Linea sospesa per abusi

omarabd · 2021-06-05T09:03:35+00:00

Ciao a tutti, come da titolo a quanto pare TIM mi ha bloccato la linea fissa. Ho chiamato il 187 piu volte ma nessuno sa darmi informazioni al riguardo. Sol...

[cancellato]

[cancellato] Ho letta la risposta dell'Abuse: la mia interpretazione è che su base nome di dominio (quindi il DDNS in questo caso) sia stato rilevato un tool malevolo (botnet & co.), il ché è in effetti più verosimile come motivazione.

Resta la mia sorpresa sull'alto livello di proattività dell'Abuse TIM ma ben venga...

omarabd

[cancellato] oggi provvedo a scansionare tutti i dispositivi.. vediamo se trovo qualcosa

[cancellato]

[cancellato] Ok mi è più chiaro ora. "L'abuso" rilevato deriva da qualche apparato all'interno della rete dell'OP quindi.
Caso interessante devo dire, soprattutto, come dice @[cancellato], resto stupito della velocità di intervento (e di risposta) di TIM.
Sono curioso di sapere se @omarabd trova qualche suo dispositivo compromesso.

ErBlask

[cancellato] Resta la mia sorpresa sull'alto livello di proattività dell'Abuse TIM ma ben venga...

Forse TIM come al solito vuole avere l'esclusiva anche in questo campo 😄 visto l'evolversi delle cose...
https://temi.camera.it/leg18/temi/sicurezza_cybernetica.html
ovviamente da far pagare come al solito ai suoi utenti in bolletta 😅

Comunque come giustamente detto Ben Venga da parte dei Provider l'interessamento alla sicurezza.
(oggi come oggi in rete persistono più Virus che serie televisive tipo Biutiful... 😂 per volume di dati)

juststupid

Quello che mi lascia senza parole è sempre il modo di procedere. Prima di sospendere una linea dovrebbero contattare il cliente via mail o cellulare o ancor meglio attivate un redirect della navigazione verso una pagina web che spiega cosa stia succedendo e chi contattare in modo da essere chiari verso il cliente e non farlo ammattire.

[cancellato]

juststupid Ottima considerazione, suggeriscilo a TIM.

LucaTheHacker

juststupid In realtà è come circa tutti gestiscono gli abuse, anche sui server, in tantissimi casi, funziona che ti tirano giù il server e poi devi discuterne col tuo hosting.

Molti non lo fanno e ti lasciano la notifica dell'abuse a cui rispondere entro x ore, ma se la roba è seria tirano giù anche loro.

Strano che tim abbia preso provvedimenti

vic3000

[cancellato] Ottima considerazione, suggeriscilo a TIM.

basterebbe avere un insider 😉

ErnyTech

omarabd Potresti condividere il nome di questo DDNS?

omarabd

Nella mail arrivata da TIM è indicato questo link : https://www.virustotal.com/gui/file/4059fea324e27cfbd4955f37dc7791709dbf35a800449373c6715bc53b88f7c5/detection
Mi pare di capire che si tratti di un virus presente in un dispositivo della mia rete?
Ho fatto scansioni con Defender, AVG e Avast per ora ma non ho trovato minacce.. Intanto ho cambiato il DDNS per scrupolo ma più di così non so che fare.
@ErnyTech vecchio DDNS era amene.homepc.it ora lo ho tolto.

RobertoMattioli

omarabd Mi pare di capire che si tratti di un virus presente in un dispositivo della mia rete?

Non conosco bene come funziona VirusTotal, comunque il link porta ad un eseguibile Windows, quindi se è, è un sistema Windows (il che lascia fuori dispositivi IoT e comunque sistemi non Windows).

Di interesse anche:

https://www.virustotal.com/gui/file/4059fea324e27cfbd4955f37dc7791709dbf35a800449373c6715bc53b88f7c5/behavior/VirusTotal%20Josebox

e https://www.virustotal.com/gui/domain/amene.homepc.it/detection

oltre a: https://www.virustotal.com/graph/4059fea324e27cfbd4955f37dc7791709dbf35a800449373c6715bc53b88f7c5

ErnyTech

omarabd scusa ma amene.homepc.it era associato alla tua rete no? homepc.it è il nome del sevizio DDNS mentre amene è associato a te?

omarabd

ErnyTech si lo avevo creato anni fa quando usavo un router asus mi pare e me lo sono portato avanti da allora.

RobertoMattioli Infatti ho fatto scansionare anche il NAS (linux) per sicurezza ma ovviamente 0 anche lì.

Praticamente per ora ho cambiato solo il DDNS non avendo trovato virus sui pc…
Magari devo scansionare con altri antivirus? Mi sembra strano comunque che questi 3 non abbiano trovato nulla.

RobertoMattioli

omarabd Come ho scritto non conosco bene come funziona VirusTotal, potresti anche essere "vittima di fuoco amico", io comunque non mi preoccuperei più di tanto.

Noi sul lavoro, in casi sospetti usiamo Norton Power Eraser: https://buy-download.norton.com/downloads/premium_services/NPE/6.0/prod/NPE.exe

Si tratta di un tool gratuito, un altro strumento che ci ha dato soddisfazioni è: https://www.trendmicro.com/it_it/forHome/products/housecall.html ed anche qui puoi fare una scansione gratuita.

Non è richiesta installazione, per entrambi.

Se anche da questi strumenti non viene fuori nulla, io mi butterei alle spalle questa brutta esperienza e vivrei felice 😆

beastlukas

omarabd Magari devo scansionare con altri antivirus?

Ti suggerisco Malwarebytes, la versione free non ha la protezione in tempo reale ma a te basta la scansione manuale (in questo caso).

ErnyTech

omarabd io ho paura che ci sia un malware installato nel pc che usa la tua rete per attività poco lecite

Dark-Vex

@omarabd hai per caso UPNP attivo sul router e/o hai il NAS (o altri dispositivi) che espongono la porta 80 su internet? Dal report di VirusTotal sembra che il tuo IP stesse esponendo qualcosa sulla porta 80.

Il tuo precedente DDNS vedo che è stato riportato anche qui:
https://twitter.com/y0sh1mitsu/status/1399372780227997698

Sul NAS prova a lanciare:

find / -iname c2.php

omarabd

Dark-Vex si upnp è attivo sia sul NAS che sul router, dopo provo e ti dico

gandalf2016

Dark-Vex UPNP se si potesse distruggere saremmo tutti più contenti, i gamer forse no

handymenny

omarabd io al posto tuo blinderei tutto fin quando non salta fuori cosa è successo.. Apparentemente tu esponevi servizi usati da hacker nord coreani, non so se hai compreso la gravità della situazione

Per blindare intendo tutte le porte chiuse sul router, niente DMZ, niente DDNS e niente UPNP. Sarebbe utile anche cambiarlo proprio il router, se c'è un rootkit nascosto lì è difficile da debellare

Dark-Vex

ErnyTech io punto sul NAS, se vedi il mio precedente post con il link a Twitter sembrerebbe che dalla sua connessione stesse ospitando un server della botnet

[cancellato]

handymenny Concordo blinda tutto per almeno 1 mese tutto chiuso dall esterno.

P.s. Non esporre mai apparati casalinghi su porta 80

[cancellato]

Più che avere l'eseguibile Windows sembra che il sistema sia contattato dall'eseguibile. Cosa hai o avevi mappato sulla porta 80? Dal tweet sembra che sia stato compromesso o installato un web server lì. Quella macchina è compromessa e andrebbe piallata e rifatta. Poi c'è da verificare se hanno cercato persistenza sulla tua rete.

[cancellato] P.s. Non esporre mai apparati casalinghi su porta 80

Porta 80, 443 o quello che vuoi non cambia nulla - se sei vulnerabile lo sei anche in HTTPS o qualsiasi altra porta. La porta 80 e 443 sono comunque target più pregiati perché difficilmente bloccate da qualsiasi firewall.

Più che altro non esporre servizi casalinghi se non si è molto consci delle implicazioni e come proteggerli adeguatamente.

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile