Anunţ

Caută printre mesajele de pe forum înainte de a scrie unul nou!
Formulează corect întrebarea sau problema pe care o ai.
Respectă regulile forumului și Codul de Conduită!

#1 09 Jan 2011 18:39:29

Malakai Derek
Membru
Înregistrat: 08 Mar 2010
Mesaje: 42

[Rezolvat] Conectiune automata la o adresa ip externa.

Salut.

Am si eu o mica problema si am decis sa postez aici deoarece cred ca este o problema de securitate.
Am observat in ultimele cateva zile ca desktopul meu se conecta automat la o adresa ip, adica nici un program ce ar putea accesa internetul ( de genul firefox, pidgin ... ) nu ruleaza insa conectiunea exista. Aceasta adresa ip este 81.196.26.144 si conectiunea se realizeaza la aprindere si la interval de timp aleatoriu. Am observat conectiunea asta prin conky care imi arata primele 3 conectiuni active si aceasta adresa se afla mereu pe primul loc.
Am facut un IP Lookup si am gasit urmatoarele informatii :

Cod:

Hostname: 81.196.26.144
ISP: Romania Data Systems
Organization: Romania Data Systems
Proxy: None detected
Type:     Broadband
Assignment: Static IP

Country: Romania
State/Region:
City:
Latitude: 46
Longitude: 25
Area Code:    
Postal Code:

Si pe o harta google am ip-ul amplasat undeva pe langa Fagaras.

Am facut si un WHOIS cu urmatoarele informatii :

Cod:

Using 1 day old cached answer (or, you can get fresh results).
Hiding E-mail address (you can get results with the E-mail address).

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Information related to '81.196.0.0 - 81.196.255.255'

inetnum:        81.196.0.0 - 81.196.255.255
org:            ORG-RA18-RIPE
admin-c:        CN19-RIPE
netname:        RO-RDS-20020815
descr:          RCS & RDS SA
country:        RO
tech-c:         RDS-RIPE
status:         ALLOCATED PA
notify:         *********@rdsnet.ro
mnt-by:         RIPE-NCC-HM-MNT
mnt-lower:      AS8708-MNT
mnt-routes:     AS8708-MNT
changed:        **********@ripe.net 20020815
changed:        **********@ripe.net 20050516
changed:        **********@ripe.net 20051206
source:         RIPE

organisation:   ORG-RA18-RIPE
org-name:       RCS & RDS SA
org-type:       LIR
address:        Romania Data Systems SA
                Ciprian Nica
                Forum 2000 Building
                71-75 Dr. Staicovici
                050557 Bucharest
                Romania
phone:          +40 21 301 0850
phone:          +40 31 400 4243
fax-no:         +40 31 400 4207
e-mail:         ************@rcs-rds.ro
admin-c:        CN19-RIPE
mnt-ref:        AS8708-MNT
mnt-ref:        RIPE-NCC-HM-MNT
mnt-by:         RIPE-NCC-HM-MNT
changed:        **********@ripe.net 20040415
changed:        *********@ripe.net 20051201
changed:        **********@ripe.net 20051206
changed:        *********@ripe.net 20051206
changed:        *********@ripe.net 20051206
changed:        *********@ripe.net 20051206
changed:        *********@ripe.net 20051222
changed:        *********@ripe.net 20060131
changed:        *********@ripe.net 20060227
changed:        *********@ripe.net 20060630
changed:        *********@ripe.net 20060630
changed:        *********@ripe.net 20060703
changed:        *********@ripe.net 20060713
changed:        *********@ripe.net 20060726
changed:        *********@ripe.net 20060728
changed:        *********@ripe.net 20061120
changed:        *********@ripe.net 20061130
changed:        *********@ripe.net 20061222
changed:        *********@ripe.net 20070123
changed:        *********@ripe.net 20070404
changed:        *********@ripe.net 20070404
changed:        *********@ripe.net 20070418
changed:        *********@ripe.net 20070418
changed:        *********@ripe.net 20070507
changed:        *********@ripe.net 20070522
changed:        *********@ripe.net 20070522
changed:        *********@ripe.net 20070522
changed:        *********@ripe.net 20070523
changed:        *********@ripe.net 20070524
changed:        *********@ripe.net 20070530
changed:        *********@ripe.net 20070813
changed:        *********@ripe.net 20080114
changed:        *********@ripe.net 20080121
source:         RIPE

role:           Romania Data Systems NOC
address:        71-75 Dr. Staicovici
address:        Bucharest / ROMANIA
phone:          +40 21 30 10 888
fax-no:         +40 21 30 10 892
e-mail:         ************@rdsnet.ro
abuse-mailbox:  *****@rcs-rds.ro
admin-c:        CN19-RIPE
admin-c:        VIG10-RIPE
tech-c:         CN19-RIPE
tech-c:         VIG10-RIPE
nic-hdl:        RDS-RIPE
notify:         ***********@rdsnet.ro
mnt-by:         AS8708-MNT
changed:        ************@rcs-rds.ro 20100222
remarks:        +--------------------------------------------------------------+
remarks:        |    ABUSE CONTACT: *****@rcs-rds.ro IN CASE OF HACK ATTACKS,  |
remarks:        |    ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC.    |
remarks:        | !! PLEASE DO NOT CONTACT OTHER PERSONS FOR THESE PROBLEMS !! |
remarks:        +--------------------------------------------------------------+
source:         RIPE

person:         Ciprian Nica
remarks:        IP Resources Manager
remarks:        Romania Data Systems
address:        Bucharest, Romania
phone:          + 40 31 400 42 43
e-mail:         ************@rcs-rds.ro
abuse-mailbox:  *****@rcs-rds.ro
remarks:        ------------------------------------------------
remarks:        | Please do not send me any abuse complaints.  |
remarks:        | Use *****@rcs-rds.ro for that or contact     |
remarks:        | your service provider or local authorities   |
remarks:        | !! DO NOT CALL ME REGARDING ABUSE ISSUES !!  |
remarks:        |   Please do not make an abouse yourself by   |
remarks:        |          disregarding this request !         |
remarks:        |   I WILL NOT HELP YOU WITH YOUR PROBLEM !    |
remarks:        ------------------------------------------------
nic-hdl:        CN19-RIPE
notify:         ************@rcs-rds.ro
mnt-by:         NIMACI-MNT
changed:        ************@rcs-rds.ro 20070815
source:         RIPE

% Information related to '81.196.0.0/16AS8708'

route:        81.196.0.0/16
descr:        RDSNET
origin:       AS8708
mnt-by:       AS8708-MNT
changed:      ***@rdsnet.ro 20020815
source:       RIPE


[The following lines added by www.dnsstuff.com per requirement by RIPE]
This service is subject to the terms and conditions stated in the RIPE NCC Database Copyright Notice.
Contact dnsstuff.com's 'info2@' address to report problems regarding the functionality of the service.

Am decis sa caut despre Ciprian Nica, cu idea ca poate o sa aflu mai multe dar rezultatele google nu imi dau decat o persoana politica, deci nu stiu daca exista o legatura. Dupa ce am mai cautat am dat de un post pe un blog unde persoana vorbea de spam-uri trimise prin ajutorul retelei RDS si avea acelas rezultat WHOIS; postul blogului este aici.

Ma ingrijoreaza faptul ca desktopul meu se conecteaza la o adresa externa fara voia mea si cum nu prea ma pricep asa bine la securitate ma gandesc sa nu fie vreo problema mare. Mai multe informatii nu stiu de unde sa iau... Sper ca cineva care se pricepe sa ma ajute sa rezolv problema asta.
PS : Am uitat sa precizez si poate este important, am ca ISP RDS, poate are vreo legatura desi n-ar trebui ca desktopul meu sa initieze vreo legatura decat la cererea mea.

Editat ultima oară de Malakai Derek (09 Jan 2011 21:37:22)

Offline

 

#2 09 Jan 2011 19:16:24

geosoft1
Membru
Locaţie: Râmnicu Vâlcea
Înregistrat: 21 Sep 2009
Mesaje: 2985

Re: [Rezolvat] Conectiune automata la o adresa ip externa.

astfel de investigatii se fac numai cu un analizor de retea...altfel e greu de spus daca si cum se conecteaza acel calculator sau daca altcineva se conecteaza la tine.


Daca raspunsul nu te multumeste, probabil nu ai pus intrebarea potrivita.
Registered linux user #542751

Offline

 

#3 09 Jan 2011 19:21:40

Laurentiu.Dragone
Membru
Locaţie: Targoviste
Înregistrat: 22 Apr 2010
Mesaje: 368

Re: [Rezolvat] Conectiune automata la o adresa ip externa.

Ai putea sa vezi ce porturi anume sunt deschise in momentul in care se efectueaza aceasta conexiune suspecta!

Cod:

sudo apt-get install nmap

*scaneaza-te

Cod:

nmap *ip-ul tau*

Dupa, cauta pe google, si vezi ce anume inseamna portul respectiv, ce anume poate iesi sau intra pe el!


----
HP G62-120SL - Intel Core i3-330M / 4 GB DDR3 / Intel HD Graphics / HDD: WD 500GiB Scorpio Black 7200rpm

It is the will to improve and help others! Ubuntu is forgetting the ME and remembering the WE

Offline

 

#4 09 Jan 2011 19:40:15

Malakai Derek
Membru
Înregistrat: 08 Mar 2010
Mesaje: 42

Re: [Rezolvat] Conectiune automata la o adresa ip externa.

Am facut un nmap pe adresa locala si pe adresa de net si rezultatul este urmatorul :

Cod:

Starting Nmap 5.00 ( http://nmap.org ) at 2011-01-09 19:31 EET
All 1000 scanned ports on 192.168.1.2 are closed

Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds

Pentru adresa locala 192.168.1.2 si

Cod:

Starting Nmap 5.00 ( http://nmap.org ) at 2011-01-09 19:27 EET
Interesting ports on xx-xxx-xx-xxx.rdsnet.ro (xx.xxx.xx.xxx):
Not shown: 998 closed ports
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 1.43 seconds

Pentru adresa internet pe care am ascuns-o cu xx.xxx.xx.xxx

Deci pe desktopul meu nu am nici un port deschis si pe router am porturile 80 ( http ) si 443 ( https ) care nu cred ca ar avea vreo legatura, acestea fiind folosite pentru administrarea routerului, plus ca nmap pentru adresa externa a fost realizat de pe desktop de acea cred ca avea aceste 2 porturi deschise.

Alte idei?

Offline

 

#5 09 Jan 2011 19:55:02

xCs
Membru
Locaţie: Iaşi, România
Înregistrat: 09 Apr 2007
Mesaje: 1181
Site web

Re: [Rezolvat] Conectiune automata la o adresa ip externa.

Și după ce dai reset la conexiune -> iei un IP nou de la RDS tot este conectat la tine ?
Descrie mai exact această conexiune ... are acces VNC / TeamViewer ... ai vreun port liber ?
Folosești clienți de p2p ?


Vă rog evitaţi a-mi trimite mesaje pe forum ... verific adresa de email afiliată incredibil de rar ...

Semnat : un român care a început să se jeneze de ceva timp cu apartenenţa la un popor în continuă degenerare morală, intelectuală şi spirituală ...

Offline

 

#6 09 Jan 2011 20:00:34

Ulver
Membru
Locaţie: București
Înregistrat: 17 Nov 2007
Mesaje: 609

Re: [Rezolvat] Conectiune automata la o adresa ip externa.

Probabil pe serverul ăla e un site pe care l-ai vizitat.
Dacă vrei să fii precis, fă o captură cu Wireshark și pune-o aici, dacă nu te lămurește.
EDIT:

Cod:

PORT    STATE SERVICE  VERSION
80/tcp  open  http     AkamaiGHost (Akamai's HTTP Acceleration/Mirror service)

E un server din CDN; cred că într-adevăr e vorba de un site pe care l-ai vizitat.

Editat ultima oară de Ulver (09 Jan 2011 20:04:16)

Offline

 

#7 09 Jan 2011 20:39:26

Malakai Derek
Membru
Înregistrat: 08 Mar 2010
Mesaje: 42

Re: [Rezolvat] Conectiune automata la o adresa ip externa.

Și după ce dai reset la conexiune -> iei un IP nou de la RDS tot este conectat la tine ?
Descrie mai exact această conexiune ... are acces VNC / TeamViewer ... ai vreun port liber ?
Folosești clienți de p2p ?

Cred ca mai degraba ma conectez eu la el decat el la mine deoarece legatura este initializata de desktopul meu. Si da, se intampla si cand schimb adresa ip. Deci nu are treaba cu VNC sau altceva, si P2P sau orice alt program ce poate accesa internetu nu este deschis.

Probabil pe serverul ăla e un site pe care l-ai vizitat.

Se poate dar nu inteleg de ce conectiunea se stabileste si cand nu am browser-ul deschis. Cateodata las desktopul aprins dar nu ma ating de el o perioada de timp dupa care observ aceasta adresa ip in conky, initial nefiind nici o adresa acolo.

E un server din CDN; cred că într-adevăr e vorba de un site pe care l-ai vizitat.

Adica CDN?

Offline

 

#8 09 Jan 2011 21:12:05

Ulver
Membru
Locaţie: București
Înregistrat: 17 Nov 2007
Mesaje: 609

Re: [Rezolvat] Conectiune automata la o adresa ip externa.

CDN
Incearcă

Cod:

netstat -antup | grep 81.196.26.144

La 'state' vezi dacă e încă activă și la sfârșit trebuie să-ți zică și programul care a făcut conexiunea.

Offline

 

#9 09 Jan 2011 21:36:44

Malakai Derek
Membru
Înregistrat: 08 Mar 2010
Mesaje: 42

Re: [Rezolvat] Conectiune automata la o adresa ip externa.

Cred ca am rezolvat problema.
Am facut netstat -antup | grep 81.196.26.144 si am avut raspunsul urmator :

Cod:

tcp        1      0 192.168.1.2:36817       81.196.26.144:80        CLOSE_WAIT  1880/clock-applet

Deci s-ar parea ca clock-applet face aceasta conectiune la serverul acesta pentru a cunoasta temperatura ca altceva nu vad din partea clock-applet.
Mersi Ulver, acum stau mai linistit.

Offline

 
Feed

Antet forum

Powered by FluxBB