Bloccare intrusioni e attacchi Hacker TCP IP alle porte PID

Affrontiamo adesso questo argomento di sicuro interesse, ossia verifichiamo se nel nostro computer ci sono state delle intrusioni e impariamo quindi a proteggere il nostro PC da eventuali accessi non desiderate dalla rete, insomma delle intrusioni. Lo affrontiamo proprio oggi questo argomento in quanto è notizia di qualche ora fa che il blog di Beppe Grillo ha sospeso le quirinarie a causa di attacchi Haker. Ma prima di cominciare cosa è un haker? Definizione avvolte abbastanza nebulosa, prendiamo per questo la definizione di wikipedia.

è una persona che si impegna nell’affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte, non limitatamente ai suoi ambiti d’interesse (che di solito comprendono l’informatica o l’ingegneria elettronica), ma in tutti gli aspetti della sua vita.
Per dirvela una la prima definizione italiana di Hacker è stata smanettone, ossia colui che smanettava col computer. Quindi in primis un hacker non è necessariamente un criminale informatico, ossia colui che entra nel vostro sistema operativo per arrecarvi un danno informatico. Costoro si chiamano cracker.

Vediamo come cominciare, iniziamo a digitare il comando netstat nel prompt dei comandi riceverete le connessione attive in quel momento nel vostro pc, otterrete qualcosa del tipo

Protocollo Indirizzo locale Indirizzo esterno Stato PID
TCP 0.0.0.0:123 0.0.0.0:0 LISTENING 944
TCP 0.0.0.0:160 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:225 0.0.0.0:0 LISTENING 1016
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1016
TCP 81.168.121.133:3066 207.68.178.16:80 CLOSE_WAIT 1416
TCP 142.228.121.155:3067 195.141.86.81:80 CLOSE_WAIT 1416
Vediamo un attimo il significato vediamo che la porta 123 risulta aperta in ascolto (listening). Notiamo che la risorsa 81.168.121.133 sulla porta 3066 è in attesa di chiusra con la risora esterna 207.68.178 sulla porta 80 e cosi’ via.
A questo punto per verificare l’effettiva corrispondenza della porta utilizzata andate alla pagina web http://www.securitystats.com/tools/portsearch.php

E se notate una connessione di cui non riuscite a comprendere l’utilizzo scaricate il tool gratuito FPORT al momento disponibile qui http://www.foundstone.com/resources/termsofuse.htm?file=fport.zip, è un programma molto piccolo eseguitelo , magari potrete ricevedere qualche avviso dal vostro firewall, ma si tratta di un falso allarme. Otterrete qualcosa del genere
Pid Process Port Proto Path
944 svchost >> 123 TCP C:\WINDOWS\system32\svchost.exe
4 System >> 160 TCP
4 System >> 445 TCP
Dove
Process: è il processo che utilizza la porta di comunicazione in questione
Port: la porta utilizzata appunto dal processo Process
Path: dove è localizzata la risorsa all’interno del vostro programma

A questo punto nel caso che la risorsa sia svchost è ovviamente un normalissimo processo che non desta preoccupazione, se invece risulta essere un processo che non conoscete , che non avete installato, e che magari andando a ricercare sul web vedete che potrebbe essere un potenziale virus, i passi da fare sono i seguenti.

• Staccate la connessione internet
• CTRL + ALT + CANC andate in processi e cancellate il processo
• Se non lo avete mettete zone allarm magari con antivirus e rincontrallate il sistema facendogli fare almeno una scansione completa con internet disattivato
• Andate al seguente indirizzo http://ns.do-ga.net/Sygate/Sygate.htm e verificate che tutte le porte siano chiuse.
• Nel caso abbiate ancora dei sospetti vi consigliamo di scaricarvi uno dei tantissimi sniffer presenti open source in rete , in modo tale da tenere traccia tramite i log dei vostri collegamenti.
• Come antivirus vi consigliamo caldamente AVAST e se volete fare un investimento intelligente compratene la versione a pagamento. In ogni modo Zone Firewall + Avast è già un’ottima combinazione. Oltretutto Zone Allarm nella versione gratuita adesso offre anche la protezione dei dati.