Discussioni su virus e antivirus
 

Aggiornamento su post "Piccolo aneddoto"

Anonimo06 21 Gen 2017 13:22
Salve a tutti, la questione si è evoluta!
Senza far nulla e lasciando il pc acceso una mattina mi sveglio e mi
ritrovo con disco interamente crittografato! Questa volta non ho usato
per nessuna ragione la smart tv col pc ne fatto cose strane.
Dopo la prima crittografia ho fatto una scansione approfondita con mbam
e eset smart security per essere sicuro di non avere altre bestie sul
mio pc, ma purtroppo alle 2 di notte mi ritrovo con questa bella
sorpresa.
Fatto questo ho piallato tutto e installato windows 10 e installato
kaspersky internet security più mbam come ******* residente.
Stamattina noto una cosa strana, dei messaggi da parte di kaspersky su
parecchi tentativi di intrusione sulla porta 3389 (ho il desktop remoto
attivo sul pc per poter accedere in qualsiasi momento, anche grazie ad
un servizio di ddns), e mi insospettisco!
Modifico la porta di ascolto da 3389 a 3380 e sembra che gli attacchi
si siano placati!
Possibile che degli attacchi sulla porta 3389 possano essere dipesi da
qualche cryptovirus?????
BIG Umberto 21 Gen 2017 14:53
Anonimo06 in data 13:22, sabato 21 gennaio 2017, nel gruppo
it.comp.sicurezza.virus ha scritto:

<https://social.technet.microsoft.com/Forums/it-IT/fcb8bf39-8798-4f74-
a80f-a5ef52193851/tentativo-intrusione-*****er-desk-remoto-porta-3389
?forum=sicurezzait>

Indubbiamente mettere un servizio sulla sua porta standard, facilita i
tentativi di attacco.[1]
Mettendolo su una porta diversa, é ovvio che gli accessi calano (se la porta
é "prevedibile") o spariscono del tutto.
Non credo affatto che la cosa dipenda dal tuo "crittografatore-preferito"!
Peró...
Vista la cosa, mi vien voglia di suggerirti una scansione completa ed
approfondita sulle porte aperte che hai nel router e nel piccí.
https://www.grc.com/x/ne.dll?bh0bkyd2
http://nmap.online-domain-tools.com/
Ce ne sono anche altri.
Poi, una guardatina di conseguenza alle impostazioni del firewall del piccí e
quelle del router, non farebbe male.


[1] Finché sono solo tentativi, non c'é problema, ma quando si avvicinano
troppo alla connessione, incomincia a preoccuparti... E prima o poi ci
arrivano!


--
+--------------------------------------------------------------------+
| Q: This FAQ did not solved my problem, what shold I do? |
| A: Visit your psychiatrist. |
+-----#52-------------------------------F.A.Q. inutili---------------+
Anonimo06 21 Gen 2017 16:12
Nel suo scritto precedente, BIG Umberto ha sostenuto :
> Anonimo06 in data 13:22, sabato 21 gennaio 2017, nel gruppo
> it.comp.sicurezza.virus ha scritto:
>
> <https://social.technet.microsoft.com/Forums/it-IT/fcb8bf39-8798-4f74-
> a80f-a5ef52193851/tentativo-intrusione-*****er-desk-remoto-porta-3389
> ?forum=sicurezzait>
>
> Indubbiamente mettere un servizio sulla sua porta standard, facilita i
> tentativi di attacco.[1]
> Mettendolo su una porta diversa, é ovvio che gli accessi calano (se la porta
> é "prevedibile") o spariscono del tutto.
> Non credo affatto che la cosa dipenda dal tuo "crittografatore-preferito"!
> Peró...
> Vista la cosa, mi vien voglia di suggerirti una scansione completa ed
> approfondita sulle porte aperte che hai nel router e nel piccí.
> https://www.grc.com/x/ne.dll?bh0bkyd2
> http://nmap.online-domain-tools.com/
> Ce ne sono anche altri.
> Poi, una guardatina di conseguenza alle impostazioni del firewall del piccí e
> quelle del router, non farebbe male.
>
>
> [1] Finché sono solo tentativi, non c'é problema, ma quando si avvicinano
> troppo alla connessione, incomincia a preoccuparti... E prima o poi ci
> arrivano!

Fatte le scansioni e ovviamente upnp disabilitato, nessun problema col
firewall e con il router (le regole sono impostate su automatico, non
fa entrare ne uscire nulla se non ha il mio consenso).
Comunque qualsiasi cosa faccio adesso di importante cerco sempre di
inviarla sul cloud per sicurezza
BIG Umberto 21 Gen 2017 16:22
Anonimo06 in data 13:22, sabato 21 gennaio 2017, nel gruppo
it.comp.sicurezza.virus ha scritto:

> Fatto questo ho piallato tutto e installato windows 10 e installato
> kaspersky internet security più mbam come ******* residente.
> Stamattina noto una cosa strana, dei messaggi da parte di kaspersky su
> parecchi tentativi di intrusione sulla porta 3389 (ho il desktop remoto
> attivo sul pc per poter accedere in qualsiasi momento, anche grazie ad
> un servizio di ddns), e mi insospettisco!
> Modifico la porta di ascolto da 3389 a 3380 e sembra che gli attacchi
> si siano placati!

Benvenuto in matrix!

Solo una parte dei tentativi fatti oggi...
n tentativi / porta
4 137
4 5555
5 161
8 123
8 443
8 5060
9 7547
12 53413
15 3389
15 80
16 8080
28 37777
30 6789
40 1900
42 2323
57 22
62 23231
260 48541
303 23
----------------------------
Totale: 1117 accessi, su 167 porte.

Sat Jan 21 15:16:02 UTC 2017


--
+-----------------------------------------------------------------------+
| Dimentica Higgs ed i suoi bosoni |
| Pensa alla iolanda ed ai bei tittoni |
| Se l'universo vuoi scoprir davvero |
| Guarda la iolanda... Che buco nero! |
+-----#54------------------------------------------Verita'--------------+
Anonimo06 21 Gen 2017 16:40
Scriveva BIG Umberto sabato, 21/01/2017:
> Anonimo06 in data 13:22, sabato 21 gennaio 2017, nel gruppo
> it.comp.sicurezza.virus ha scritto:
>
>> Fatto questo ho piallato tutto e installato windows 10 e installato
>> kaspersky internet security più mbam come ******* residente.
>> Stamattina noto una cosa strana, dei messaggi da parte di kaspersky su
>> parecchi tentativi di intrusione sulla porta 3389 (ho il desktop remoto
>> attivo sul pc per poter accedere in qualsiasi momento, anche grazie ad
>> un servizio di ddns), e mi insospettisco!
>> Modifico la porta di ascolto da 3389 a 3380 e sembra che gli attacchi
>> si siano placati!
>
> Benvenuto in matrix!
>
> Solo una parte dei tentativi fatti oggi...
> n tentativi / porta
> 4 137
> 4 5555
> 5 161
> 8 123
> 8 443
> 8 5060
> 9 7547
> 12 53413
> 15 3389
> 15 80
> 16 8080
> 28 37777
> 30 6789
> 40 1900
> 42 2323
> 57 22
> 62 23231
> 260 48541
> 303 23
> ----------------------------
> Totale: 1117 accessi, su 167 porte.
>
> Sat Jan 21 15:16:02 UTC 2017
******* In ogni caso per curiosità sono andato a controllare il log
delle "intrusioni" da kaspersky, ben 2716 attacchi alla porta 3389
dalle 11 circa di ieri sera fino a stamattina finchè non ho modificato
la porta standard!!!!
BIG Umberto 21 Gen 2017 16:44
Anonimo06 in data 16:12, sabato 21 gennaio 2017, nel gruppo
it.comp.sicurezza.virus ha scritto:

> Fatte le scansioni e ovviamente upnp disabilitato, nessun problema col
> firewall e con il router (le regole sono impostate su automatico, non
> fa entrare ne uscire nulla se non ha il mio consenso).
> Comunque qualsiasi cosa faccio adesso di importante cerco sempre di
> inviarla sul cloud per sicurezza

Mmmmm!
Se ti sei ribeccato il coso, qualcosa c'é (o almeno c'era)...
O lo hai ancora addosso imboscato in qualche pc/tablet/smartphone/nas/cloud ...
Nell'unico pc che ho con w 8.1 (un portatile, gli altri hanno linux), ho
settato il firewall in manuale per bloccare tutto in uscita ed entrata, tranne
le poche cose che mi interessano.
Dato che hai visto i tentativi di accesso al desktop remoto, non hai micca
visto circa in quell'orario, altri tentativi di accesso "anomali"?

--
+-----------------------------------------------------------------------+
| Dimentica Higgs ed i suoi bosoni |
| Pensa alla iolanda ed ai bei tittoni |
| Se l'universo vuoi scoprir davvero |
| Guarda la iolanda... Che buco nero! |
+-----#54------------------------------------------Verita'--------------+
BIG Umberto 21 Gen 2017 17:33
Anonimo06 in data 16:40, sabato 21 gennaio 2017, nel gruppo
it.comp.sicurezza.virus ha scritto:


>> Totale: 1117 accessi, su 167 porte.
>>
>> Sat Jan 21 15:16:02 UTC 2017

> ******* In ogni caso per curiosità sono andato a controllare il log
> delle "intrusioni" da kaspersky, ben 2716 attacchi alla porta 3389
> dalle 11 circa di ieri sera fino a stamattina finchè non ho modificato
> la porta standard!!!!

Oggi é una giornata tranquilla e silente (per ora...)!

Giusto per conoscenza.
<http://punto-informatico.it/4366243/PI/News/pi-guide-ransomware-mai-piu-riscatti.aspx>
Compresi i commenti alla fine dell'articolo...

Mi sembra pure di aver letto, che possono essere criptati i files nelle
cartelle nel cloud...

Di sicuro i files nelle cartelle condivise in rete.

Nell'azienda in cui lavoravo, una felice fanciulla dell'amministrazione, ha
lasciato criptare un bel po' di giga di documenti amministrativi nel server
aziendale.
Fortuna che aveva accesso solo ad alcune cartelle...

--
+-------------------------------------------------------------------+
| Fatto adulterio, mentito, rubato. |
| Continuamente ******* toccato. |
| Fin dall'eta' di sei anni ero gia' condannato... |
| ...e divenuto un poco cecato (cit.) |
+-----#55--------------------------------------Verita'--------------+
Anonimo06 21 Gen 2017 19:27
Scriveva BIG Umberto sabato, 21/01/2017:
> Anonimo06 in data 16:40, sabato 21 gennaio 2017, nel gruppo
> it.comp.sicurezza.virus ha scritto:
>
>
>>> Totale: 1117 accessi, su 167 porte.
>>>
>>> Sat Jan 21 15:16:02 UTC 2017
>
>> ******* In ogni caso per curiosità sono andato a controllare il log
>> delle "intrusioni" da kaspersky, ben 2716 attacchi alla porta 3389
>> dalle 11 circa di ieri sera fino a stamattina finchè non ho modificato
>> la porta standard!!!!
>
> Oggi é una giornata tranquilla e silente (per ora...)!
>
> Giusto per conoscenza.
>
<http://punto-informatico.it/4366243/PI/News/pi-guide-ransomware-mai-piu-riscatti.aspx>
> Compresi i commenti alla fine dell'articolo...
>
> Mi sembra pure di aver letto, che possono essere criptati i files nelle
> cartelle nel cloud...
>
> Di sicuro i files nelle cartelle condivise in rete.
>
> Nell'azienda in cui lavoravo, una felice fanciulla dell'amministrazione, ha
> lasciato criptare un bel po' di giga di documenti amministrativi nel server
> aziendale.
> Fortuna che aveva accesso solo ad alcune cartelle...

Parla anche dell'RDP ma unsecured. Sotto questo punto di vista già mi
ero tutelato e infatti l'utente aveva la password!
Vabbè ormai è andata, ma ero curioso di sapere come si era annidato nel
sistema!

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni su virus e antivirus | Tutti i gruppi | it.comp.sicurezza.virus | Notizie e discussioni sicurezza virus | Sicurezza virus Mobile | Servizio di consultazione news.