Salve, dopo aver parlato con un po' di esperi del setore, credo dia ver capito l'esatta origine degli strani pacchetti provenienti da Internet con soregente 127.0.0.1 Dunque un PC infetto ha chiesto al DNS di risolvere il nome windowsupdate.com e qualche incosciente a configurato il suo DNS per rispondere 127.0.0.1 A questo punto il PC infetto forgia dei pacchetti così fatti: IP Sorgente: i primi due ottetti uguali a quelli del PC infetto, gli altri due random porta fra 1000 e 1999 IP destinazione 127.0.0.1 porta 80 Tale pacchetto viene spedito in rete dal virus stesso, ma il primo apparato di rete che lo riceve non può che rispondere picche e riponde all'IP sorgente che trova nel pacchetto. Ecco da dove arrivano i pacchetti che si vedono. Sicuramente dal 26 agosto c'è un PC infetto con IP 80.105.x.y Tutti i PC sulla rete 80.105/16 (Interbusiness) ricevono pacchetti come quelli in oggetto. Per scoprire chi è bisognerebbe fare uno scan della rete e cercare quali PC hanno le porte in uso dal virus aperte, ma senza essere autorizzati non è un'operazione molto sana. Mi resta da capire perché tali pacchetti li vede snort e non iptables. -- Gelpi ing. Andrea **************************** * Landmine must be stopped. **************************** -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx