+ Rispondi al Thread
Pagina 2 di 2 primaprima 12
Visualizzazione dei risultati da 11 a 12 su 12

Discussione: desktop remoto hack su server dedicato

  1. #11
    Marcixxx non č in linea Scolaretto
    Luogo
    Imperia
    Post
    97
    Ip statico

  2. #12
    Marcixxx non č in linea Scolaretto
    Luogo
    Imperia
    Post
    97
    Grazie a tutti per le risposte.
    Ho lavorato molto al problema in questi giorni.
    1) Reinstallato immagini backup di disco (clonezilla).
    2) Controllato chiavi di registro di autorun.
    3) Fatto girare Avira e Malwarebytes
    4) Cambiate le password
    5) Disabilitati tutti gli accessi di Desktop Remoto a tutti gli indirizzi IP escluso il mio

    Fatto questo notavo ancora qualcosa di strano.
    Avevo dei dubbi sull'affidarmi ciecamente ad un firewall senza saperlo neanche impostare adeguatamente.

    Ho deciso di cercare di capire cosa stava succedendo nel particolare delle connessioni in entrata ed uscita.
    Ho scaricato il codice sorgente di quel programma che ho descritto in qualche post fa.
    Ho cercato di elaborare il codice secondo le mie esigenze.
    Sono riuscito a fare un eseguibile che mi ha aiutato a capire quale era il problema.

    Qui due screenshoot:




    Il programma in pratica é una sorta di port scanning, che mi permette di:
    - Visualizzare tutte le connessioni UDP e TCP attive.
    - Scegliere di visualizzare solamente le connessioni con un determinato stato (i.e. LISTENING, ESTABLISHED...)
    - Visualizzare i dati della connessione (PID, IP locale, IP Remoto, stato della porta).
    - Visualizzare i dettagli dell'IP remoto (Nome, Cittį, Isp...)
    - Visualizzare i servizi in esecuzione, con le relative descrizioni.
    - Finestra di log degli eventi.
    - Scelta di indirizzi Ip 'verificati'.
    - Finestra di Logs degli allarmi (IP remoti che non appartengono a quelli 'verificati').
    - Backup automatico del log Eventi e log Allarmi.
    - Allarme acustico per ogni connessione non verificata.
    - Verifica automatica di indirizzi Ip con lo stesso Nome Isp (in pratica se si ha un antivirus che effettua l'aggiornamento su server differenti, ogni nuovo Ip remoto non riconosciuto ma riconducibile allo stesso Isp Name verrį automaticamente aggiunto agli indirizzi verificati).

    A video, in un'unica datagridview (aggiornata al millisecondo) si ha un comando Netstat ciclico.
    A fianco di ogni Ip remoto c'é il nome e luogo del server, e sempre a fianco ci sono tutti quei dati che di solito si trovano spulciando il Task Manager, e poi spulciando il manager dei servizi di Windows.

    So che ci sono giį programmi fatti, ma in questo modo ci ho capito qualcosa.

    Nel computer di casa, notavo che nonostante avessi il desktop remoto abilitato solo alle connessioni 'sicure', questo port scanning segnalava, ogni 6 secondi circa, una connessione in entrata da un ip remoto appartenente ad una compagnia di servizi internet, in giro per il mondo.
    Ho contattato un tecnico del servizio clienti del mio provider, che si é connesso al mio computer tramite LogMeIn.
    Abbiamo verificato che ogni 6 secondi circa c'era una connessione TCP 'ESTABLISHED' che durava mezzo secondo, e proveniva da un IP remoto di provider casuale (Russia, Usa, Cina...), e le porte con le quali il processo tentava di accedere erano sequenziali.
    Insomma, c'era un programma malware che stava martellando continuamente il mio Ip tentando l' accesso tramite la porta standard 3389 del Desktop Remoto.

    Dal Firewall di Windows ho disabilitato le connessioni Desktop Remoto in entrata e non compare piś alcun tentativo di connessione TCP.
    Non ho ancora capito se qualcuno che mi aveva 'preso di mira', oppure se é nella normalitį che ci sono dei programmi Hacker che sondano la connessione di Desktop Remoto ogni indirizzo IP della rete internet.
    Per un eventuale trojan ho controllato tutte le chiavi dei registri solitamente usate dai trojan:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
    Ho scansionato con Avira e Malwarebytes, nessun malware.
    Per sicurezza ho scansionato su https://www.virustotal.com/it/ una decina di file e dll di servizi e processi che il port scanning mi evidenziava come 'doppioni' di processi giį in esecuzione.
    Tutti puliti.
    Se qualche Hacker ha installato una backdoor deve essere veramente bravo.
    Comunque il port scanning mi funziona 24/24 e se si attivasse una connessione non preventivata me ne dovrei accorgere.

    In sintesi nei server ho risolto il problema impostando il firewall di Windows nel ricevere solo il mio indirizzo IP.
    Invece, nei computer di casa ho risolto disabilitando la connessione Desktop Remoto in entrata.

    Una cosa veramente interessante nell'adoperare questo tipo di soluzione (casalinga) é il fatto di potersi accorgere di quanti servizi inutili vengono svolti dai computer a nostra insaputa (i.e. Microsoft bingbot...).

    Oppure, di quanti e quali IP Remoti (ai quali mai nessuno ha mai dato autorizzazione esplicita di connettersi al nostro computer), si connettono comunque attraverso gli 'accordi' che i browser stipulano con agenzie di raccolta, analisi, statistiche dei dati.
    Ultima modifica di Marcixxx; 02-01-2017 22:12 

+ Rispondi al Thread
Pagina 2 di 2 primaprima 12

Tag per questa discussione

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi