Chiavetta 3: connessioni indesiderate all'avvio

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Scrivi risposta
Little Pain
Prode Principiante
Messaggi: 6
Iscrizione: lunedì 4 ottobre 2010, 17:20

Chiavetta 3: connessioni indesiderate all'avvio

Messaggio da Little Pain »

Prima di tutto salve a tutti :)

Ora vi descrivo il problemino che mi angustia da diversi giorni...

Ho acquistato una chiavetta della 3 (zte mf627) e l'ho installata con il pratico gestore "connessione di rete"  di ubuntu 10.04.1 (non ho impostato nulla di mia iniziativa, ho lasciato tutto come era, ho solo selezionato gestore e tipo di abbonamento, il resto è tutto di default), e fin qui tutto bene...

Il problema sta nel fatto che ogni volta che mi connetto con la chiavetta, accedo a firestarter e questo mi segnala praticamente subito che c'è del movimento (infatti vedo in "attività" qualche kb/s) e che ci sono delle connessioni che sono state (giustamente spero) bloccate, e queste continuano a tentare di connettersi e io l'unico modo per fermare sta cosa è disconnettere e riconnettere la linea. Che cmq non risolve molto perchè quando mi riconnetto la cosa migliore che può accadere è che ci sia una sola connessione bloccata, massimo due e poi in genere non riaccade nulla e posso navigare "tranquillamente"... Però io non capisco da cosa può essere dovuta sta cosa...

Vi quoto un tipico log degli eventi di firestarter:
Time:Oct  3 22:42:37 Direction: Sconosciuto In:ppp0 Out: Port:51006 Source:65.54.89.170 Destination:asd Length:1420 TOS:0x00 Protocol:TCP Service:Sconosciuto
Time:Oct  3 23:25:27 Direction: Sconosciuto In:ppp0 Out: Port:53232 Source:187.37.202.105 Destination:asd Length:109 TOS:0x00 Protocol:TCP Service:Sconosciuto
Time:Oct  3 23:25:28 Direction: Sconosciuto In:ppp0 Out: Port:54270 Source:79.45.195.184 Destination:asd Length:125 TOS:0x00 Protocol:TCP Service:Sconosciuto
Time:Oct  3 23:25:31 Direction: Sconosciuto In:ppp0 Out: Port:53232 Source:187.37.202.105 Destination:asd Length:162 TOS:0x00 Protocol:TCP Service:Sconosciuto
Time:Oct  3 23:25:31 Direction: Sconosciuto In:ppp0 Out: Port:54270 Source:79.45.195.184 Destination:asd Length:125 TOS:0x00 Protocol:TCP Service:Sconosciuto
Time:Oct  3 23:25:32 Direction: Sconosciuto In:ppp0 Out: Port:53099 Source:50.15.226.137 Destination:asd Length:109 TOS:0x00 Protocol:TCP Service:Sconosciuto
Time:Oct  3 23:25:35 Direction: Sconosciuto In:ppp0 Out: Port:53232 Source:187.37.202.105 Destination:asd Length:162 TOS:0x00 Protocol:TCP Service:Sconosciuto
Time:Oct  3 23:25:35 Direction: Sconosciuto In:ppp0 Out: Port:54270 Source:79.45.195.184 Destination:asd Length:125 TOS:0x00 Protocol:TCP Service:Sconosciuto
Time:Oct  4 16:49:36 Direction: Sconosciuto In:ppp0 Out: Port:1089 Source:89.97.210.88 Destination:asd Length:1400 TOS:0x00 Protocol:TCP Service:Sconosciuto
Time:Oct  4 16:50:00 Direction: Sconosciuto In:ppp0 Out: Port:1091 Source:89.97.210.88 Destination:asd Length:576 TOS:0x00 Protocol:TCP Service:Sconosciuto
Time:Oct  4 16:50:07 Direction: Sconosciuto In:ppp0 Out: Port:49158 Source:89.168.101.249 Destination:asd Length:42 TOS:0x00 Protocol:TCP Service:Sconosciuto
Time:Oct  4 16:50:12 Direction: Sconosciuto In:ppp0 Out: Port:1091 Source:89.97.210.88 Destination:asd Length:576 TOS:0x00 Protocol:TCP Service:Sconosciuto
Time:Oct  4 16:51:16 Direction: Sconosciuto In:ppp0 Out: Port:49260 Source:69.63.180.48 Destination:asd Length:191 TOS:0x00 Protocol:TCP Service:Sconosciuto
Time:Oct  4 16:51:35 Direction: Sconosciuto In:ppp0 Out: Port:1082 Source:217.221.199.69 Destination:asd Length:42 TOS:0x00 Protocol:TCP Service:Sconosciuto
(asd l'ho messo io :P)
E questo è nulla, può continuare ad libitum sta sfilza di roba se non mi disconnettessi...

Ora, ho cercato di vedere un pò a cosa sta cercando di connettersi (o forse sono questi ip che tentano di connettersi a me? non so, non sono esperto...) e ho visto che in genere sono abbastanza casuali, per esempio risolvendo i nomi trovo che alcuni finiscono con .telecomitalia.it, oppure .tiscali.it, o altri isp anche stranieri.
Altri finiscono con .facebook.com, .yahoo.com e altri che non conosco proprio tipo cds162.ams9.msecn.net...  :-\

Ripeto: questo accade non appena mi collego, cioè senza alcun programma aperto, nè firefox, nè empathy, nè skype, nè niente di niente.

Non solo: questo ha iniziato ad accadere dal primo giorno, cioè da quando ho installato ubuntu 10.04.1, quindi non può essere qualcosa provocato da un programma da me installato (l'unico era firestarter), al massimo può essere qualcosa che era gia dentro a ubuntu, però boh...

Ah, poi stessa cosa mi succede sul laptop, dove ho installato xubuntu 10.04 e anche li, avendo solo installato firestarter e niente altro, mi dà lo stesso sto problema; quindi ho escluso in modo quasi assoluto la possibilità che sia un programma strano da me installato volontariamente.

Vi quoto anche un tipico netstat:
asd@asd-desktop:~$ netstat --tcp --udp
Connessioni internet attive (senza server)
Proto Recv-Q Send-Q Indirizzo locale        Indirizzo esterno       Stato      
tcp        0      0 asd:45599      ww-in-f104.1e100.ne:www ESTABLISHED
tcp        0      0 asd:59810      ww-in-f147.1e100.ne:www TIME_WAIT  
asd@asd-desktop:~$ netstat --tcp --udp --listen
Connessioni internet attive (solo server)
Proto Recv-Q Send-Q Indirizzo locale        Indirizzo esterno       Stato      
tcp        0      0 localhost:ipp           *:*                     LISTEN    
tcp6       0      0 localhost:ipp           [::]:*                  LISTEN    
udp        0      0 *:46777                 *:*                                
udp        0      0 *:mdns                  *:*  
Io so solo decifrare le connessioni attive, che in questo caso sono roba di Google (1e100.net), le robe in ascolto non so vanno bene cosi o c'è qualcosa di strano.

Vi ringrazio in anticipo della disponibilità e del tempo che mi avete dedicato per questa lunga lettura :P

Attendo trepidante qualche consiglio  :(
Ultima modifica di Little Pain il martedì 5 ottobre 2010, 18:01, modificato 1 volta in totale.
Ritorna su
Little Pain
Prode Principiante
Messaggi: 6
Iscrizione: lunedì 4 ottobre 2010, 17:20

Re: Chiavetta 3: connessioni indesiderate all'avvio

Messaggio da Little Pain »

Curiosando nel forum ho letto di "falle nei server dns" in queste due discussioni: http://forum.ubuntu-it.org/viewtopic.php?t=203300 e http://forum.ubuntu-it.org/viewtopic.php?t=203001
Non so se c'entri con il mio problema, ma ho voluto cmq fare il test alla pagina indicata e il risultato è buono... il mistero s'infittisce!? :o
Ritorna su
Little Pain
Prode Principiante
Messaggi: 6
Iscrizione: lunedì 4 ottobre 2010, 17:20

Re: Chiavetta 3: connessioni indesiderate all'avvio

Messaggio da Little Pain »

Stanotte, rimuginando prima di addormentarmi, mi è venuta in mente la possibilità che si tratti di un Ddos attack.
Ovviamente non ne sono sicuro e quindi mi rimetto al vostro immenso  sapere, perchè se fosse così, come dovrei comportarmi? Lascio che firestarter faccia il suo dovere o dovrei fare qualche cosa in piu? Anche perchè ogni tanto dai netstat vedo dei domini un pò sospetti, tipo ieri ho visto un ".akamaitecnologies.net" o qualcosa del genere, e so che non è che sia molto sicuro anche se offre servizi alle aziende web (almeno da quanto ho capito), a scapito della privacy degli ignari utenti...
:-\
Ritorna su
Avatar utente
Ylian89
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 275
Iscrizione: mercoledì 5 maggio 2010, 11:35
Desktop: LXQT
Distribuzione: Debian Testing
Sesso: Maschile
Località: Bari

Re: Chiavetta 3: connessioni indesiderate all'avvio

Messaggio da Ylian89 »

Se dici di non aver installato niente e ti risultà questa attività anomala può anche essere un falso allarme  :-\
Ritorna su
Avatar utente
Megatux
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 11793
Iscrizione: lunedì 21 settembre 2009, 12:47
Desktop: Ubuntu
Distribuzione: Ubuntu 22.04.3 LTS x86_64
Sesso: Maschile

Re: Chiavetta 3: connessioni indesiderate all'avvio

Messaggio da Megatux »

Io avevo la connessione tramite cellulare, che può essere simile a quella con la chiavetta... e mi risultavano attacchi mediante frammentazione sotto Windows, mentre sotto Ubuntu era lenta peggio di una tartaruga zoppa... morale: passato ad una ADSL i problemi sono spariti...  (good)
Il mondo sarebbe migliore con Gnu/Linux Ubuntu!
Ritorna su
Little Pain
Prode Principiante
Messaggi: 6
Iscrizione: lunedì 4 ottobre 2010, 17:20

Re: Chiavetta 3: connessioni indesiderate all'avvio

Messaggio da Little Pain »

Megatux ha scritto: Io avevo la connessione tramite cellulare, che può essere simile a quella con la chiavetta... e mi risultavano attacchi mediante frammentazione sotto Windows, mentre sotto Ubuntu era lenta peggio di una tartaruga zoppa... morale: passato ad una ADSL i problemi sono spariti...  (good)
No, io non ho un problema di velocità, anzi, con la chiavetta (con segnale decente ovviamente) su ubuntu vado ovviamente non quanto l'adsl cablata, ma neanche quanto una tartaruga morta... :P
E anche su windows la velocità è buona ma è sempre piu lenta che su ubuntu (per via di tutte le zozzerie malware/virus lol)
Il problema so ste connessioni strambe bloccate che mi segnala firestarter, e che siano falsi allarmi non lo so, da sorgenti così eterogenee? e in numero così elevato? Mah, forse, boh...
Ultima modifica di Little Pain il venerdì 8 ottobre 2010, 22:57, modificato 1 volta in totale.
Ritorna su
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17365
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Chiavetta 3: connessioni indesiderate all'avvio

Messaggio da Stealth »

Little Pain ha scritto: [...]
Il problema so ste connessioni strambe bloccate che mi segnala firestarter, e che siano falsi allarmi non lo so, da sorgenti così eterogenee? e in numero così elevato? Mah, forse, boh...
Vabbè, ma non c'è da preoccuparsi finchè le blocca. Quegli IP vengono un po' da tutte le parti, come è normale che sia, e se vedessi cosa (e quanto) trovo nei log del mio server ti spaventi. Ho fatto un po' di whois su quanto hai postato, e viene questo

Codice: Seleziona tutto

gianni@gianni-laptop:~$ whois 65.54.89.170
#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 65.54.89.170"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=65.54.89.170?showDetails=true&showARIN=false
#

NetRange:       65.52.0.0 - 65.55.255.255
CIDR:           65.52.0.0/14
OriginAS:       
NetName:        MICROSOFT-1BLK
NetHandle:      NET-65-52-0-0-1
Parent:         NET-65-0-0-0-0
NetType:        Direct Assignment
NameServer:     NS4.MSFT.NET
NameServer:     NS2.MSFT.NET
NameServer:     NS1.MSFT.NET
NameServer:     NS5.MSFT.NET
NameServer:     NS3.MSFT.NET
RegDate:        2001-02-14
Updated:        2004-12-09
Ref:            http://whois.arin.net/rest/net/NET-65-52-0-0-1


OrgName:        Microsoft Corp
OrgId:          MSFT
Address:        One Microsoft Way
City:           Redmond
StateProv:      WA
PostalCode:     98052
Country:        US
RegDate:        1998-07-10
Updated:        2009-11-10
Ref:            http://whois.arin.net/rest/org/MSFT

OrgNOCHandle: ZM23-ARIN
OrgNOCName:   Microsoft Corporation
OrgNOCPhone:  +1-425-882-8080 
OrgNOCEmail:  noc@microsoft.com
OrgNOCRef:    http://whois.arin.net/rest/poc/ZM23-ARIN

OrgAbuseHandle: HOTMA-ARIN
OrgAbuseName:   Hotmail Abuse
OrgAbusePhone:  +1-425-882-8080 
OrgAbuseEmail:  abuse@hotmail.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/HOTMA-ARIN

OrgTechHandle: MSFTP-ARIN
OrgTechName:   MSFT-POC
OrgTechPhone:  +1-425-882-8080 
OrgTechEmail:  iprrms@microsoft.com
OrgTechRef:    http://whois.arin.net/rest/poc/MSFTP-ARIN

OrgAbuseHandle: MSNAB-ARIN
OrgAbuseName:   MSN ABUSE
OrgAbusePhone:  +1-425-882-8080 
OrgAbuseEmail:  abuse@msn.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/MSNAB-ARIN

OrgAbuseHandle: ABUSE231-ARIN
OrgAbuseName:   Abuse
OrgAbusePhone:  +1-425-882-8080 
OrgAbuseEmail:  abuse@msn.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/ABUSE231-ARIN

RTechHandle: ZM23-ARIN
RTechName:   Microsoft Corporation
RTechPhone:  +1-425-882-8080 
RTechEmail:  noc@microsoft.com
RTechRef:    http://whois.arin.net/rest/poc/ZM23-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

gianni@gianni-laptop:~$ whois 187.37.202.105

% Joint Whois - whois.lacnic.net
%  This server accepts single ASN, IPv4 or IPv6 queries
 
% Brazilian resource: whois.registro.br


% Copyright (c) Nic.br
%  The use of the data below is only permitted as described in
%  full by the terms of use (http://registro.br/termo/en.html),
%  being prohibited its distribution, comercialization or
%  reproduction, in particular, to use it for advertising or
%  any similar purpose.
%  2010-10-08 18:08:37 (BRT -03:00)

inetnum:     187.36/14
aut-num:     AS28573
abuse-c:     GRSVI
owner:       NET Servi�os de Comunica��o S.A..
ownerid:     000.065.376/0002-65
responsible: Grupo de Seguran�a da Informa��o V�rtua
country:     BR
owner-c:     GRSVI
tech-c:      GRSVI
inetrev:     187.37/16
nserver:     ns7.virtua.com.br 
nsstat:      20101007 AA
nslastaa:    20101007
nserver:     ns8.virtua.com.br 
nsstat:      20101007 AA
nslastaa:    20101007
created:     20081219
changed:     20081219

nic-hdl-br:  GRSVI
person:      Grupo de Seguran�a V�rtua
e-mail:      virtua@virtua.com.br
created:     20080512
changed:     20090518

% Security and mail abuse issues should also be addressed to
% cert.br, http://www.cert.br/, respectivelly to cert@cert.br
% and mail-abuse@cert.br
%
% whois.registro.br accepts only direct match queries. Types
% of queries are: domain (.br), ticket, provider, ID, CIDR
% block, IP and ASN.

gianni@gianni-laptop:~$ whois 79.45.195.184
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '79.45.128.0 - 79.45.255.255'

inetnum:        79.45.128.0 - 79.45.255.255
netname:        TELECOM-ADSL-POOL
descr:          NAS DHCP Pool Venezia
country:        IT
admin-c:        BS104-RIPE
tech-c:         BS104-RIPE
status:         ASSIGNED PA
remarks:        INFRA-AW
mnt-by:         TIWS-MNT
mnt-lower:      TIWS-MNT
mnt-routes:     TIWS-MNT
source:         RIPE # Filtered

person:         BBBEASYIP STAFF
address:        MDBLAB
address:        Via Val Cannuta, 250
address:        I-00100 Roma
address:        Italy
phone:          +39 06 36881
nic-hdl:        BS104-RIPE
source:         RIPE # Filtered

% Information related to '79.44.0.0/15AS3269'

route:          79.44.0.0/15
descr:          INTERBUSINESS
origin:         AS3269
mnt-by:         TIWS-MNT
mnt-routes:     INTERB-MNT
source:         RIPE # Filtered


gianni@gianni-laptop:~$ whois 50.15.226.137
#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 50.15.226.137"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=50.15.226.137?showDetails=true&showARIN=false
#

NetRange:       50.8.0.0 - 50.15.255.255
CIDR:           50.8.0.0/13
OriginAS:       AS16586
NetName:        CLEARWIRE-DNS-NET
NetHandle:      NET-50-8-0-0-1
Parent:         NET-50-0-0-0-0
NetType:        Direct Allocation
NameServer:     NS1.CLEARWIRE-DNS.NET
NameServer:     NS2.CLEARWIRE-DNS.NET
Comment:        Please report abuse issues to abuse@clearwire.com
RegDate:        2010-07-15
Updated:        2010-07-15
Ref:            http://whois.arin.net/rest/net/NET-50-8-0-0-1

OrgName:        Clearwire US LLC
OrgId:          CLEAR-26
Address:        4400 Carillon Point
City:           Kirkland
StateProv:      WA
PostalCode:     98033
Country:        US
RegDate:        2005-01-26
Updated:        2010-01-11
Ref:            http://whois.arin.net/rest/org/CLEAR-26

OrgTechHandle: CLEAR4-ARIN
OrgTechName:   CLEARWIRE-ARIN
OrgTechPhone:  +1-425-216-7600 
OrgTechEmail:  tech@clearwire.com
OrgTechRef:    http://whois.arin.net/rest/poc/CLEAR4-ARIN

OrgAbuseHandle: ABUSE817-ARIN
OrgAbuseName:   ABUSE
OrgAbusePhone:  +1-866-316-7575 
OrgAbuseEmail:  abuse@clearwire.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/ABUSE817-ARIN

RNOCHandle: NOC1730-ARIN
RNOCName:   NOC
RNOCPhone:  +1-866-316-7575 
RNOCEmail:  NOC@clearwire.com
RNOCRef:    http://whois.arin.net/rest/poc/NOC1730-ARIN

RTechHandle: CLEAR4-ARIN
RTechName:   CLEARWIRE-ARIN
RTechPhone:  +1-425-216-7600 
RTechEmail:  tech@clearwire.com
RTechRef:    http://whois.arin.net/rest/poc/CLEAR4-ARIN

RAbuseHandle: ABUSE817-ARIN
RAbuseName:   ABUSE
RAbusePhone:  +1-866-316-7575 
RAbuseEmail:  abuse@clearwire.net
RAbuseRef:    http://whois.arin.net/rest/poc/ABUSE817-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

gianni@gianni-laptop:~$
come vedi c'è appunto di tutto, dalla microsoft alla telecom, da un brasiliano ad un americano. Un classico insomma. Se con l'adsl non trovavi tutta sta roba e con la chiavetta sì, potrebbe dipendere dal fatto che il firewall del tuo router (posto che ci sia) la bloccava prima. Altrimenti non saprei.....ma fregatene. Più che quello che fermi controlla piuttosto quello che passa  ;)
ciao
Ritorna su
Little Pain
Prode Principiante
Messaggi: 6
Iscrizione: lunedì 4 ottobre 2010, 17:20

Re: Chiavetta 3: connessioni indesiderate all'avvio

Messaggio da Little Pain »

Giusto, anche se il router non ce l'ho mai avuto.
Ma forse è che sono troppo paranoico...
Grazie per le rassicurazioni!  :D

Speriamo in bene lol
Ultima modifica di Little Pain il venerdì 8 ottobre 2010, 23:36, modificato 1 volta in totale.
Ritorna su
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 4 ospiti