+ Rispondi al messaggio
Pagina 2 di 2 primaprima 12
Visualizzazione dei risultati da 11 a 12 su 12

desktop remoto hack su server dedicato

  1. #11
    Marcixxx non  in linea Scolaretto
    Post
    97
    Like Inviati  
    0
    Like Ricevuti  
    0
    Ip statico

  2. #12
    Marcixxx non  in linea Scolaretto
    Post
    97
    Like Inviati  
    0
    Like Ricevuti  
    0
    Grazie a tutti per le risposte.
    Ho lavorato molto al problema in questi giorni.
    1) Reinstallato immagini backup di disco (clonezilla).
    2) Controllato chiavi di registro di autorun.
    3) Fatto girare Avira e Malwarebytes
    4) Cambiate le password
    5) Disabilitati tutti gli accessi di Desktop Remoto a tutti gli indirizzi IP escluso il mio

    Fatto questo notavo ancora qualcosa di strano.
    Avevo dei dubbi sull'affidarmi ciecamente ad un firewall senza saperlo neanche impostare adeguatamente.

    Ho deciso di cercare di capire cosa stava succedendo nel particolare delle connessioni in entrata ed uscita.
    Ho scaricato il codice sorgente di quel programma che ho descritto in qualche post fa.
    Ho cercato di elaborare il codice secondo le mie esigenze.
    Sono riuscito a fare un eseguibile che mi ha aiutato a capire quale era il problema.

    Qui due screenshoot:




    Il programma in pratica una sorta di port scanning, che mi permette di:
    - Visualizzare tutte le connessioni UDP e TCP attive.
    - Scegliere di visualizzare solamente le connessioni con un determinato stato (i.e. LISTENING, ESTABLISHED...)
    - Visualizzare i dati della connessione (PID, IP locale, IP Remoto, stato della porta).
    - Visualizzare i dettagli dell'IP remoto (Nome, Citt, Isp...)
    - Visualizzare i servizi in esecuzione, con le relative descrizioni.
    - Finestra di log degli eventi.
    - Scelta di indirizzi Ip 'verificati'.
    - Finestra di Logs degli allarmi (IP remoti che non appartengono a quelli 'verificati').
    - Backup automatico del log Eventi e log Allarmi.
    - Allarme acustico per ogni connessione non verificata.
    - Verifica automatica di indirizzi Ip con lo stesso Nome Isp (in pratica se si ha un antivirus che effettua l'aggiornamento su server differenti, ogni nuovo Ip remoto non riconosciuto ma riconducibile allo stesso Isp Name verr automaticamente aggiunto agli indirizzi verificati).

    A video, in un'unica datagridview (aggiornata al millisecondo) si ha un comando Netstat ciclico.
    A fianco di ogni Ip remoto c' il nome e luogo del server, e sempre a fianco ci sono tutti quei dati che di solito si trovano spulciando il Task Manager, e poi spulciando il manager dei servizi di Windows.

    So che ci sono gi programmi fatti, ma in questo modo ci ho capito qualcosa.

    Nel computer di casa, notavo che nonostante avessi il desktop remoto abilitato solo alle connessioni 'sicure', questo port scanning segnalava, ogni 6 secondi circa, una connessione in entrata da un ip remoto appartenente ad una compagnia di servizi internet, in giro per il mondo.
    Ho contattato un tecnico del servizio clienti del mio provider, che si connesso al mio computer tramite LogMeIn.
    Abbiamo verificato che ogni 6 secondi circa c'era una connessione TCP 'ESTABLISHED' che durava mezzo secondo, e proveniva da un IP remoto di provider casuale (Russia, Usa, Cina...), e le porte con le quali il processo tentava di accedere erano sequenziali.
    Insomma, c'era un programma malware che stava martellando continuamente il mio Ip tentando l' accesso tramite la porta standard 3389 del Desktop Remoto.

    Dal Firewall di Windows ho disabilitato le connessioni Desktop Remoto in entrata e non compare pi alcun tentativo di connessione TCP.
    Non ho ancora capito se qualcuno che mi aveva 'preso di mira', oppure se nella normalit che ci sono dei programmi Hacker che sondano la connessione di Desktop Remoto ogni indirizzo IP della rete internet.
    Per un eventuale trojan ho controllato tutte le chiavi dei registri solitamente usate dai trojan:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
    Ho scansionato con Avira e Malwarebytes, nessun malware.
    Per sicurezza ho scansionato su https://www.virustotal.com/it/ una decina di file e dll di servizi e processi che il port scanning mi evidenziava come 'doppioni' di processi gi in esecuzione.
    Tutti puliti.
    Se qualche Hacker ha installato una backdoor deve essere veramente bravo.
    Comunque il port scanning mi funziona 24/24 e se si attivasse una connessione non preventivata me ne dovrei accorgere.

    In sintesi nei server ho risolto il problema impostando il firewall di Windows nel ricevere solo il mio indirizzo IP.
    Invece, nei computer di casa ho risolto disabilitando la connessione Desktop Remoto in entrata.

    Una cosa veramente interessante nell'adoperare questo tipo di soluzione (casalinga) il fatto di potersi accorgere di quanti servizi inutili vengono svolti dai computer a nostra insaputa (i.e. Microsoft bingbot...).

    Oppure, di quanti e quali IP Remoti (ai quali mai nessuno ha mai dato autorizzazione esplicita di connettersi al nostro computer), si connettono comunque attraverso gli 'accordi' che i browser stipulano con agenzie di raccolta, analisi, statistiche dei dati.
    Ultima modifica di Marcixxx; 02-01-2017 23:12 

+ Rispondi al messaggio
Pagina 2 di 2 primaprima 12

Potrebbero interessarti anche ...

  1. Desktop remoto
    Da Nottambulo nel forum Microsoft Windows
    Risposte: 4
    Ultimo Post: 02-06-2009, 10:55
  2. Desktop remoto su win 98
    Da sickboy77 nel forum Microsoft Windows
    Risposte: 2
    Ultimo Post: 08-11-2008, 08:46
  3. Hack - game (gioco di hack) - hax.tor.hu
    Da 0x90 nel forum Pausa caff
    Risposte: 1
    Ultimo Post: 12-02-2008, 22:24
  4. Desktop Remoto
    Da barroz nel forum Networking e sicurezza
    Risposte: 4
    Ultimo Post: 26-11-2007, 19:45
  5. Desktop remoto
    Da Pits nel forum Tutto Linux
    Risposte: 6
    Ultimo Post: 14-02-2005, 13:47