[Sicurezza!!!] Mi entrano nel pc??

[kekko_94]

Salve a tutti. E' da un pò che noto questa cosa...
Viaggio con una chiavetta Internet TIM della ONDA, la MT503HSA, che va benissimo sul mio ubuntu 9.10.

Quando apro vuze, (anche per scaricare file legali come la iso di ubuntu) mi si rallenta la connessione in modo incredibile, nonostante stia ancora in HSDPA con segnale potente. Quando lo richiudo la connessione va che è una meraviglia, in più, anche se sono connesso a cento peer (o seed) il download va lentissimo (tipo 20Kb/s mentre sono abituato a 100).

Il dubbio mi è venuto anche quando due o tre mesi fa, ho trovato dei miei file identici spiccicati in interet.
Ora ho già formattato tutto e reinstallato una o due volte, ma mi sa che riescono ancora.

Qui nel forum (mi pare nelle storie divertenti) ho trovato questo comando, e dicevano che se hai delle righe con "tcp" vuol dire che c'è qualcosa che non va. La risposta è questa (senza accendere vuze):

Prima
francesco@francesco-laptop:~$ netstat -n | grep tcp
tcp        0      0 95.75.7.184:60991      91.189.94.248:80        ESTABLISHED
tcp        0    743 95.75.19.158:45702      74.125.10.158:80        ESTABLISHED
tcp        0      1 95.75.19.158:49919      209.85.135.166:80      FIN_WAIT1 
tcp        1      1 95.75.19.158:37299      91.189.94.248:80        LAST_ACK 
tcp        0      1 95.75.19.158:42378      209.85.135.156:80      FIN_WAIT1 
tcp        0      1 95.75.19.158:50877      209.85.135.103:80      FIN_WAIT1 
tcp        0      1 95.75.19.158:57686      74.125.39.102:80        FIN_WAIT1 
tcp        1      1 95.75.19.158:37300      91.189.94.248:80        LAST_ACK 
tcp        0      1 95.75.19.158:49916      209.85.135.166:80      FIN_WAIT1 
tcp        0      1 95.75.19.158:38422      209.85.135.101:80      FIN_WAIT1 
tcp        1      1 95.75.19.158:37301      91.189.94.248:80        LAST_ACK 
tcp        0      1 95.75.19.158:33112      209.85.135.139:80      FIN_WAIT1 
tcp        0      0 95.75.7.184:60995      91.189.94.248:80        ESTABLISHED
tcp        0      0 95.75.7.184:60990      91.189.94.248:80        ESTABLISHED
tcp        1      1 95.75.19.158:37296      91.189.94.248:80        LAST_ACK 
tcp        0      0 95.75.7.184:60992      91.189.94.248:80        ESTABLISHED
tcp        0    819 95.75.19.158:58678      209.85.135.99:80        ESTABLISHED
tcp        0      0 95.75.7.184:60993      91.189.94.248:80        ESTABLISHED
tcp        0      0 95.75.7.184:60994      91.189.94.248:80        ESTABLISHED

Dopo aver riavviato la connessione un pò di volte
francesco@francesco-laptop:~$ netstat -n | grep tcptcp        0    743 95.75.19.158:45702      74.125.10.158:80        ESTABLISHED
tcp        0    819 95.75.19.158:58678      209.85.135.99:80        ESTABLISHED


Che devo fare?? Ho paura!!!

[deegan]

non sò aiutarti, "Mi spiace" ma la discussione mi interessa!!!  (yes)

[crunch]

Non c'e' nulla di male nell'avere qualche riga'tcp' nell'output che hai postato, anzi tanto per cambiare ne abbiamo uno in comune;-)

91.189.94.248

sai a chi appartiene?

CANONICAL

Occhio eh....

lol

[deegan]

A mè esce così................ :-\

Sarebbe?

Codice: Seleziona tutto

deegan@deegan-jaunty:~$ netstat -n | grep tcp
tcp        0      0 127.0.0.1:7634          127.0.0.1:55982         TIME_WAIT  
tcp        0      0 127.0.0.1:7634          127.0.0.1:55981         TIME_WAIT  

[maremare]

mi intriga anche a me questo topic, a me esce questo...

giancarlo@linuxiano:~$ netstat -n | grep tcp
tcp        0      0 192.168.1.242:59609    61.213.189.107:80      TIME_WAIT 
tcp        0      0 192.168.1.242:46038    64.191.203.30:80        TIME_WAIT 
tcp        0      0 192.168.1.242:38600    79.140.81.11:80        TIME_WAIT


Non sò, aspettiamo uno che sappia illuminarci su cosa siano ste cose..... anche io mi sento un minimo turbato da questa scoperta ??? ??? ??? ???

[crunch]

che le tue porte sono chiuse e non accettano connessioni in ingresso oltre a non usare programmi peer to peer

quella che vedi e' la stampante o meglio il demone cups

cmq suggerirei un bel

man netstat

PS ce l'ha anche winzozz se a qualcuno interessasse

[crunch]

Scusate l'ultimo post era in risposta a deegan ovviamente



molti sono semplici cookies...che non possono essere disabilitati perche' ad esempio non potreste loggarvi sul forum

cmq per chi non lo sapesse esiste un firewall

man ufw

meglio ancora configurare la rete per bloccare le porte che si desidera, ci sono molte guide in giro...

[kimj]

sono le connessioni tra il tuo pc e gli altri client della rete p2p... senza connetterti  loro, come vuoi scambiare i file? non hanno ancora inventato la trasmissione tramite [$roba_inesistente_da_fantascienza]

[smurf]

...
Qui nel forum (mi pare nelle storie divertenti) ho trovato questo comando, e dicevano che se hai delle righe con "tcp" vuol dire che c'è qualcosa che non va. La risposta è questa (senza accendere vuze):

Prima
francesco@francesco-laptop:~$ netstat -n | grep tcp
tcp        0      0 95.75.7.184:60991      91.189.94.248:80        ESTABLISHED
tcp        0    743 95.75.19.158:45702      74.125.10.158:80        ESTABLISHED
tcp        0      1 95.75.19.158:49919      209.85.135.166:80      FIN_WAIT1 
tcp        1      1 95.75.19.158:37299      91.189.94.248:80        LAST_ACK 
tcp        0      1 95.75.19.158:42378      209.85.135.156:80      FIN_WAIT1 
tcp        0      1 95.75.19.158:50877      209.85.135.103:80      FIN_WAIT1 
tcp        0      1 95.75.19.158:57686      74.125.39.102:80        FIN_WAIT1 
tcp        1      1 95.75.19.158:37300      91.189.94.248:80        LAST_ACK 
tcp        0      1 95.75.19.158:49916      209.85.135.166:80      FIN_WAIT1 
tcp        0      1 95.75.19.158:38422      209.85.135.101:80      FIN_WAIT1 
tcp        1      1 95.75.19.158:37301      91.189.94.248:80        LAST_ACK 
tcp        0      1 95.75.19.158:33112      209.85.135.139:80      FIN_WAIT1 
tcp        0      0 95.75.7.184:60995      91.189.94.248:80        ESTABLISHED
tcp        0      0 95.75.7.184:60990      91.189.94.248:80        ESTABLISHED
tcp        1      1 95.75.19.158:37296      91.189.94.248:80        LAST_ACK 
tcp        0      0 95.75.7.184:60992      91.189.94.248:80        ESTABLISHED
tcp        0    819 95.75.19.158:58678      209.85.135.99:80        ESTABLISHED
tcp        0      0 95.75.7.184:60993      91.189.94.248:80        ESTABLISHED
tcp        0      0 95.75.7.184:60994      91.189.94.248:80        ESTABLISHED

Dopo aver riavviato la connessione un pò di volte
francesco@francesco-laptop:~$ netstat -n | grep tcptcp        0    743 95.75.19.158:45702      74.125.10.158:80        ESTABLISHED
tcp        0    819 95.75.19.158:58678      209.85.135.99:80        ESTABLISHED


Che devo fare?? Ho paura!!!

ho provato a dare un' occhiata a chi appartengono quegli IP usando http://www.dnsstuff.com/, la maggior parte risultano essere di google, gli altri di canonical.
Non so, vedi tu se credi che ti stiano attaccando...

[kimj]

avete ragione, non è p2p, sono tutte sulla porta 80

[kekko_94]

E' vero, non ci avevo pensato, ma non sono molto ferrato in connessioni sulle porte e simili, scusate. Comunque c'è la possibilità di vedere se uno sta "abusando" del suo ingresso??

PS: mi sono accorto solo ora che tutti gli IP che avevo dato sono uguali.

PPS: ringrazio per aver spostato nella sezione giusta, non l'avevo notata.

[smurf]

E' vero, non ci avevo pensato, ma non sono molto ferrato in connessioni sulle porte e simili, scusate. Comunque c'è la possibilità di vedere se uno sta "abusando" del suo ingresso??

Non farti paranoie inutili, stai tranquillo.
I programmi per controllare il pc ci sarebbero pure, chrootkit,  rkhunter, ma quasi sempre danno dei falsi positivi e uno diventa scemo per capire cosa sono, uomo avvisato...

[kekko_94]

Quindi cosa mi puoi consigliare, oltre a diminuire il p2p (cosa che sto già facendo)?? Di mettere magari 'sto chrootkit??
Mi controlla cosa??

[smurf]

tanto chrootkit come rkhunter controllano eventuali cambiamementi nei files di sistema, quindi un semplice aggiornamento giá ti da un falso positivo che devi poi indagare e controllare  ::), poi controllano eventuali processi "nascosti" e lí chrootkit é specialista in falsi positivi, poi ti controllano la presenza di sniffers o processi sconosciuti su certe porte e questo tipo di attivitá su un pc domestico é praticamente a rischio 0 a meno che tu non usi sempre il pc come root.

L' unica cosa che ti consiglio di fare, se proprio vuoi fare qualcosa, attiva il firewall. Ti scarichi il pacchetto gufw e se hai bisogno apri le porte che ti servono, é facilissimo. Non farei null' altro.

[kekko_94]

Sinceramente, detta così alla casso del sistema non mi frega proprio niente, giusto giusto le password salvate in firefox.

Mi interessano molto di più i file personali, se mi prendono un pò di musica vabbè, amen, ma se cominciano con cose private mi si girano le palle.

Il firewall mi permette di controllare questo??

[smurf]

beh si, il firewall é una ulteriore barriera che interponi tra te ed un eventuale intruso, non é invalicabile, ma gli complica parecchio la vita.

Comunque se proprio la vuoi fare bellina bellina, ti fai anche una partizioncina di mezzo GB con truecrypt (piú grande se ti serve) e ci metti dentro tutte le tue cose segrete, cosí sei davvero sicuro.  

[kimj]

quelle sono per esempio connessioni che il TUO computer ha aperto con vari server, per esempio evevi una conenssione aperta con google.

o pensi che i dati viaggino così, per magia? o forse pensi che google stesse accendendo al tuo computer? eddai, calmati