TL; DR
Sono abbastanza sicuro che la nostra piccola rete sia stata infettata da una sorta di worm / virus. Tuttavia, sembra affliggere le nostre macchine Windows XP. Le macchine Windows 7 e i computer Linux (beh, sì) sembrano essere inalterati. Le scansioni antivirus non mostrano nulla, ma il nostro server di dominio ha registrato migliaia di tentativi di accesso non riusciti su vari account utente validi e non validi, in particolare l'amministratore. Come posso impedire a questo worm non identificato di diffondersi?
Sintomi
Alcuni dei nostri utenti di Windows XP hanno segnalato problemi simili, sebbene non del tutto identici. Tutti sperimentano arresti / riavvii casuali avviati dal software. Su uno dei computer viene visualizzata una finestra di dialogo con un conto alla rovescia fino al riavvio del sistema, apparentemente avviato da NT-AUTHORITY \ SYSTEM e relativo a una chiamata RPC. Questa finestra di dialogo, in particolare, è esattamente la stessa di quella descritta negli articoli che descrivono in dettaglio i vecchi worm di exploit RPC.
Quando due computer sono stati riavviati, sono tornati al prompt di accesso (sono computer di dominio) ma il nome utente elencato era "admin", anche se non avevano effettuato l'accesso come admin.
Sulla nostra macchina Windows Server 2003 che esegue il dominio, ho notato diverse migliaia di tentativi di accesso da varie fonti. Hanno provato tutti i diversi nomi di accesso tra cui amministratore, amministratore, utente, server, proprietario e altri.
Alcuni dei registri hanno elencato gli IP, altri no. Di quelli che avevano l'indirizzo IP di origine (per gli accessi non riusciti) due di essi corrispondono ai due computer Windows XP con riavvio. Proprio ieri ho notato un sacco di tentativi di accesso falliti da un indirizzo IP esterno. Un traceroute ha mostrato che l'indirizzo IP esterno proviene da un ISP canadese. Non dovremmo mai avere connessioni da lì (comunque abbiamo utenti VPN). Quindi non sono ancora sicuro di cosa stia succedendo con i tentativi di accesso provenienti da un IP foriegn.
Sembra ovvio che su questi computer sia presente una sorta di malware e parte di ciò che fa è cercare di enumerare le password sugli account di dominio per ottenere l'accesso.
Quello che ho fatto finora
Dopo aver realizzato ciò che stava accadendo, il mio primo passo è stato quello di assicurarmi che tutti avessero eseguito un antivirus aggiornato e fatto una scansione. Dei computer interessati, uno di essi ha un client antivirus scaduto, ma gli altri due erano le versioni correnti di Norton e le scansioni complete di entrambi i sistemi non hanno prodotto risultati.
Il server stesso esegue regolarmente un antivirus aggiornato e non ha mostrato alcuna infezione.
Pertanto, 3/4 dei computer basati su Windows NT dispongono di un antivirus aggiornato, ma non ha rilevato nulla. Tuttavia, sono convinto che qualcosa stia succedendo, evidenziato principalmente dalle migliaia di tentativi di accesso falliti per vari account.
Ho anche notato che la radice della nostra condivisione di file principale aveva autorizzazioni piuttosto aperte, quindi l'ho limitata a leggere + eseguire per gli utenti normali. L'amministratore ha ovviamente pieno accesso. Sto anche per fare in modo che gli utenti aggiornino le loro password (a quelle più sicure) e rinominerò Amministratore sul server e cambieranno la password.
Ho già tolto le macchine dalla rete, una è stata sostituita da una nuova, ma so che queste cose possono diffondersi attraverso le reti, quindi ho ancora bisogno di andare fino in fondo.
Inoltre, il server ha una configurazione NAT / Firewall con solo alcune porte aperte. Devo ancora approfondire alcuni dei servizi relativi a Windows con le porte aperte, poiché provengo da un background Linux.
E adesso?
Quindi tutto l'antivirus moderno e aggiornato non ha rilevato nulla, ma sono assolutamente convinto che questi computer abbiano una sorta di virus. Baso questo sui riavvii / instabilità casuali delle macchine XP combinati con le migliaia di tentativi di accesso provenienti da queste macchine.
Quello che intendo fare è il backup dei file utente sui computer interessati, quindi la reinstallazione di Windows e la formattazione recente delle unità. Sto anche adottando alcune misure per proteggere le condivisioni di file comuni che potrebbero essere state utilizzate per diffondersi ad altre macchine.
Sapendo tutto ciò, cosa posso fare per garantire che questo worm non sia da qualche altra parte della rete e come posso impedirne la diffusione?
So che questa è una domanda tirata fuori, ma sono fuori dalle mie profondità qui e potrei usare alcuni suggerimenti.
Grazie per aver guardato!