[Pluto-security] Lame server

Stefano Callegari stefano at omniluxlighting.it
Thu Mar 20 17:05:34 CET 2003


Il 20mar 15:24, Fabio Panigatti <ml-panigatti at minerprint.it> scrisse:
> > '[mio user].wfix.com' (in 'wfix.com'?): 66.115.177.6#53
> ...
> > Da quanto (quel poco che) ho capito non è un mio problema ma
> > dell'amministratore di wfix.com e non dovrei aver alcun guaio (tanto è
> > vero che è prevista una opzione per eliminare il log).
> 
> Il problema a livello di dns e' di chi gestisce il dominio wfix.com.

Questo lo avevo inteso :-)

> 
> Il problema a livello di trojan e' tuo, perche' e' un tuo utente che
> se l'e' beccato. Probabilmente [mio user] e' in realta' [nomenetbios
> di una mia macchina], o no? Be'... escludi lei e cerca sulle altre i
> segni di uno spyware o trojan che modifica alcune impostazioni di ie

Ma guarda un po', senza aver specificato il s.o. della macchina ci hai
azzeccato :-( . Gia, "mio user" è il nome di una macchina XP.

> e cambia il suffisso di default della connessione tcp in wfix.com (o
> sfux.com o idhh.com o...). Lo spyware e' fuori da un po' di tempo ma
> la modifica del suffisso dns non e' documentata. Puo' essere qualche

Non trattando win da un po' di tempo :-), non ne ero assolutamente
informato (non girano schifezze del genere nelle ML che bazzico ;-) ).

> recente variante. C'e' un thread sulla ml di sikurezza.org che quasi
> sicuramente riguarda lo stesso problema: cerca tra i post di oggi il
> subject "Parametro Tcpip modificato da spyware".

Ho controllato e sembra (a parte il motivo che ha fatto venir fuori il
problema) proprio il mio caso: anche il mio wfix.com ha a che fare con
lop.com (non ho capito ma sembra centrare anche una  TUCOWS, INC).

Adesso devo avvertire chi ha la manutenzione dei client win (io mi
occupo solo del serverino linux) per trovare una soluzione.

Certo che il server è su solo da sabato e ha gia declassato l'antivirus
su XP (mi pare Norton).

> Hai avuto quel messaggio relativo a quella query a causa del modo in
> cui windows affronta la risoluzione dei nomi host lanmanager.
> 

Grazie e ciao
-- 
Stefano Callegari <stefano at omniluxlighting.it>
Omnilux Srl
Via Frassanedo, 2 - I 35020 Villatora di Saonara (PD)
+39 049 8792281


More information about the pluto-security mailing list