Discussione:
Chi cerca di accedere a internet ?
(troppo vecchio per rispondere)
Pagano
2024-08-26 20:35:14 UTC
Permalink
Un saluto a tutti.
Ho già postato sul NG di Windows 10, ma probabilmente non era il NG
giusto in quanto nessuno ha risposto.
Ripropongo il quesito qui sperando di avere maggior fortuna.

Premessa :

Dalla mia rete domestica accedo a internet tramite un Fritz!Box-7590 con
connessione FTTC 200.
Il 7590 per default blocca i tentativi di accesso dalla rete domestica
ai siti internet se viene digitato l'indirizzo IP del sito da
raggiungere, cosa che invece non succede se si digita il nome del sito
stesso, e di tale blocco viene tenuta traccia nel file di eventi di
sistema del 7590.
Esempio :
- se nel browser si inserisce " www.google.it " si apre correttamente la
pagina del sito Google
- se nel browser si inserisce " 216.58.205.35 " compare un messaggio di
blocco di accesso generato dal 7590

Dal file di eventi di sistema del 7590, risulta che vengono bloccati
diversi tentativi di connessione ad alcuni indirizzi IP (
95.140.132.XXX ).
Confrontando date ed ora degli eventi di blocco con l'utilizzo dei vari
PC di casa, tali richieste di connessione risultano generate da uno dei
PC su cui è installato Windows 10 ( licenza regolare ).

Dato che nessuno utilizzando quel PC cerca intenzionalmente di
raggiungere gli indirizzi IP in questione, presumo che i tentativi
bloccati siano da attribuire a qualche applicazione in esso installata
che agisce " autonomamente ".

La domanda è : come si può capire quale applicazione genera questi
tentativi di
connessione ?

Ringrazio anticipatamente chi potrà fornirmi suggerimenti.
Silvano
2024-08-27 04:01:54 UTC
Permalink
Post by Pagano
Un saluto a tutti.
Ho già postato sul NG di Windows 10, ma probabilmente non era il NG
giusto in quanto nessuno ha risposto.
Ripropongo il quesito qui sperando di avere maggior fortuna.
Dalla mia rete domestica accedo a internet tramite un Fritz!Box-7590 con
connessione FTTC 200.
Il 7590 per default blocca i tentativi di accesso dalla rete domestica
ai siti internet se viene digitato l'indirizzo IP del sito da
raggiungere, cosa che invece non succede se si digita il nome del sito
stesso, e di tale blocco viene tenuta traccia nel file di eventi di
sistema del 7590.
- se nel browser si inserisce " www.google.it " si apre correttamente la
pagina del sito Google
- se nel browser si inserisce " 216.58.205.35 " compare un messaggio di
blocco di accesso generato dal 7590
Dal file di eventi di sistema del 7590, risulta che vengono bloccati
diversi tentativi di connessione ad alcuni indirizzi IP (
95.140.132.XXX ).
Confrontando date ed ora degli eventi di blocco con l'utilizzo dei vari
PC di casa, tali richieste di connessione risultano generate da uno dei
PC su cui è installato Windows 10 ( licenza regolare ).
Dato che nessuno utilizzando quel PC cerca intenzionalmente di
raggiungere gli indirizzi IP in questione, presumo che i tentativi
bloccati siano da attribuire a qualche applicazione in esso installata
che agisce " autonomamente ".
La domanda è : come si può capire quale applicazione genera questi
tentativi di
connessione ?
Ringrazio anticipatamente chi potrà fornirmi suggerimenti.
Non so rispondere, ma penso che invece di un NG ancora più generico di
quello di Windows 10 dovresti cercare un NG o un forum più
specialistico, p. es. uno dedicato ai router, ancora meglio ai
Fritz!Box, o al browser che usi per accedere a Internet.

Il file di eventi del sistema e l'antivirus su quel PC non dicono quali
programmi vogliono connettersi a Internet senza un tuo ordine di
connettersi?
Pagano
2024-08-27 14:17:20 UTC
Permalink
Post by Silvano
Il file di eventi del sistema e l'antivirus su quel PC non dicono quali
programmi vogliono connettersi a Internet senza un tuo ordine di
connettersi?
Purtroppo no e neppure il log file del 7590.
Guglielmo
2024-08-27 06:19:00 UTC
Permalink
La domanda è : come si può capire quale applicazione genera questi tentativi
di
connessione ?
Prova con

netstat -abn
Guglielmo
2024-08-27 06:43:33 UTC
Permalink
Post by Guglielmo
Post by Pagano
La domanda è : come si può capire quale applicazione genera questi
tentativi di
connessione ?
Prova con
netstat -abn
Se ti dovesse dar fastidio o non ti ritieni a tuo agio nella semplice
visualizzazione del prompt, Nirsoft ha due storiche utility che possono
aiutarti con la rappresentazione grafica:

http://www.nirsoft.net/utils/network_traffic_view.html

http://www.nirsoft.net/utils/tcp_log_view.html
Pagano
2024-08-27 14:15:23 UTC
Permalink
Post by Guglielmo
Post by Guglielmo
Post by Pagano
La domanda è : come si può capire quale applicazione genera questi
tentativi di
connessione ?
Prova con
netstat -abn
Se ti dovesse dar fastidio o non ti ritieni a tuo agio nella semplice
visualizzazione del prompt, Nirsoft ha due storiche utility che
http://www.nirsoft.net/utils/network_traffic_view.html
http://www.nirsoft.net/utils/tcp_log_view.html
Grazie dei riscontri.
Ho scaricato ed avviato TcpLogView che ha registrato un tentativo di
connessione " autonoma " ad uno degli indirizzi IP, e riporto di seguito
quanto indicato da TcpLogView nel relativo file di log come Proprietà
della connessione in questione :
==================================================
Data/ora evento : 27/08/2024 11:40:16
Tipo evento : Apri
Indirizzo locale : 192.168.178.25
Indirizzo remoto : 95.140.132.163
Nome host remoto :
Porta locale : 60707
Porta remota : 80
ID processo : 2796
Nome processo : svchost.exe
Percorso processo : svchost.exe
Utente processo :
Nazione IP remoto :
==================================================
Da quel che ho capito cercando di documentarmi, " svchost.exe " è un
processo di sistema generico di Windows e come tale non identifica
l'applicazione che ha generato il tentativo di connessione a
quell'indirizzo IP.

C'è modo di approfondire l'analisi per poter individuare tale
applicazione ?

PS: Una scansione completa del PC in questione effettuata con
MalwareBytes e Windows Defender non hanno rilevato nulla.
Guglielmo
2024-08-27 16:37:03 UTC
Permalink
Da quel che ho capito cercando di documentarmi, " svchost.exe " è un processo
di sistema generico di Windows e come tale non identifica l'applicazione che
ha generato il tentativo di connessione a quell'indirizzo IP.
C'è modo di approfondire l'analisi per poter individuare tale applicazione ?
OK, apri il taskmanager, click destro sulla barra delle applicazioni,
gestione attività.

Vai alla scheda dettagli, attiva la colonna PID se non è già attivata:
click destro su Nome in alto, seleziona colonne, seleziona PID.

Quindi nella colonna PID che ora vedrai, cerca il PID 2796 (è il numero
dell'ID Processo che sta nel log che hai copio-incollato.

Vedrai che è associato ad uno dei tanti svchoast.exe elencati. Fai
click destro su questa riga e seleziona "Vai ai servizi".

Verrà aperta la finestra dei servizi con selezionato il servizio
corrispondente. Fai ricerche online per capire cosa è se non lo si
capisce direttamente, se vuoi scrivilo qui e vediamo se possiamo darti
una mano a capirlo.

Naturalmente se nel frattemèpo hai riavviato il computer il PID èqquasi
sicuramente cambiato e non corrisponderà più, devi rifare tutto
d'accapo. Cioè riavviare l'utility di Nirsoft ecc. ecc.
Pagano
2024-08-27 21:54:25 UTC
Permalink
Post by Guglielmo
Verrà aperta la finestra dei servizi con selezionato il servizio
corrispondente.
Di cui riporto i dati identificativi ottenuti :
- Nome : DoSvc
- PID : 2796
- Descrizione : Ottimizzazione recapito
- Stato : In esecuzione
- Gruppo : NetworkService
Post by Guglielmo
Fai ricerche online per capire cosa è se non lo si capisce
direttamente, se vuoi scrivilo qui e vediamo se possiamo darti una
mano a capirlo.
Dalle ricerche in rete mi sembra di capire che il servizio in questione
consente una sorta di connessione peer-to-peer per scaricare gli
aggiornamenti.
In pratica, sempre se ho ben capito, in questo modo gli aggiornamenti
verrebbero scaricati da un altro PC in internet che già dispone dei
pacchetti necessari, anzichè doverlo fare dai server Microsoft che
verrebberro quindi sgravati come traffico.

E' corretto quanto sopra e quindi è tutto normale oppure su quel PC c'è
qualcosa che non va ?

Mi lascia soprattutto perplesso il fatto che i tentativi di connessione
avvengono tutti i giorni, e non mi sembra che tutti i giorni vi siano
aggiornamenti da scaricare ....
Valerio Vanni
2024-08-27 22:03:43 UTC
Permalink
Post by Pagano
- Nome : DoSvc
- PID : 2796
- Descrizione : Ottimizzazione recapito
- Stato : In esecuzione
- Gruppo : NetworkService
Dalle ricerche in rete mi sembra di capire che il servizio in questione
consente una sorta di connessione peer-to-peer per scaricare gli
aggiornamenti.
In pratica, sempre se ho ben capito, in questo modo gli aggiornamenti
verrebbero scaricati da un altro PC in internet che già dispone dei
pacchetti necessari, anzichè doverlo fare dai server Microsoft che
verrebberro quindi sgravati come traffico.
E' corretto quanto sopra e quindi è tutto normale oppure su quel PC c'è
qualcosa che non va
E' normale, comunque puoi anche disattivare l'ottimizzazione recapito.
Post by Pagano
Mi lascia soprattutto perplesso il fatto che i tentativi di connessione
avvengono tutti i giorni, e non mi sembra che tutti i giorni vi siano
aggiornamenti da scaricare ....
Il servizio ci guarda, poi se non c'è niente lascia perdere.
Per esempio gli aggiornamenti antivirus sono molto frequenti.
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Pagano
2024-08-27 22:34:44 UTC
Permalink
Post by Valerio Vanni
Post by Pagano
E' corretto quanto sopra e quindi è tutto normale oppure su quel PC c'è
qualcosa che non va
E' normale, comunque puoi anche disattivare l'ottimizzazione recapito.
Post by Pagano
Mi lascia soprattutto perplesso il fatto che i tentativi di
connessione
avvengono tutti i giorni, e non mi sembra che tutti i giorni vi siano
aggiornamenti da scaricare ....
Il servizio ci guarda, poi se non c'è niente lascia perdere.
Per esempio gli aggiornamenti antivirus sono molto frequenti.
OK, però c'è un fatto di cui mi sono accorto solo poco fa : sul PC in
questione il servizio di Ottimizzazione recapito è si attivo, ma la
spunta è sulla voce " PC nella rete locale " e NON per " PC nella rete
locale e su Internet ".

Come si spiega che il servizio tenti di accedere ad indirizzi IP esterni
alla mia rete locale ?
Guglielmo
2024-08-28 07:09:04 UTC
Permalink
Post by Pagano
OK, però c'è un fatto di cui mi sono accorto solo poco fa : sul PC in
questione il servizio di Ottimizzazione recapito è si attivo, ma la spunta è
sulla voce " PC nella rete locale " e NON per " PC nella rete locale e su
Internet ".
Come si spiega che il servizio tenti di accedere ad indirizzi IP esterni alla
mia rete locale ?
Forse in pefetto stile Microsoft viene sì inibito l'invio e ricezione
di pacchetti dagli IP fuori dalla rete locale ed hanno "dimenticato" di
bloccare anche il semplice "contatto" dei PC su Internet. O forse è
proprio necessario nel tipo di P2P implementato da Microsoft il tenere
il PC comuqnue presente in rete anche se non operativo.

O magari con la scusa di qualche bug raccontano palle :-D

Disattivalo del tutto che tanto si vive benissimo senza.
Pagano
2024-08-28 10:02:25 UTC
Permalink
Post by Guglielmo
Post by Pagano
Come si spiega che il servizio tenti di accedere ad indirizzi IP
esterni alla mia rete locale ?
Forse in pefetto stile Microsoft viene sì inibito l'invio e ricezione
di pacchetti dagli IP fuori dalla rete locale ed hanno "dimenticato"
di bloccare anche il semplice "contatto" dei PC su Internet. O forse è
proprio necessario nel tipo di P2P implementato da Microsoft il tenere
il PC comuqnue presente in rete anche se non operativo.
O magari con la scusa di qualche bug raccontano palle :-D
Effettivamente è difficile fidarsi di chi propone diverse scelte di
configurazione per la tal funzione, quando invece nel funzionamento
pratico la funzione se ne frega di cosa sia stato selezionato.
Nel caso specifico avrebbero fatto figura migliore limitandosi a
prevedere la sola possibilità di attivare/disattivare, invece di
aggiungere ulteriori opzioni rivelatisi fasulle...
Post by Guglielmo
Disattivalo del tutto che tanto si vive benissimo senza.
Accogliendo il tuo suggerimento ho disattivato la voce " Consenti
download da altri PC " nella pagina delle impostazioni di Ottimizzazione
recapito.

Ho notato che dopo la modifica ed il riavvio del PC, nella pagina dei
servizi il tipo di avvio di Ottimizzazione recapito è passato da
"Automatico (avvio trigger)" a "Manuale (avvio trigger)", ma se cerco di
modificarne lo stato in "Disabilitato" mi compare "Accesso negato".
Dato che l'account di accesso al PC ha privilegi di amministratore, non
mi spiego questo comportamento.

Qualche idea in merito ?
Guglielmo
2024-08-29 10:06:25 UTC
Permalink
Ho notato che dopo la modifica ed il riavvio del PC, nella pagina dei servizi
il tipo di avvio di Ottimizzazione recapito è passato da "Automatico (avvio
trigger)" a "Manuale (avvio trigger)", ma se cerco di modificarne lo stato in
"Disabilitato" mi compare "Accesso negato".
Dato che l'account di accesso al PC ha privilegi di amministratore, non mi
spiego questo comportamento.
Qualche idea in merito ?
È da Vista in poi che gli account Administrator in Windows non sono più
dei plenipotenziari. Ad esempio i servizi di sistema sono "di
proprietà" del'account System e quindi più difficilmente manipolabili
dagli Administrator o altri account utente. Se apri regedit e vai in:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Trovi elencati tutti i servizi, localizza DoSvc, fai click destro,
autorizzazioni, clicchi su avanzate in basso, vedrai che il
proprietario è System.

Personalmente non vedo ragioni per modificare questo stato di cose,
direi che puoi lasciare tutto com'è che non muore nessuno. A smanettare
così in profondità su Windows si rishcia di ottenere più danni che
vantaggi IMHO.
Pagano
2024-08-29 14:32:35 UTC
Permalink
Post by Guglielmo
Post by Pagano
Dato che l'account di accesso al PC ha privilegi di amministratore,
non mi spiego questo comportamento.
Qualche idea in merito ?
È da Vista in poi che gli account Administrator in Windows non sono
più dei plenipotenziari. Ad esempio i servizi di sistema sono "di
proprietà" del'account System e quindi più difficilmente manipolabili
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Trovi elencati tutti i servizi, localizza DoSvc, fai click destro,
autorizzazioni, clicchi su avanzate in basso, vedrai che il
proprietario è System.
Personalmente non vedo ragioni per modificare questo stato di cose,
direi che puoi lasciare tutto com'è che non muore nessuno. A
smanettare così in profondità su Windows si rishcia di ottenere più
danni che vantaggi IMHO.
Ti ringrazio ancora per la disponibilità e le informazioni/indicazioni
fornite, che mi hanno consentito di conoscere aspetti per me
assolutamente ignoti.
Dato che, dopo le modifiche introdotte, non si sono più presentati "
tentativi autonomi di accedere ad internet ", seguirò il tuo consiglio e
lascerò le cose come stanno ( anche perchè, oltre al rischio di
combinare casini, alla fin fine sembra di capire che uno può anche
modificare i parametri di configurazione proposti ma resta sempre il
dubbio circa la reale efficacia delle variazioni introdotte ).
Buona serata a tutti
Clipper
2024-08-27 06:24:16 UTC
Permalink
Il 26/08/2024 22:35, Pagano ha scritto:
cut
Post by Pagano
La domanda è : come si può capire quale applicazione genera questi
tentativi di
connessione ?
Ringrazio anticipatamente chi potrà fornirmi suggerimenti.
Non ti so rispondere ma, per curiosità, ho provato a cercare
"95.140.132" e pare che sia un range di indirizzi dell'università di Padova.
Pagano
2024-08-27 14:21:00 UTC
Permalink
Post by Clipper
Non ti so rispondere ma, per curiosità, ho provato a cercare
"95.140.132" e pare che sia un range di indirizzi dell'università di Padova.
Confermo, ma è proprio il fatto che in famiglia non abbiamo mai avuto
contatti/interessi/rapporti con l'università di Padova uno degli
elementi che maggiormente motiva nel cercare di chiarire quanto accade.
John Doez
2024-08-27 16:34:19 UTC
Permalink
Post by Pagano
Dalla mia rete domestica accedo a internet tramite un Fritz!Box-7590 con
connessione FTTC 200.
Il 7590 per default blocca i tentativi di accesso dalla rete domestica
ai siti internet se viene digitato l'indirizzo IP del sito
Che funzione è quella del router che blocca gli ip senza richiesta dns?
Post by Pagano
Confrontando date ed ora degli eventi di blocco con l'utilizzo dei vari
PC di casa, tali richieste di connessione risultano generate da uno dei
PC su cui è installato Windows 10 ( licenza regolare ).
Sai anche con che frequenza avviene?
Tipo ad ogni avvio del sistema oppure più volte.
Pagano
2024-08-27 17:28:50 UTC
Permalink
Post by John Doez
Che funzione è quella del router che blocca gli ip senza richiesta dns?
Nella configurazione del 7590 è uno dei filtri previsti per internet e
si attiva automaticamente se viene configurata una lista di siti ammessi
e/o una lista di siti bloccati.
Una volta che la funzione è stata attivata, per accedere ad un sito
tramite digitazione del relativo indirizzo IP è necessario specificarlo
nella lista degli indirizzi IP ammessi.
Post by John Doez
Sai anche con che frequenza avviene?
Tipo ad ogni avvio del sistema oppure più volte.
E' apparentemente casuale e si può anche ripetere più volte durante il
periodo di accensione del PC in questione.
drbrown
2024-09-06 05:58:26 UTC
Permalink
Post by Pagano
Un saluto a tutti.
Ho già postato sul NG di Windows 10, ma probabilmente non era il NG giusto in
quanto nessuno ha risposto.
Ripropongo il quesito qui sperando di avere maggior fortuna.
Dalla mia rete domestica accedo a internet tramite un Fritz!Box-7590 con
connessione FTTC 200.
Il 7590 per default blocca i tentativi di accesso dalla rete domestica
ai siti internet se viene digitato l'indirizzo IP del sito da
raggiungere, cosa che invece non succede se si digita il nome del sito
stesso, e di tale blocco viene tenuta traccia nel file di eventi di
sistema del 7590.
- se nel browser si inserisce " www.google.it " si apre correttamente la
pagina del sito Google
- se nel browser si inserisce " 216.58.205.35 " compare un messaggio di
blocco di accesso generato dal 7590
Dal file di eventi di sistema del 7590, risulta che vengono bloccati
diversi tentativi di connessione ad alcuni indirizzi IP (
95.140.132.XXX ).
Confrontando date ed ora degli eventi di blocco con l'utilizzo dei vari
PC di casa, tali richieste di connessione risultano generate da uno dei
PC su cui è installato Windows 10 ( licenza regolare ).
Dato che nessuno utilizzando quel PC cerca intenzionalmente di
raggiungere gli indirizzi IP in questione, presumo che i tentativi
bloccati siano da attribuire a qualche applicazione in esso installata
che agisce " autonomamente ".
La domanda è : come si può capire quale applicazione genera questi tentativi
di
connessione ?
Ringrazio anticipatamente chi potrà fornirmi suggerimenti.
usa procmon sul pc incriminato e vedi quale processo cerca di
contattare quell'IP

Continua a leggere su narkive:
Loading...