Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
strani log del mio SITECOM 300N TCP FIN Scan e VECNA SCAN
32 views
Skip to first unread message
Mirko Marchetto
Nov 9, 2016, 12:52:26 PM11/9/16
to
Qualcuno mi può aiutare a capire questi log?
Dear User
Your router has detected and protected you against an attempt to gain access to your network. This may have been an attempted hacker intrusion, or perhaps just your Internet Service Provider doing routine network maintenance.
Most of these network probes are nothing to be worried about - these types of random probes should NOT be reported, but you may want to report repeated intrusions attempts. Save this email for comparison with future alert messages.
Your router Alert Information
Time: 11/09/2016, 17:58:44
Message: TCP FIN Scan
Source: 192.168.0.112, 52975
Destination:151.21.209.113, 80 (from ATM1 Outbound)
Altri messaggi sono Vecna Scan
é normale? avevo attivato l'invio di una mail dal router per ogni ALert e me ne arrivano a decine ogni mezz'ora
Sotto Source: trovo l'indirizzo Ip del tablet o dei cellulari. Possibile che tutti i devides siano corrotti?
Mi aiutate a fare un po' di chiarezza?
Grazie
Dear User
Your router has detected and protected you against an attempt to gain access to your network. This may have been an attempted hacker intrusion, or perhaps just your Internet Service Provider doing routine network maintenance.
Most of these network probes are nothing to be worried about - these types of random probes should NOT be reported, but you may want to report repeated intrusions attempts. Save this email for comparison with future alert messages.
Your router Alert Information
Time: 11/09/2016, 17:58:44
Message: TCP FIN Scan
Source: 192.168.0.112, 52975
Destination:151.21.209.113, 80 (from ATM1 Outbound)
Altri messaggi sono Vecna Scan
é normale? avevo attivato l'invio di una mail dal router per ogni ALert e me ne arrivano a decine ogni mezz'ora
Sotto Source: trovo l'indirizzo Ip del tablet o dei cellulari. Possibile che tutti i devides siano corrotti?
Mi aiutate a fare un po' di chiarezza?
Grazie
Leonardo Serni
Nov 9, 2016, 1:27:24 PM11/9/16
to
On Wed, 9 Nov 2016 09:52:25 -0800 (PST), Mirko Marchetto <mirkoma...@gmail.com> wrote:
>Time: 11/09/2016, 17:58:44
>Message: TCP FIN Scan
>Source: 192.168.0.112, 52975
>Destination:151.21.209.113, 80 (from ATM1 Outbound)
Potrei stare prendendo un granchio, ma questo si direbbe qualcuno NELLA tua rete che sta
>Time: 11/09/2016, 17:58:44
>Message: TCP FIN Scan
>Source: 192.168.0.112, 52975
>Destination:151.21.209.113, 80 (from ATM1 Outbound)
mandando dati verso l'ESTERNO. Non è uno di fuori che fa scansione a te ma viceversa.
151.21.209.113 è un utente Wind, strano che abbia un server Web aperto all'esterno. Vedo
che anche tu hai una utenza dello stesso provider.
Dovessi dire... sembra quasi che qualcuno in casa tua stia facendo il cattivo :-D
Leonardo
--
A terrible beauty is born.
- W. B. Yeats, Easter 1916
Mirko Marchetto
Nov 10, 2016, 11:56:50 AM11/10/16
to
Leonardo Serni
Nov 10, 2016, 5:21:07 PM11/10/16
to
On Thu, 10 Nov 2016 08:56:50 -0800 (PST), Mirko Marchetto <mirkoma...@gmail.com> wrote:
> Da quello che capisco io da qualcuno dei miei dispositivi partono una serie di pacchetti TCP anomali
> alle porte di vari pc. Ho immaginato che ci sia qualche programma installato a mia insaputa che tenti
> degli attacchi dos, ma mi smebra strano che tutti i miei devices siano infetti. Mi chiedo se siano
> semplicemente pacchetti persi per la qualità scarsa della connessione. Secondo voi sono Dropped Packets?
Potrebbe essere. Specificamente:
> Da quello che capisco io da qualcuno dei miei dispositivi partono una serie di pacchetti TCP anomali
> alle porte di vari pc. Ho immaginato che ci sia qualche programma installato a mia insaputa che tenti
> degli attacchi dos, ma mi smebra strano che tutti i miei devices siano infetti. Mi chiedo se siano
> semplicemente pacchetti persi per la qualità scarsa della connessione. Secondo voi sono Dropped Packets?
- se dentro al sitecom la parte DHCP e la parte firewall si parlano poco
- e la parte AP funziona a traballoni
- e hai un dispositivo che comincia a parlare con un IP interno e finisce con un altro
...be', subito prima che la connessione gli caschi sì, partirebbe un pacchetto molto simile ad
un FIN scan.
Però ripeto, mi torna poco, che ciò avvenga _VERSO_ una connessione ADSL privata. Fosse su una
porta usata da un peer-to-peer la spiegazione l'avrei, ma... un sito Web?
Però, la palla di cristallo è in officina, e AFAIK tutto può essere a questo mondo :-D
BIG Umberto
Nov 11, 2016, 9:10:05 AM11/11/16
to
Mirko Marchetto in data 17:56, giovedì 10 novembre 2016, nel gruppo
it.comp.sicurezza.windows ha scritto:
> Da quello che capisco io da qualcuno dei miei dispositivi partono una serie
> di pacchetti TCP anomali alle porte di vari pc. Ho immaginato che ci sia
> qualche programma installato a mia insaputa che tenti degli attacchi dos, ma
> mi smebra strano che tutti i miei devices siano infetti. Mi chiedo se siano
> semplicemente pacchetti persi per la qualità scarsa della connessione.
> Secondo voi sono Dropped Packets ?
Oltre quello che ti ha detto Serni, potresti fare un controllo dall'esterno del
tuo sistema, su tutte le porte:
https://www.grc.com/default.htm poi su Services e ShieldsUp
Verifica che cosa hai attivo sulle porte che ti trova aperte.
Giusto per sapere se hai qualche "spiffero" potenzialmente pericoloso.
L'IP 151.21.209.113 da rete wind corrisponde ad un accesso clone (credo, almeno
mi sembra) di akamai (o roba simile).
Tieni presente che wind (ma anche altri) ha decentrato servizi come google e
forse altro a suoi IP.
--
+---------------------------------------------------------------------------+
| ELICOTTERO: espressione di un extracomunitario per indicare dei cibi: |
| E' li cottero. E' la crudero. |
+-----#34--------------------Campagna contro le pubblicita` idiote.---------+
it.comp.sicurezza.windows ha scritto:
> Da quello che capisco io da qualcuno dei miei dispositivi partono una serie
> di pacchetti TCP anomali alle porte di vari pc. Ho immaginato che ci sia
> qualche programma installato a mia insaputa che tenti degli attacchi dos, ma
> mi smebra strano che tutti i miei devices siano infetti. Mi chiedo se siano
> semplicemente pacchetti persi per la qualità scarsa della connessione.
> Secondo voi sono Dropped Packets ?
tuo sistema, su tutte le porte:
https://www.grc.com/default.htm poi su Services e ShieldsUp
Verifica che cosa hai attivo sulle porte che ti trova aperte.
Giusto per sapere se hai qualche "spiffero" potenzialmente pericoloso.
L'IP 151.21.209.113 da rete wind corrisponde ad un accesso clone (credo, almeno
mi sembra) di akamai (o roba simile).
Tieni presente che wind (ma anche altri) ha decentrato servizi come google e
forse altro a suoi IP.
--
+---------------------------------------------------------------------------+
| ELICOTTERO: espressione di un extracomunitario per indicare dei cibi: |
| E' li cottero. E' la crudero. |
+-----#34--------------------Campagna contro le pubblicita` idiote.---------+
0 new messages