Kernel intrusion

[Wait]

Sono due o tre giorni che nel system log del router -USRobotics 9108- mi appare questo messaggio (vedi allegato).
Prima non era mai apparso.

La cosa fastidiosa è che mi satura il log e non riesco a vedere altro... e poi mi sto un po appanicando :look: Che faccio? sto bastardo riesce ad entrare?

Il router è firewalled, ho cambiato la password di default e ho abilitato l'ACL (Access Control List) che è in pratica una lista di indirizzi IP interni alla Lan che sono autorizzati a cambiare la configurazione del router.

Quello che non capisco è perchè prima non appariva mai ed ora sempre. Non è che è un software dei miei PC che fa casini col file di log?

Grazie. :)

 

[Togix]

Non sono sicuro al 100%, ma sono tentativi di connessione dall'esterno...

Bisognerebbe però scoprire a che macchine corrispondono quegli indirizzi... Ad esempio se sono server Ftp è normale ricevere una richiesta di connessione dall'esterno se si tenta di scaricare un file dall'interno. :)

 

[[Excalibur]]

Uhm ... pero' fra i vari IP che hai nel log (quasi tutti sono di Internic, quindi nodi di interscambio della rete telecom) ce ne sono anche di esteri, fra i quali uno coreano ha attirato la mia attenzione:
http://www.domaintools.com/rbl/?ip=211.172.225.138
...che e' nelle blacklist per spam via mail ... Farei una controllata con vari software antivirus, specialmente se usi client di posta come Outlook o altri.

 

[Wait]

Grazie Excalibur.
Il problema è che tali messaggi me li da anche a computer spento. Stanno direttamente nella memoria interna del router.
Io spengo la sera il computer, la mattina lo riaccendo, vado nel syslog del router e trovo dei messaggi con orario antecedente a quando l'ho acceso.

L'unica può essere che ho qualcosa nel pc che "chiama" qualche attacco... e poi, anche a pc spento, l'attacco continua... :boh:

Edit
Niente. Pc pulito.
Adware mi ha rilevato solo 2 data miner (peraltro dal sito ATI :rolleyes: )
Antivir nulla.
Entrambi aggiornati prima della scansione.

 

[[Excalibur]]

Il problema è che tali messaggi me li da anche a computer spento. Stanno direttamente nella memoria interna del router.
Io spengo la sera il computer, la mattina lo riaccendo, vado nel syslog del router e trovo dei messaggi con orario antecedente a quando l'ho acceso...

Allora tranquillizzati :) .
1 - Si, sono tentativi di "intrusione", piu' che altro sono tentativi di contatto.
2 - Se il router li rileva nel log, vuol dire anche che il router li blocca.
3 - La mia supposizione a questo punto e' questa:
Tu usi il pc con software p2p la sera;
vari client ti contattano durante lo sharing;
alcuni (molti) di essi usano versioni modded per bypassare il sistema crediti, fra i quali metodi ci sono anche dei "ping flood";
anche quando tu disconnetti il client, se ci badi, permangono molte richieste di accesso ai tuoi files sharati;
i tentativi di accesso "flooddanti" a client disconnesso vengono rilevati come DoS / port scan dal router che li blocca e li inserisce nel log.

 

[Wait]

Mammamia Ex... delle volte mi fai paura. :shock:
Un vero fuoriclasse :sisi:

Grazie per le dritte. :)

 

[Toby]

Mammamia Ex... delle volte mi fai paura. :shock:
Un vero fuoriclasse :sisi:

Grazie per le dritte. :)

:asd: :asd: :asd:

Me sà che è lui che ti "testa".... :asd: :asd: