avviare l'exe, per la creazione
del CD) quindi inserire il CD nel server e riavviare il server
da CD; all'avvio si selezionerà l'opzione che permette di
rinominare i files infetti e quindi si procederà con lo scan
ed il clean; al termine si potrà riavviare il sistema in modo
normale procedendo poi, per sicurezza, ad una ulteriore
scansione tramite ad esempio

http://housecall.trendmicro.com/it/

una volta completata anche tale scansione ed accertatisi
che il sistema sia pulito si potrà procedere alla rimozione
dei files infetti rilevati da "avira" e rinominati con estensione
"xxx"; a tale scopo basterà utilizzare lo strumento di ricerca
di sistema per individuare tali files ed eliminarli

in qualsiasi caso, il fatto che il sistema sia stato infettato
da SASSER significa che lo stesso non ha le necessarie
patches di sicurezza, quindi, onde evitare reinfezioni sarà
opportuno procedere con l'aggiornamento del sistema
tramite windows update, ripetendo l'aggiornamento fino
a che non vi siano più updates disponibili
Edoardo Benussi [MVP]
2009-07-31 09:48:48 UTC
Permalink
Post by ObiWan [MVP]
in qualsiasi caso, il fatto che il sistema sia stato infettato
da SASSER significa che lo stesso non ha le necessarie
patches di sicurezza, quindi, onde evitare reinfezioni sarà
opportuno procedere con l'aggiornamento del sistema
tramite windows update, ripetendo l'aggiornamento fino
a che non vi siano più updates disponibili
+1
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
ObiWan [MVP]
2009-07-31 10:05:58 UTC
Permalink
Post by ObiWan [MVP]
in qualsiasi caso, il fatto che il sistema sia stato infettato
da SASSER significa che lo stesso non ha le necessarie
patches di sicurezza, quindi, onde evitare reinfezioni sarà
opportuno procedere con l'aggiornamento del sistema
tramite windows update, ripetendo l'aggiornamento fino
a che non vi siano più updates disponibili
+1
:)

per chiarire...

apri windows update, seleziona "personalizzato" ed avvia
il controllo degli aggiornamenti; installa gli aggiornamenti e,
se richiesto, riavvia; al riavvio riapri windows update e ripeti
il controllo e prosegui fino a che tutti gli aggiornamenti saranno
stati installati sul sistema

oltre a questo, assicurati di configurare windows update in
modo da installare gli aggiornamenti periodicamente così
da essere protetto da eventuali nuove vulnerabilità di sistema
seamaster
2009-07-31 10:57:55 UTC
Permalink
Ciao
Post by Edoardo Benussi [MVP]
ti conviene fare una ulteriore scansione
con un removal tool specifico per sasser.
mi consigli qualcosa che sia possibile eseguire a macchina avviata in
quanto ho gli utenti collegati fino a domani?
La path di sicurezza per questo virus qual'è? come ti dicevo non sono
in internet e non POSSO mettercelo... ogni volta devo scaricare su una
macchina standalone e poi passare tramite pendrive sul server le
patch... di solito faccio così solo con i sp non ogni singola patch!
Cmq avendo il sp2 non sono già protetto?
ciao
--
Seamaster
ObiWan [MVP]
2009-07-31 11:12:46 UTC
Permalink
Post by seamaster
mi consigli qualcosa che sia possibile eseguire a macchina avviata in
quanto ho gli utenti collegati fino a domani?
puoi provare con l'online scan di trendmicro

http://housecall.trendmicro.com/
Post by seamaster
La path di sicurezza per questo virus qual'è ?
ne sono state rilasciate diverse in tempi differenti; ti conviene
usare il tool MBSA reperibile qui

http://technet.microsoft.com/en-us/security/cc184924.aspx

per controllare il server e determinare quali siano le patches
mancanti
Post by seamaster
come ti dicevo non sono in internet e non POSSO mettercelo...
in una architettura del genere, non avere un WSUS che permetta
l'aggiornamento dei sistemi non connessi ad internet è un vero e
proprio suicidio :( !

Valuta l'installazione di un WSUS su di una macchina separata
che abbia accesso ad internet; non credo te ne pentirai (e tra
l'altro WSUS è gratutito :D)

http://technet.microsoft.com/en-us/wsus/default.aspx

una volta installatolo potrai configurare sia il server sia tutti gli
altri sistemi in modo da prelevare gli aggiornamenti dal server
WSUS, solo quest'ultimo avrà quindi accesso ad internet allo
scopo di scaricare dal sito microsoft gli aggiornamenti che
verranno poi "distribuiti" ai vari sistemi della rete

ciao
seamaster
2009-07-31 11:37:16 UTC
Permalink
Ciao
Post by ObiWan [MVP]
puoi provare con l'online scan di trendmicro
non posso andare in internet!
Post by ObiWan [MVP]
ne sono state rilasciate diverse in tempi differenti; ti conviene
usare il tool MBSA reperibile qui
ora provo
Post by ObiWan [MVP]
in una architettura del genere, non avere un WSUS che permetta
l'aggiornamento dei sistemi non connessi ad internet è un vero e
proprio suicidio :( !
in realtà il wsus c'è per il dominio e tutti i server ed i client
tranne questo server in quanto i produttori dell'applicativo che ci
gira sconsiglia vivamente di aggiornarlo con patch in quanto potrebbero
cambiare delle piccole cose e poi potrebbe non funzionare... vieta
anche di aggiungerlo al dominio.
ciao
--
Seamaster
Gabriele Del Giovine [Microsoft MVP for MOSS]
2009-07-31 12:31:07 UTC
Permalink
in realtà il wsus c'è per il dominio e tutti i server ed i client tranne
questo server in quanto i produttori dell'applicativo che ci gira
sconsiglia vivamente di aggiornarlo con patch in quanto potrebbero
cambiare delle piccole cose e poi potrebbe non funzionare... vieta anche
di aggiungerlo al dominio.
Fammi indovinare: sono guru della programmazione ("noi usiamo Oracle, siamo
superfighi")
e sviluppano applicazioni ipermegafighe.

Io vieterei a loro di vendere il loro software.....altro che aggregazione al
dominio del server...
seamaster
2009-07-31 12:49:19 UTC
Permalink
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Fammi indovinare: sono guru della programmazione ("noi usiamo Oracle, siamo
superfighi")
Proprio loro...
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
e sviluppano applicazioni ipermegafighe.
eehhhh avojjjaaa!! fanno una patch che risolve un problema e ne scasina
due!
--
Seamaster
Edoardo Benussi [MVP]
2009-07-31 12:36:29 UTC
Permalink
Post by seamaster
in realtà il wsus c'è per il dominio e tutti i server ed i client
tranne questo server in quanto i produttori dell'applicativo che ci
gira sconsiglia vivamente di aggiornarlo con patch in quanto
potrebbero cambiare delle piccole cose e poi potrebbe non
funzionare... vieta anche di aggiungerlo al dominio.
buahahahhhahahah :-P
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
ObiWan [MVP]
2009-07-31 13:22:43 UTC
Permalink
Post by seamaster
in realtà il wsus c'è per il dominio e tutti i server ed i client
tranne questo server in quanto i produttori dell'applicativo
che ci gira sconsiglia vivamente di aggiornarlo con patch
hm... lo sai vero che una cosa del genere, stando alle attuali
normative significa che questi signori potrebbero essere
INCRIMINATI ? Se non lo sapevi... beh, ora lo sai :)

Detto questo...

Se il server è stato infettato da SASSER e considerando che
il sistema non ha accesso ad internet, questo significa che
sulla rete esistono altri sistemi infetti da SASSER (ergo non
aggiornati) il che significa che, anche rimuovendo l'infezione
rischierai di ritrovarti nelle stesse condizioni in poco tempo

A questo punto io farei quanto segue

1) Immagine completa del sistema (ad esempio utilizzando
http://clonezilla.org/ o qualcosa di simile); questa immagine
ti servirà nel caso fossi costretto a ripristinare il sistema alle
attuali condizioni

2) Installazione di TUTTE e dico TUTTE le patches necessarie
indipendentemente da qualsiasi fesseria possano raccontare
coloro che forniscono il s/w

3) Nel caso in cui il s/w applicativo non funzionasse, rivolgiti ai
produttori e, se questi per caso avessero da ridire sul discorso
aggiornamenti, fagli presente che ... o aggiornano quella specie
di ciofeca oppure rischiano una denuncia (no, non è uno scherzo)

ciao
Gabriele Del Giovine [Microsoft MVP for MOSS]
2009-07-31 13:37:28 UTC
Permalink
Post by ObiWan [MVP]
3) Nel caso in cui il s/w applicativo non funzionasse, rivolgiti ai
produttori e, se questi per caso avessero da ridire sul discorso
aggiornamenti, fagli presente che ... o aggiornano quella specie
di ciofeca oppure rischiano una denuncia (no, non è uno scherzo)
Beh dai non esageriamo. La responsabilità penale e civile è sempre del
responsabile
della sicurezza. Magari quello che possono fare è dire loro "Signori, o
provvedete a costo zero
agli aggiornamenti o vi facciamo causa per difetti gravi dell'applicazione."
ObiWan [MVP]
2009-07-31 13:53:12 UTC
Permalink
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Post by ObiWan [MVP]
3) Nel caso in cui il s/w applicativo non funzionasse, rivolgiti ai
produttori e, se questi per caso avessero da ridire sul discorso
aggiornamenti, fagli presente che ... o aggiornano quella specie
di ciofeca oppure rischiano una denuncia (no, non è uno scherzo)
Beh dai non esageriamo. La responsabilità penale e civile è sempre
del responsabile della sicurezza. Magari quello che possono fare è
dire loro "Signori, o provvedete a costo zero agli aggiornamenti o vi
facciamo causa per difetti gravi dell'applicazione."
questo è quello che avrebbe potuto fare fino a qualche tempo fa, ad
oggi, viste varie leggi relative alla sicurezza dei dati, alla privacy
ed
altro, nel caso in cui qualcuno ti fornisca un programma che impedisce
di aggiornare i sistemi e che quindi li rende vulnerabili, il fornitore
del
programma stesso potrebbe essere (ed è stato) passibile di violazione
di diverse leggi e normative e siccome alcune di queste ricadono nella
sfera del diritto penale... e no, NON sto scherzando; se qualcuno
volesse
"impuntarsi" (come è successo in alcuni casi) ne avrebbe tutte le
ragioni
il che significa... o si aggiornano i programmi per funzionare come si
deve
e permettere l'aggiornamento dei sistemi, oppure si rischia, poi, ognuno
decide come preferisce; tutto sommato è caldo e magari qualcuno
potrebbe voler passare del tempo al fresco raccogliendo saponette
IZ5MSM - McGrull
2009-07-31 14:54:38 UTC
Permalink
Post by ObiWan [MVP]
questo è quello che avrebbe potuto fare fino a qualche tempo fa, ad
oggi, viste varie leggi relative alla sicurezza dei dati, alla privacy ed
altro, nel caso in cui qualcuno ti fornisca un programma che impedisce
di aggiornare i sistemi e che quindi li rende vulnerabili, il fornitore
del programma stesso potrebbe essere (ed è stato) passibile di violazione
di diverse leggi e normative e siccome alcune di queste ricadono nella
sfera del diritto penale... e no, NON sto scherzando; se qualcuno
volesse "impuntarsi" (come è successo in alcuni casi) ne avrebbe tutte le
ragioni il che significa... o si aggiornano i programmi per funzionare come si
deve e permettere l'aggiornamento dei sistemi, oppure si rischia, poi, ognuno
decide come preferisce; tutto sommato è caldo e magari qualcuno
potrebbe voler passare del tempo al fresco raccogliendo saponette
Mastico molto privacy ed altre menate del genere, ma non riesco a
trovare il collegamento normativo, che praticamente imponga quanto tu
dici.

Ovvero in quale passaggio la normativa prevederebbe che

* nel caso in cui qualcuno ti fornisca un programma che impedisce
* di aggiornare i sistemi e che quindi li rende vulnerabili, il
fornitore
* del programma stesso potrebbe essere (ed è stato) passibile di
violazione
* di diverse leggi e normative

Ti ringrazierei moltissimo.
ObiWan [MVP]
2009-07-31 15:00:25 UTC
Permalink
Post by IZ5MSM - McGrull
poi, ognuno decide come preferisce; tutto sommato è caldo e magari
qualcuno potrebbe voler passare del tempo al fresco raccogliendo
saponette
Mastico molto privacy ed altre menate del genere, ma non riesco a
trovare il collegamento normativo, che praticamente imponga quanto tu
dici.
infatti non esiste UNA singola norma; ma se ne metti assieme più di una
scoprirai che quanto ho detto non è affatto campato in aria, ovviamente
un buon avvocato poi potrà fare molto meglio di me :)
Skywalker Senior
2009-07-31 16:18:13 UTC
Permalink
"ObiWan [MVP]" <***@mvps.org> ha scritto nel messaggio news:%***@TK2MSFTNGP04.phx.gbl...
Scusate se mi intrometto ma un conto è "impedire" gli aggiornamenti (e
questo sarebbe, anche a mio avviso, denunciabile), un altro è che il
programmatore consigli di non farli perché altrimenti il programma potrebbe
avere problemi. In quest'ultimo caso io parlerei chiaro al programmatore:
gli aggiornamenti li faccio e, se il programma smette di funzionare per
questo, tale programma deve essere modificato (e non a mie spese). Se questo
non avviene e io ne ricevo un danno, allora si passa alle vie legali...
--
Skywalker Senior
http://www.christianbisti.net
http://www.flickr.com/photos/skywalkersenior/
seamaster
2009-07-31 11:38:06 UTC
Permalink
PS googlando un pò ho trovato questo
http://www.threatexpert.com/files/VMwareService.exe.html
è proprio lui ma come difendermi che ci ho capito ben poco?
Ciao
--
Seamaster
Edoardo Benussi [MVP]
2009-07-31 12:37:07 UTC
Permalink
Post by ObiWan [MVP]
Post by seamaster
mi consigli qualcosa che sia possibile eseguire a macchina avviata in
quanto ho gli utenti collegati fino a domani?
puoi provare con l'online scan di trendmicro
la rete off-line!
Post by ObiWan [MVP]
in una architettura del genere, non avere un WSUS che permetta
l'aggiornamento dei sistemi non connessi ad internet è un vero e
proprio suicidio :( !
+1
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
ObiWan [MVP]
2009-07-31 13:15:32 UTC
Permalink
Post by Edoardo Benussi [MVP]
la rete off-line!
si, scusa... beh, a questo punto un boot-cd è l'unica soluzione
marioalpha
2009-07-31 14:03:47 UTC
Permalink
Post by seamaster
Ciao
Post by Edoardo Benussi [MVP]
ti conviene fare una ulteriore scansione
con un removal tool specifico per sasser.
mi consigli qualcosa che sia possibile eseguire a macchina avviata in
quanto ho gli utenti collegati fino a domani?
La path di sicurezza per questo virus qual'è? come ti dicevo non sono
in internet e non POSSO mettercelo... ogni volta devo scaricare su una
macchina standalone e poi passare tramite pendrive sul server le
patch... di solito faccio così solo con i sp non ogni singola patch!
Cmq avendo il sp2 non sono già protetto?
ciao
Nella nostra intranet ci sono parecchi server wsus a disposizione.
Contattami pure tramite mail che ti dico come procedere.
Non posso telefonicamente perchè io sono già in ferie :-)

Mario Alpha
Edoardo Benussi [MVP]
2009-07-31 07:30:32 UTC
Permalink
Post by seamaster
appena arrivato in ufficio ho provato a staccare il cavetto ed anche
allora è la mia che le genera....porc!
Cos'altro posso fare visto che i tools segnalatomi ieri hanno detto
che non sono infetto?
Grazie
guarda gli ultimi due post di questo thread
http://vbulletin.thesite.org/archive/index.php/t-68990.html
potrebbe essere sasser.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Gabriele Del Giovine [Microsoft MVP for MOSS]
2009-07-30 14:11:48 UTC
Permalink
fino a qualche giorno fa e con il quadruplo della gente non c'era neanche
un decimo dl traffico di oggi
Post by ObiWan [MVP]
si ho notato oracle
TCP 0.0.0.0:1521 0.0.0.0:0 LISTENING
perfetto, oracle è settato col listning sulla 1521
Post by ObiWan [MVP]
però... mica c'è solo quello eh
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:8080 0.0.0.0:0 LISTENING
che sono? non penso che le ho messe perchè è un server dedicato solo ad
oracle
Molto probabilmente un Web Server. Bisogna vedere il nome dell'eseguibile
associato al processo.
Potrebbe essere un web server messo su da Oracle. O potrebbe essere IIS6.
O un tizio che fa finta di esserlo nascondendosi dietro porte comunemente
usate dai web server.
Post by ObiWan [MVP]
Post by seamaster
ti posto qualche riga del log
VMwareService.exe:1540 TCP ****:3211 192.171.199.90:microsoft-ds
SYN_SENT
hmm... hai delle Virtual Machines VMware in esecuzione sulla rete ?
si un paio ma le VM hanno il loro indirizzo fisso sempre 192.168.10.xx
Post by ObiWan [MVP]
Nel caso, questo /potrebbe/ spiegare gli IP "strani" visibili nel
netstat,
come ad esempio....
TCP 192.168.10.1:4717 192.171.143.131:445 SYN_SENT
TCP 192.168.10.1:4718 192.171.143.132:445 SYN_SENT
TCP 192.168.10.1:4719 192.171.143.133:445 SYN_SENT
TCP 192.168.10.1:4720 192.171.143.134:445 SYN_SENT
E' la macchina 192.168.10.1 che sta cercado qualcosa relativa ad AD sulla
macchina 192.171.143.134
Avete fatto in passato prove di trust fra domini AD magari usando
degli IP a caso?

Quell'IP appartiene a
remarks: netname: NERC-NET41
descr: Natural Environment Research Council (NERC)
descr: Polaris House
descr: Swindon, Wiltshire SN2 1EU
remarks: country: GB
admin-c: NERC5-RIPE
tech-c: NERC5-RIPE
remarks: changed: ***@arin.net 19920608
remarks: changed: ***@arin.net 20010420
remarks: **** INFORMATION FROM RIPE OBJECT ****
netname: NERC-NET16
descr: British Geological Survey (NERC)
country: GB
admin-c: NERC1-RIPE
tech-c: NERC1-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-LOCKED-MNT
remarks: Maintainer RIPE-NCC-NONE-MNT removed and object
remarks: LOCKED by the RIPE NCC due to
remarks: deprecation of the NONE authentication scheme.
remarks: Please visit the following URL to unlock this object
remarks: http://www.ripe.net/db/none-deprecation-042004.html
source: RIPE # Filtered

role: NERC SWINDON
address: NERC Polaris House
address: North Star Avenue
address: Swindon Wilts SN2 1EU
phone: +44 1793 411 500
fax-no: +44 1793 411 501
e-mail: ***@unixa.nerc-swindon.ac.uk
admin-c: PL1155-RIPE
admin-c: DT573-RIPE
tech-c: PL1155-RIPE
tech-c: DT573-RIPE
nic-hdl: NERC1-RIPE
remarks: Natural Environment Research Council
mnt-by: JIPS-NOSC
source: RIPE # Filtered

person: Natural Environment Research Council Natural Environment
Research Council
address: Swindon, Wiltshire SN2 1EU
address: GB
phone: +44 0 1793 411500
e-mail: network-***@itss.nerc.ac.uk
nic-hdl: NERC5-RIPE
mnt-by: RIPE-ERX-MNT
source: RIPE # Filtered

% Information related to '192.171.128.0/18AS786'

route: 192.171.128.0/18
descr: NERC aggregate 1
origin: AS786
mnt-by: JIPS-NOSC
source: RIPE # Filtered
seamaster
2009-07-30 14:30:04 UTC
Permalink
Post by Gabriele Del Giovine [Microsoft MVP for MOSS]
Molto probabilmente un Web Server. Bisogna vedere il nome dell'eseguibile
associato al processo.
Potrebbe essere un web server messo su da Oracle. O potrebbe essere IIS6.
O un tizio che fa finta di esserlo nascondendosi dietro porte comunemente
usate dai web server.
Giusto, ora che mi ci fate pensare sono proprio cotto, ho bisogno delle
ferie ^^
l'applicativo si presenta ai client tramite web infatti sul server
oracle c'è anche Apache!
Avevo proprio rimosso.... quindi Apache le usa entrambe oppure solo la
443?
Grazie siete mitici....
--
Seamaster
ObiWan [MVP]
2009-07-30 14:38:40 UTC
Permalink
Post by seamaster
l'applicativo si presenta ai client tramite web infatti sul server
oracle c'è anche Apache!
per la precisione TomCat... vabbè :) ad ogni modo...
Post by seamaster
Avevo proprio rimosso.... quindi Apache le usa entrambe
oppure solo la 443 ?
non ricordo, usa i tools già consigliati per controllare
Loading...