Sdoppiamento SSID connessione di casa, attacco evil twin?

[r3dl4nce]

Soprattutto deve fare installazione pulita, dato che ha sempre fatto reimposta da dentro Windows e mai installazione da zero
E anche un memtest, magari è la ram a dare problemi

 

[giulore]

Allora è inutile suggerire di usare Crystal disk, ad ogni problema si cambia direttamente il PC.

.

 

[techemacqua]

Hai fatto male a dirgli che esistono virus che si nascondono nel master boot record

daiii
--- i due messaggi sono stati uniti ---

Hai qualcuno che possa toglierti i permessi di amministratore dal tuo utente?

No
--- i due messaggi sono stati uniti ---

Soprattutto deve fare installazione pulita, dato che ha sempre fatto reimposta da dentro Windows e mai installazione da zero
E anche un memtest, magari è la ram a dare problemi

Ma che ne sai? Infatti ho già ben 2 drive usb con windows 10 che ho usato almeno 30 volte
--- i due messaggi sono stati uniti ---
Semplicemente le ho provate tutte, comprese le installazioni in place

 

[BAT]

le installazioni in place

che sono proprio quelle che non devi fare se hai il dubbio di un virus: devi formattare a tabula rasa con il tool che ti ho indicato, ricreare le partizioni e la reinstallazione di Windows devi farla da pendrive USB di boot
comunque l'SSD è da cambiare

 

[techemacqua]

Ok a breve userò il tuo tool

Anche con il nuovo modem port scan, ping of death e udp flooding attack

Io presumo che lo scopo sia vedere cosa faccio

 

[Eren88]

Anche con il nuovo modem!

Visualizza allegato 464204
--- i due messaggi sono stati uniti ---
Io presumo che lo scopo sia vedere cosa faccio

No, ci sono dei port scan e poi degli attacchi DoS, quindi finalizzati a far crashare la rete. Non possono vedere cosa fai.

Comunque hai appena reso pubblico il tuo IP... ti consiglio di togliere la foto e rimetterla coprendo l'IP

 

[techemacqua]

Sono combattuto perché se copro l'IP perde valore probatorio, ma tanto ce l'ho io la foto

l'ho tolta

Quindi finitela di dire che sono malfunzionamenti Wind

Ciò che faccio si può vedere dai pacchetti beacon? Non so come funziona, dai pacchetti beacon so di per certo che si può rilevare una rete nascosta. Comunque dovrei usare la vpn di kaspersky fissa, anche se questo potrebbe insospettire chi mi sta attaccando e aumentare la tensione

Ah domanda...come mai non mi va in crash la rete? Merito di Kaspersky?

Ma gpedit.msc dovrebbe essere disponibile in Esegui come comando?

 

[jesse83]

Ma gpedit.msc dovrebbe essere disponibile in Esegui come comando?

Ma cosa ci devi fare? Se non sai cosa toccare fai solo danni

 

[techemacqua]

Ma cosa ci devi fare? Se non sai cosa toccare fai solo danni

Vi volevo far vedere le cose strane che mi uscivano almeno fino ad ora, così mi dite se l'ipotesi visualizzazione remota era fondata
--- i due messaggi sono stati uniti ---
Comunque non mi hai risposto alla domanda, è una cosa che dovrebbe esserci?

 

[jesse83]

Vi volevo far vedere le cose strane che mi uscivano almeno fino ad ora, così mi dite se l'ipotesi visualizzazione remota era fondata
--- i due messaggi sono stati uniti ---
Comunque non mi hai risposto alla domanda, è una cosa che dovrebbe esserci?

Win 10 o 11? Home o professional?

 

[Eren88]

Vi volevo far vedere le cose strane che mi uscivano almeno fino ad ora, così mi dite se l'ipotesi visualizzazione remota era fondata
--- i due messaggi sono stati uniti ---
Comunque non mi hai risposto alla domanda, è una cosa che dovrebbe esserci?

Ma se non sai nemmeno cos'è e se ce l'hai come fai a dire se ci sono cose strane o no?

 

[Liupen]

Cambia SSD, se vuoi NVMe Crucial P5 o WD SN750 minimo 1 TB

E' un m.2 sata quello che ha ora, non nvme.

Probabilmente devi solo fare un chkdsk /f /r .

Il disco in se non ha problemi da quello che si vede da Crystal disk.

.

Se lo da buono non ha neanche i pending che non sono visibili.

Non esageriamo.

.
--- i due messaggi sono stati uniti ---
Ha 13000 ore, neanche tante.

.

Non è detto anche se poi l'utente non ha pubblicato la schermata completa dello smart.
13000 ore possono non sembrarti tante, ma sono le scritture da vedere e in questo ssd da 250GB sono stati scritti ca 266 TB, anche se è un MLC ha scritto oltre 1000 volte la sua capacità.

Inoltre non tutti i parametri sono ok,
187 BB Reported Uncorrectable Errors riporta 4D cioè 77
indica un numero di errori che non è stato possibile ripristinare utilizzando l'ECC hardware (codice di correzione degli errori).
Sebbene questo parametro non sia considerato critico dalla maggior parte dei fornitori di hardware, il degrado di questo parametro può indicare problemi, qualora associato, come in questo caso a frequenti errori rilevati sul file system.

Certo è da approfondire, ma, vecchio o usato assai, sono aggettivi che definiscono questo ssd.

 

[r3dl4nce]

E' un m.2 sata quello che ha ora, non nvme.

Grazie della correzione, talmente è surreale il thread che non ci avevo neppure fatto caso.

Comunque tranquillo che tanto pure il tuo messaggio preciso e impeccabile verrà ignorato dall'OP che continuerà a dare la colpa alla mafia, agli hacker, ai malware, ai portscan, a "inserire parola pseudo-tecnica a caso"

 

[cdtux]

Sono combattuto perché se copro l'IP perde valore probatorio, ma tanto ce l'ho io la foto
--- i due messaggi sono stati uniti ---
l'ho tolta
--- i due messaggi sono stati uniti ---
Quindi finitela di dire che sono malfunzionamenti Wind
--- i due messaggi sono stati uniti ---
Ciò che faccio si può vedere dai pacchetti beacon? Non so come funziona, dai pacchetti beacon so di per certo che si può rilevare una rete nascosta. Comunque dovrei usare la vpn di kaspersky fissa, anche se questo potrebbe insospettire chi mi sta attaccando e aumentare la tensione
--- i due messaggi sono stati uniti ---
Ah domanda...come mai non mi va in crash la rete? Merito di Kaspersky?

Lascia perdere il valore probatorio. Poi tuo ip è dinamico, quindi se spegni il router per 2-5minuti e lo riaccendi cambi indirizzo ip.
Il beacon non ha nessun significato, ne utilità, nel tuo contesto.
Non ti va in crash la rete perchè sono innocui warning, che se andiamo a vedere, hanno praticamente tutte le persone con un router connesso ad internet (posterei i miei log come esempio ma quella roba va su /dev/null senza passare dal via)

 

[r3dl4nce]

(posterei i miei log come esempio ma quella roba va su /dev/null senza passare dal via)

Tiè, giusto tentativi di accesso su SSH che tengo loggati, su un server cloud, immaginati i portscan che non arrivano

Aug 06 21:01:13 hostname sshd[1366481]: error: kex_exchange_identification: Connection closed by remote host
Aug 06 21:01:13 hostname sshd[1366481]: Connection closed by 198.235.24.44 port 53163
Aug 06 21:51:04 hostname sshd[1423511]: error: kex_exchange_identification: Connection closed by remote host
Aug 06 21:51:04 hostname sshd[1423511]: Connection closed by 47.74.96.31 port 61000
Aug 06 21:55:55 hostname sshd[1429691]: Connection closed by 68.102.69.1 port 47913 [preauth]
Aug 06 22:06:03 hostname sshd[1441569]: Invalid user ubnt from 68.102.69.1 port 48224
Aug 06 22:06:03 hostname sshd[1441569]: pam_unix(sshd:auth): check pass; user unknown
Aug 06 22:06:03 hostname sshd[1441569]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=68.102.69.1
Aug 06 22:06:05 hostname sshd[1441569]: Failed password for invalid user ubnt from 68.102.69.1 port 48224 ssh2
Aug 06 22:06:06 hostname sshd[1441569]: Received disconnect from 68.102.69.1 port 48224:11: Bye Bye [preauth]
Aug 06 22:06:06 hostname sshd[1441569]: Disconnected from invalid user ubnt 68.102.69.1 port 48224 [preauth]
Aug 06 22:10:16 hostname sshd[1446505]: error: kex_exchange_identification: client sent invalid protocol identifier "MGLNDD_XX.YY.ZZ.WW_22"
Aug 06 22:10:16 hostname sshd[1446505]: banner exchange: Connection from 138.68.208.10 port 48280: invalid format
Aug 06 22:57:15 hostname sshd[1500199]: Invalid user  from 45.129.14.51 port 43946
Aug 06 22:57:25 hostname sshd[1500199]: Connection closed by invalid user  45.129.14.51 port 43946 [preauth]
Aug 06 23:24:54 hostname sshd[1531828]: error: kex_exchange_identification: client sent invalid protocol identifier "MGLNDD_XX.YY.ZZ.WW_22"
Aug 06 23:24:54 hostname sshd[1531828]: banner exchange: Connection from 198.199.110.8 port 44960: invalid format
Aug 07 00:56:55 hostname sshd[1637047]: error: kex_exchange_identification: Connection closed by remote host
Aug 07 00:56:55 hostname sshd[1637047]: Connection closed by 104.248.153.128 port 49910
Aug 07 00:56:56 hostname sshd[1637048]: Invalid user pi from 104.248.153.128 port 49914
Aug 07 00:56:56 hostname sshd[1637048]: pam_unix(sshd:auth): check pass; user unknown
Aug 07 00:56:56 hostname sshd[1637048]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=104.248.153.128
Aug 07 00:56:58 hostname sshd[1637048]: Failed password for invalid user pi from 104.248.153.128 port 49914 ssh2
Aug 07 00:57:00 hostname sshd[1637048]: Connection closed by invalid user pi 104.248.153.128 port 49914 [preauth]
Aug 07 00:57:01 hostname sshd[1637168]: Invalid user fa from 104.248.153.128 port 49922
Aug 07 00:57:01 hostname sshd[1637168]: pam_unix(sshd:auth): check pass; user unknown
Aug 07 00:57:01 hostname sshd[1637168]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=104.248.153.128
Aug 07 00:57:03 hostname sshd[1637168]: Failed password for invalid user fa from 104.248.153.128 port 49922 ssh2
Aug 07 00:57:03 hostname sshd[1637168]: Connection closed by invalid user fa 104.248.153.128 port 49922 [preauth]
Aug 07 00:57:05 hostname sshd[1637230]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=104.248.153.128  user=us$
Aug 07 00:57:07 hostname sshd[1637230]: Failed password for user from 104.248.153.128 port 49928 ssh2
Aug 07 00:58:11 hostname sshd[1638534]: error: kex_exchange_identification: Connection closed by remote host
Aug 07 00:58:11 hostname sshd[1638534]: Connection closed by 185.161.248.87 port 64001
Aug 07 01:01:44 hostname sshd[1642581]: error: kex_exchange_identification: client sent invalid protocol identifier "MGLNDD_XX.YY.ZZ.WW_22"
Aug 07 01:01:44 hostname sshd[1642581]: banner exchange: Connection from 192.241.224.50 port 33284: invalid format
Aug 07 01:48:41 hostname sshd[1696216]: error: kex_exchange_identification: Connection closed by remote host
Aug 07 01:48:41 hostname sshd[1696216]: Connection closed by 165.154.17.232 port 56942
Aug 07 01:48:42 hostname sshd[1696238]: Invalid user pi from 165.154.17.232 port 56944
Aug 07 01:48:43 hostname sshd[1696238]: pam_unix(sshd:auth): check pass; user unknown
Aug 07 01:48:43 hostname sshd[1696238]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=165.154.17.232
Aug 07 01:48:45 hostname sshd[1696238]: Failed password for invalid user pi from 165.154.17.232 port 56944 ssh2
Aug 07 01:48:46 hostname sshd[1696238]: Connection closed by invalid user pi 165.154.17.232 port 56944 [preauth]
Aug 07 01:48:48 hostname sshd[1696330]: Invalid user fa from 165.154.17.232 port 56964
Aug 07 01:48:48 hostname sshd[1696330]: pam_unix(sshd:auth): check pass; user unknown
Aug 07 01:48:48 hostname sshd[1696330]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=165.154.17.232
Aug 07 01:48:50 hostname sshd[1696330]: Failed password for invalid user fa from 165.154.17.232 port 56964 ssh2
Aug 07 01:48:51 hostname sshd[1696330]: Connection closed by invalid user fa 165.154.17.232 port 56964 [preauth]
Aug 07 01:48:53 hostname sshd[1696426]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=165.154.17.232  user=user
Aug 07 01:48:55 hostname sshd[1696426]: Failed password for user from 165.154.17.232 port 57342 ssh2
Aug 07 01:57:44 hostname sshd[1706582]: error: kex_exchange_identification: Connection closed by remote host
Aug 07 01:57:44 hostname sshd[1706582]: Connection closed by 178.128.214.3 port 51622
Aug 07 01:57:45 hostname sshd[1706598]: Invalid user pi from 178.128.214.3 port 55028
Aug 07 01:57:45 hostname sshd[1706598]: pam_unix(sshd:auth): check pass; user unknown
Aug 07 01:57:45 hostname sshd[1706598]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.128.214.3
Aug 07 01:57:48 hostname sshd[1706598]: Failed password for invalid user pi from 178.128.214.3 port 55028 ssh2
Aug 07 01:57:49 hostname sshd[1706598]: Connection closed by invalid user pi 178.128.214.3 port 55028 [preauth]
Aug 07 01:57:51 hostname sshd[1706675]: Invalid user fa from 178.128.214.3 port 51552
Aug 07 01:57:51 hostname sshd[1706675]: pam_unix(sshd:auth): check pass; user unknown
Aug 07 01:57:51 hostname sshd[1706675]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.128.214.3
Aug 07 01:57:53 hostname sshd[1706675]: Failed password for invalid user fa from 178.128.214.3 port 51552 ssh2
Aug 07 01:57:53 hostname sshd[1706675]: Connection closed by invalid user fa 178.128.214.3 port 51552 [preauth]
Aug 07 01:57:54 hostname sshd[1706774]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.128.214.3  user=user
Aug 07 01:57:57 hostname sshd[1706774]: Failed password for user from 178.128.214.3 port 54094 ssh2

Ommieeidddei mi stanno hacckerrando il server, cosa posso fare, aiutooooooo!

Spoiler

Status for the jail: sshd
|- Filter
|  |- Currently failed: 11
|  |- Total failed:     1821
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 27
   |- Total banned:     310
   `- Banned IP list:   170.64.179.117 118.195.236.27 104.248.153.128 165.154.17.232 178.128.214.3 121.179.69.134 45.168.176.34 103.146.141.221 71.175.56.100 185.80.43.181 134.209.30.76 139.59.236.94 185.217.1.246 175.209.20.52 110.170.38.34 148.113.6.177 193.169.255.233 45.95.146.114 176.113.115.210 170.64.179.134 24.56.197.103 15.204.226.212 119.196.119.51 185.247.226.167 124.222.19.142 69.167.167.177 81.71.1.242

Tutti gli IP su internet sono vittime di scansioni automatizzate, tentativi di intrusione, ecc, tutti i router casalinghi hanno porte chiuse dall'esterno, idem i server online gestiti da gente con un paio di neuroni attivi, quindi questi avvisi sono praticamente da ignorare...


Certo, se si accede alla gestione di un apparato router con firewall integrato sarebbe bene sapere cosa si va a leggere e soprattutto CAPIRE e INTERPRETARE, ma non tutti sono dotati delle conoscenze tecniche e in alcuni casi proprio della capacità di comprensione del testo...