Qualcuno cerca di entrare nel mio pc?

[Gannet]

Ciao a tutti!

ho da poco installato Firestarter e fino ad oggi non ho mai avuto problemi in termini di sicurezza. Da poco sta succedendo una cosa strana: circa ogni 30 secondi appare sull'icona di Firestarter il seguente messaggio

Hit from 11.120.129.244 detected

quando poi apro Firestarter per andare a vedere scopro che le connessioni bloccate sono tutte con protocollo UDP, indirizzo IP diverso ogni volta ma con la STESSA porta 33369

Mi devo preoccupare?

[Adibi]

boh

[danilo.rossini]

su quella porta che servizio hai attivato??

Da terminale posta l'output di:

Codice: Seleziona tutto

nmap localhost

(se non dovesse essere installato sudo apt-get install nmap)

[Gannet]

Grazie per l'aiuto

con nmap appare questo

Codice: Seleziona tutto

PORT    STATE SERVICE
22/tcp  open  ssh
631/tcp open  ipp

[danilo.rossini]

Con:

Codice: Seleziona tutto

nmap -p 33369 localhost

Ti dice che la porta è chiusa quindi??
Utilizzi eMule o qualche altro software di file-sharing??

[Gannet]

Si la porta è chiusa. Non utilizzo nessun software di file sharing su questo pc

[danilo.rossini]

Allora non ti preoccupare.. ..avevo intrapreso una bella discussione sulla sicurezza e un utente che rilevava in continuazione attacchi con snort..se ti va di leggerla per saperne di più il link è questo http://forum.ubuntu-it.org/viewtopic.ph ... 9#p1431889

[Gannet]

Grazie per le info. Avrei un'altra domanda: sono sempre aperte le porte 22 per l'ssh e 631 per l'ipp; secondo te rappresentano un problema?  ???

[danilo.rossini]

La porta 631 è aperta poichè è attivo cupsd, un server di stampa..se non hai stampanti collegate al pc puoi disabilitare il servizio
La 22 invece ti permette di avere una secure shell, questo vuol dire che se ti viene fatto un attacco di forza bruta, se non hai una password efficace, l'attaccante ha il controllo del tuo pc attraverso un terminale.

In ogni caso è veramente difficile che ti entrino dentro.. non sei sotto windows.. :P

[Gannet]

Ma per disabilitare entrambi come posso fare?

[Guiodic]

perché hai ssh aperta? hai installato sshd?

[l3on]

Ma per disabilitare entrambi come posso fare?

Molto probabilmente sono dei servizi che partono all'avvio. Li disattivi eliminando il link giusto nel run level che usi (suppongo il 2).

Quindi devi eliminare questi i link che ti sputano fuori questi due comandi:
ls -l /etc/rc2.d/*ssh*
ls -l /etc/rc2.d/*cups*

In questo modo quei servizi non partiranno piu' all'avvio.
Ciao.

Grazie per le info. Avrei un'altra domanda: sono sempre aperte le porte 22 per l'ssh e 631 per l'ipp; secondo te rappresentano un problema?  ???

Sì. Mai mettere la ssh sulla 22

[fortran77]

Puoi anche usare un tool come sysv-rc-conf (lo trovi in synaptic). E' quasi grafico e banale da usare.

[RockYou]

Premetto che sono un novizio di ubuntu, ma come si fa ad essere sicuri che nmap ti segnala tutte le porte aperte che hai??

In windows esistono i rootkit il cui scopo è nascondere i processi in esecuzione le porte aperte etc etc anche all'amministratore, quindi nessun nmap per windows ti segnala una backdoor aperta se è nascosta da un rootkit.

In ubuntu è diverso?

 

[cristian_c]

boh

complimenti per l'utilità della risposta 

comunque e' difficile che qualcuno possa entrarti nel pc. Su Ubuntu e' installato un potente firewall di nome iptables. Esso di default(e' sempre attivo) chiude il traffico in entrata e lascia aperto quello in uscita (si parla delle porte). Ovviamente le impostazioni si possono modificare, permettendo di scegliere quali servizi permettere.

[fortran77]

Esso di default(e' sempre attivo) chiude il traffico in entrata e lascia aperto quello in uscita (si parla delle porte).

Manco per sogno. Iptables te lo devi configurare come ti pare e piace a te, di default non fa proprio un tubo...
In ogni caso esistono molteplici motivi per i quali un firewall è perfettamente inutile su una normale installazione desktop (diverso è se gestisci un server vero e proprio).

Su linux non serve avere le paranoie da windows. Il sistema made in Redmond è un colabrodo ed è semplice bucarlo e installarci ogni tipo di malware. Il vostro linux è più difficile da bucare quindi o state particolarmente antipatici ad un cracker con le palle o potete andare a giro sicuri.

[l3on]

Esso di default(e' sempre attivo) chiude il traffico in entrata e lascia aperto quello in uscita (si parla delle porte).

Manco per sogno. Iptables te lo devi configurare come ti pare e piace a te, di default non fa proprio un tubo...

Vero, lo stavo per scrivere io. Iptables non è attivo di default:

Codice: Seleziona tutto

sudo iptables -L -vn

Ciao.

[..::sisma::..]

Premetto che sono un novizio di ubuntu, ma come si fa ad essere sicuri che nmap ti segnala tutte le porte aperte che hai??

In windows esistono i rootkit il cui scopo è nascondere i processi in esecuzione le porte aperte etc etc anche all'amministratore, quindi nessun nmap per windows ti segnala una backdoor aperta se è nascosta da un rootkit.

In ubuntu è diverso?

I rootkit non possono installarsi autonomamente in quanto caricare un modulo/driver nel kernel richiede i permessi di amministrazione.