PDA

Visualizza versione completa : Problemi con BlackIce


elvista
17-07-2001, 23.02.59
Ho istallato di recente come firewall il BI per nell'ultima settimana mi sono ritrovato con 6 attacchi critici segnalati, il problema che controllando l' IP risulta che il mio, com' possibile?? :confused:

un salutone a tutti

Elvis

DarkAngel
18-07-2001, 12.14.45
Controlla che nn ci siano troiani sul tuo pc!!!!!!
Perche se ve ne sono lui te li segnala come tentativi di intrusione sulla tua macchina!
Altrimenti controlla i programmi che girano!
Per esempio io quando ho istallato la prima volta BID esso mi segnalava icq, e tutti i messaggi che mandavo/ricevevo quindi....ho configurato icq dicendogli che stavo sotto firewall e tutto e' andato ok....
vedi quale e' il tuo caso! e poi posta la soluzione cosi che anche altri lo sappiano...

Casper
18-07-2001, 14.26.59
si potrebbe avere qualche dettaglio su questi 'attacchi critici'? possibile che sia la normale attivit di qualche programma... ad esempio, FlashGet ha l'abitudine di sparare in rete valanghe di pacchetti dati in quello che viene classificato come ping sweep, ma non che lo faccia per cattiveria ;)

e poi mi vengono a dire che BlackICE Defender non rileva il traffico in uscita dalla macchina...

DarkAngel
18-07-2001, 14.36.36
Casper
Potrei avere delucidazioni a proposito di queste rilevazioni fatte da BID sulla rete??

Severity (icon), Time, Attack, Intruder, Count,
2, 07/18/01 14:43:52, SNMP discovery broadcast, *, 309
1, 07/18/01 14:27:38, RPC CALLIT unknown, *
2, 07/18/01 14:05:22, SNMP discovery broadcast, *, 4
1, 07/18/01 13:16:33, UDP port probe, 255.255.255.255, 1
1, 07/18/01 13:05:01, UDP port probe, *, 40
2, 07/18/01 13:03:06, NetBus port probe, *, 4
3, 07/18/01 12:36:51, RPC CALLIT attack, *, 9
2, 07/18/01 12:20:27, SNMP discovery broadcast, *, 2
1, 07/18/01 11:39:20, UDP port probe, *, 2
1, 07/18/01 11:11:47, SNMP port probe, *, 2

Cosa e' un RPC CALLIT attack???
E un SNMP?
Il port probe che cosa e'?
Gli asterischi li ho messi io per nn mettere ip di macchine appartenenti alla rete aziendale...

Ti sarei grato se mi potessi spiegare che genere di traffico ha rilevato BID come pericoloso...come puoi vedere uno e' anche segnato in rosso (Severity=3)...
Grazie!
Ciao

Casper
18-07-2001, 14.54.15
se si tratta della rete aziendale, penso sia il caso di inserire il range di IP fra quelli che BlackICE Defender considera attendibili, in modo da evitare possibili (direi probabili) problemi nel corretto funzionamento della LAN. a meno che naturalmente i tuoi colleghi si divertano a giocare con strani programmini anche sul posto di lavoro, nel qual caso andrebbero frustati e fatti strisciare ripetutamente avanti e indietro per i corridoi :grrr:

qui trovi la spiegazione dettagliata di alcuni degli eventi registrati da BID:

RPC Callit: http://www.networkice.com/Advice/Intrusions/2001725/default.htm
SNMP discovery broadcast: http://advice.networkice.com/advice/intrusions/2002004/default.htm

il fatto che il log contenga anche un 'netbus port probe', se vero che gli IP rimossi si riferiscono alla rete aziendale e non provengono dall'esterno, vedo confermato il mio sospetto che qualcuno dei tuoi colleghi si diverte a giocare con i trojans. se c' una cosa che mi urta i nervi sono i deficienti che installano questa roba su una LAN, e poi quando succede qualcosa di grave cascano dalle nuvole. il vostro amministratore di rete un incompetente... dovrebbe imporre una bonifica completa delle macchine collegate, l'installazione di sistemi di prevenzione e attuare il monitoraggio forzato di tutto il software installato. lasciamo perdere, vah...

elvista
18-07-2001, 19.32.36
Eccomi qui :)

ho seguito il tuo consiglio DarkAngel, ho scaricato Ad-aware da Wt e altro che troiaio ho trovato, negl'ultimi giorni avevo istallato napster, audiogalaxy, e non ricordo quale altro prg per scaricare mp3, cmq con qualcuno di questi (napster) ho istallato altri programmi tipo web haucer, web acceleretor, gator ecc. (sleep)

ho disistallato tutto e va tutto bene. (Y)

Ho reistallato audiogalaxy il problema si ripresenta solo quando f il test per il collegamento e quando scarico mp3, il BI mi da questo mess. Ftp command too long e come intruso me ;).

Adesso configuro BI per lasciare libero il passaggio ad audiogalaxy.

OK rag, problema risolto, vi ringrazio tanto.

Vitoz
18-07-2001, 20.28.31
Originally posted by elvista
ho scaricato Ad-aware da Wt e altro che troiaio ho trovato, negl'ultimi giorni avevo istallato napster, audiogalaxy, e non ricordo quale altro prg per scaricare mp3, cmq con qualcuno di questi (napster) ho istallato altri programmi tipo web haucer, web acceleretor, gator ecc.
Ho reistallato audiogalaxy...

ehmmmmm...... lo spyware e' AUDIOGALAXY, non NAPSTER... ;)

elvista
18-07-2001, 22.34.18
Hai ragione, :( infatti lo spyware audiogalaxy

mi scuso, umilmente.

Ciao, ciao,

Elvis

Vitoz
18-07-2001, 23.07.27
non devi scusarti di nulla, era solo per segnalarti che forse e' il caso di abbandonare audiogalaxy ;) :)

bye

eymerich
18-07-2001, 23.18.23
Originally posted by Vitoz
non devi scusarti di nulla, era solo per segnalarti che forse e' il caso di abbandonare audiogalaxy ;) :)

bye


Disintegra senz'altro (W) audiogalaxy ma prima leggi
http://forum.wintricks.it/showthread.php?threadid=12827

...che meglio ;)
http://utenti.tripod.it/smurfs/2.gif


ps: prima che lo dica Vitoz ;):p,potevo mai mancare in questo thread? :D

Vitoz
18-07-2001, 23.29.16
Originally posted by eymerich
prima che lo dica Vitoz ;):p,potevo mai mancare in questo thread? :D

attendevo con spasmodica ansia :D
(quindi rettifico, abbandonarlo o cercare la versione citata nel thread segnalato dall' Inquisitore :p )

eymerich
18-07-2001, 23.50.51
Originally posted by Vitoz
nel thread segnalato dall' Inquisitore :p


e diciamola tutta allora !!! ;) :p :D

Al rogo tutti gli spyware! http://home.golden.net/~wendy40/FIREdevil.gif

elvista
19-07-2001, 00.01.40
Ho letto il thread, che mi avete postato,
sono rimasto un p deluso :(,
mi trovo bene con AG trovo mp3 che non riesco a trovare da nessuna parte, x es Infinito di raf,

cmq mi fido cecamente di WT di tutti voi xci far attenzione ;)