Discussione:
ATTACCHI DA IANA?
(troppo vecchio per rispondere)
pasquale
2004-09-26 06:27:37 UTC
Permalink
Da diversi giorni Zone Allarms segnala continuamente attacchi da IP
come quello che vi segnalo in calce.
Andando a verificare l'IP mi risulta il seguente indirizzo:
Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

CHE SIA INIZIATA L'ERA DEL GRANDE FRATELLO?

31.244.104.57
Zeta2
2005-11-21 17:26:10 UTC
Permalink
Post by pasquale
Da diversi giorni Zone Allarms segnala continuamente attacchi da IP
come quello che vi segnalo in calce.
Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US
CHE SIA INIZIATA L'ERA DEL GRANDE FRATELLO?
31.244.104.57
Intatto disintalla ZA e metti un firewall serio ;) poi dacci info
aggiuntive: porta? servizio?
Prova a installare etheral e vedi cosa cercano.... :))
--
Best Regards,
Zeta2 - I.H.P
Stefano Balocco
2005-11-21 18:25:34 UTC
Permalink
Post by Zeta2
Intatto disintalla ZA e metti un firewall serio ;) poi dacci info
Per quello che serve, ZA basta e avanza.
--
Stefano Balocco
Keyserver: keyserver.linux.it ID: 4CA2F76F
Fingerprint: F17B 1BA5 62E2 F65A D83D 22A3 BE37 2F62 4CA2 F76F
Curatore delle "SignalOS UNOFFICIAL FAQ": http://signalos.lidonet.net/
Zeta2
2005-11-22 13:50:28 UTC
Permalink
In data Mon, 21 Nov 2005 19:25:34 +0100, Stefano Balocco
Post by Stefano Balocco
Post by Zeta2
Intatto disintalla ZA e metti un firewall serio ;) poi dacci info
Per quello che serve, ZA basta e avanza.
Bhè, c'è di meglio. Ma è un opinione personale.

Di certo quell'ip è IANA RESERVED, e non figura in nessuna bogus list;
sarebbe interessante capire veramente cosa c'è dietro.
Ah, ieri aveva aperte la 25, la 110 e la 119 !?!
--
Best Regards,
Zeta2 - I.H.P
Stefano Balocco
2005-11-22 17:44:48 UTC
Permalink
Post by Zeta2
Post by Stefano Balocco
Post by Zeta2
Intatto disintalla ZA e metti un firewall serio ;) poi dacci info
Per quello che serve, ZA basta e avanza.
Bhè, c'è di meglio. Ma è un opinione personale.
Secondo me i firewall, all'utente medio, non servono.
Ma e' un opionione personale.
Post by Zeta2
Di certo quell'ip è IANA RESERVED, e non figura in nessuna bogus list;
sarebbe interessante capire veramente cosa c'è dietro.
Ah, ieri aveva aperte la 25, la 110 e la 119 !?!
E se fosse un ip che viene usato dal provider, in fondo e' una classe
riservata.
--
Stefano Balocco
Keyserver: keyserver.linux.it ID: 4CA2F76F
Fingerprint: F17B 1BA5 62E2 F65A D83D 22A3 BE37 2F62 4CA2 F76F
Curatore delle "SignalOS UNOFFICIAL FAQ": http://signalos.lidonet.net/
Zeta2
2005-11-23 08:33:14 UTC
Permalink
In data Tue, 22 Nov 2005 18:44:48 +0100, Stefano Balocco
Post by Stefano Balocco
Secondo me i firewall, all'utente medio, non servono.
Ma e' un opionione personale.
Ero anche io della tua opinione (con un buon antivirus ed un po' di
malizia scansi l'80% delle rogne) finchè non ho incotrato una simpatica
patch per un programma (ritenuta sicura dal mio antivirus) che cercava di
propagarsi in modo arbitrario nella mia lan. Diciamo che più che per le
connessioni in entrata lo uso per quelle in uscita...
Post by Stefano Balocco
Post by Zeta2
Di certo quell'ip è IANA RESERVED, e non figura in nessuna bogus list;
sarebbe interessante capire veramente cosa c'è dietro.
Ah, ieri aveva aperte la 25, la 110 e la 119 !?!
E se fosse un ip che viene usato dal provider, in fondo e' una classe
riservata.
Proprio perchè è riservato e non "routabile" dovrebbe starsene buono buono.
Dopotutto se ricevo la "visita" di qualcuno, mi piacerebbe sapere con chi
ho a che fare, no?

Nota di colore: le porte sono quelle note (più la 143, ho controllato
ieri) ma ad ogni tentativo di connessione il server ti tira giù... senza
accettare comandi.... :?

Vedi tu.... (anche perche nmap mi manda in crash xp.... devo proprio farmi
una disto live di linux per fare certe cose....)

;)
--
Best Regards,
Zeta2 - I.H.P
Stefano Balocco
2005-11-23 18:58:11 UTC
Permalink
Post by Zeta2
Post by Stefano Balocco
Secondo me i firewall, all'utente medio, non servono.
Ma e' un opionione personale.
Ero anche io della tua opinione (con un buon antivirus ed un po' di
malizia scansi l'80% delle rogne) finchè non ho incotrato una simpatica
patch per un programma (ritenuta sicura dal mio antivirus) che cercava di
propagarsi in modo arbitrario nella mia lan. Diciamo che più che per le
connessioni in entrata lo uso per quelle in uscita...
E per quelle in uscita ZoneAlarm va piu' che bene. :)
Post by Zeta2
Post by Stefano Balocco
Post by Zeta2
Di certo quell'ip è IANA RESERVED, e non figura in nessuna bogus list;
sarebbe interessante capire veramente cosa c'è dietro.
Ah, ieri aveva aperte la 25, la 110 e la 119 !?!
E se fosse un ip che viene usato dal provider, in fondo e' una classe
riservata.
Proprio perchè è riservato e non "routabile" dovrebbe starsene buono buono.
Dopotutto se ricevo la "visita" di qualcuno, mi piacerebbe sapere con chi
ho a che fare, no?
Come scusa?
Anche il blocco 10.x.x.x e' riservato.
Pero' lo usano per le lan. ;)
Quindi potrebbe essere la stessa cosa per questo blocco, no?
Post by Zeta2
Nota di colore: le porte sono quelle note (più la 143, ho controllato
ieri) ma ad ogni tentativo di connessione il server ti tira giù... senza
accettare comandi.... :?
Server locale. Non accetta di parlare con te.
Post by Zeta2
Vedi tu.... (anche perche nmap mi manda in crash xp.... devo proprio farmi
una disto live di linux per fare certe cose....)
Fai prima, togli win mette SignalOS. O linux, se proprio sei disperato.
--
Stefano Balocco
Keyserver: keyserver.linux.it ID: 4CA2F76F
Fingerprint: F17B 1BA5 62E2 F65A D83D 22A3 BE37 2F62 4CA2 F76F
Curatore delle "SignalOS UNOFFICIAL FAQ": http://signalos.lidonet.net/
Zeta2
2005-11-24 10:22:56 UTC
Permalink
In data Wed, 23 Nov 2005 19:58:11 +0100, Stefano Balocco
Post by Stefano Balocco
Post by Zeta2
Post by Stefano Balocco
Secondo me i firewall, all'utente medio, non servono.
[CUT]
Post by Stefano Balocco
E per quelle in uscita ZoneAlarm va piu' che bene. :)
Vabbè discussione chiusa... potremmo discuterne per ore.....
Post by Stefano Balocco
Post by Zeta2
Post by Stefano Balocco
Post by Zeta2
Di certo quell'ip è IANA RESERVED, e non figura in nessuna bogus
list;
Post by Stefano Balocco
Post by Zeta2
sarebbe interessante capire veramente cosa c'è dietro.
Ah, ieri aveva aperte la 25, la 110 e la 119 !?!
E se fosse un ip che viene usato dal provider, in fondo e' una classe
riservata.
Proprio perchè è riservato e non "routabile" dovrebbe starsene buono buono.
Dopotutto se ricevo la "visita" di qualcuno, mi piacerebbe sapere con chi
ho a che fare, no?
Come scusa?
Anche il blocco 10.x.x.x e' riservato.
Pero' lo usano per le lan. ;)
Quindi potrebbe essere la stessa cosa per questo blocco, no?
Bhè c'è una bella differenza....
la 10.0.0.0/8, la 172.16.0.0/12 e la 192.168.0.0/16 sono "private use
network" [RFC1918]
la 31.0.0.0/8 è "IANA Reserved" quindi NON dovrebbe essere utilizzata (a
meno di una riassegnazione)

Però guarda cosa ho trovato:
http://plany.fasthosting.it/ipmapfw2.shtml
(apro la parentesi per gli user fastweb.... hanno tirato giù adunanza!)
Post by Stefano Balocco
Post by Zeta2
Nota di colore: le porte sono quelle note (più la 143, ho controllato
ieri) ma ad ogni tentativo di connessione il server ti tira giù... senza
accettare comandi.... :?
Server locale. Non accetta di parlare con te.
Vero, può essere, ma le porte le lasci aperte al mondo intero? Complimenti
all'admin ;)
Post by Stefano Balocco
Post by Zeta2
Vedi tu.... (anche perche nmap mi manda in crash xp.... devo proprio farmi
una disto live di linux per fare certe cose....)
Fai prima, togli win mette SignalOS. O linux, se proprio sei disperato.
Sai che non riesco installarlo SignalOs!
A metà dell'installazione mi scrive "Fuckin'your Intel hardware" e inizia
a far uscire ed entrare ripetutamente il cassettino del cdrom.... devo
leggere meglio le FAQ, forse ;)))

Invece ho scariato Knoppix e lui si che va che è una meraviglia.....
--
Best Regards,
Zeta2 - I.H.P
Zeta2
2005-11-24 14:56:12 UTC
Permalink
In data Thu, 24 Nov 2005 11:22:56 +0100, Zeta2
Post by Zeta2
http://plany.fasthosting.it/ipmapfw2.shtml
Forse ho svelato l'arcano!

Mr. Pasquale = NNTP-Posting-Host: 213.140.17.105

che guardacaso corrisponde a:

inetnum: 213.140.17.96 - 213.140.17.111
netname: FASTWEB-RESIDENTIAL-04

Facendo 1+1 sembra un attacco interno sulla rete Fastweb, che usa IP
riservati (fra cui i 31/8) per le sue utenze (con sommo casino generale).

Concordi?
--
Best Regards,
Zeta2 - I.H.P
Stefano Balocco
2005-11-24 20:31:19 UTC
Permalink
Post by Zeta2
Forse ho svelato l'arcano!
Mr. Pasquale = NNTP-Posting-Host: 213.140.17.105
inetnum: 213.140.17.96 - 213.140.17.111
netname: FASTWEB-RESIDENTIAL-04
Ah ecco...
Non ho pensato a guardare chi fosse che aveva postato...
Post by Zeta2
Facendo 1+1 sembra un attacco interno sulla rete Fastweb, che usa IP
riservati (fra cui i 31/8) per le sue utenze (con sommo casino generale).
Gia'. Non fa casino. Semplicemente usa cio' che non e' assegnato per la
sua lan.
Post by Zeta2
Concordi?
Si.
--
Stefano Balocco
Keyserver: keyserver.linux.it ID: 4CA2F76F
Fingerprint: F17B 1BA5 62E2 F65A D83D 22A3 BE37 2F62 4CA2 F76F
Curatore delle "SignalOS UNOFFICIAL FAQ": http://signalos.lidonet.net/
matteo
2005-11-23 18:00:26 UTC
Permalink
Post by pasquale
Da diversi giorni Zone Allarms segnala continuamente attacchi da IP
come quello che vi segnalo in calce.
Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
Post by pasquale
PostalCode: 90292-6695
Country: US
CHE SIA INIZIATA L'ERA DEL GRANDE FRATELLO?
31.244.104.57
Spesso avvengono attacchi con ip fasullo.
Questi vengono bloccati facilmente da qualsiasi
firewall, quindi non preoccuparti...
Loading...