TL; DR
Я впевнений, що наша маленька мережа була заражена якимось хробаком / вірусом. Однак, здається, це впливає лише на наші машини Windows XP. Машини Windows 7 та комп’ютери Linux (ну, так) не впливають на це. Антивірусні сканування нічого не показують, але наш сервер домену зареєстрував тисячі невдалих спроб входу в різні дійсні та недійсні облікові записи користувачів, зокрема адміністратора. Як я можу зупинити розповсюдження цього невстановленого хробака?
Симптоми
Кілька наших користувачів Windows XP повідомили про подібні проблеми, хоча і не зовсім однакові. Всі вони відчувають випадкові відключення / перезавантаження, які починаються програмним забезпеченням. На одному з комп'ютерів з'являється діалогове вікно із зворотним відліком до перезавантаження системи, очевидно, запущене NT-AUTHORITY \ SYSTEM і пов'язане з викликом RPC. Зокрема, цей діалог точно такий же, як описаний у статтях, де детально описуються старі експлуатаційні хробаки RPC.
Коли два комп’ютери перезавантажилися, вони повернулися до запиту для входу (це доменні комп'ютери), але вказане ім’я користувача було "адміністратор", хоча вони не ввійшли як адміністратор.
На нашій машині Windows Server 2003, на якій працює домен, я помітив кілька тисяч спроб входу з різних джерел. Вони спробували всі різні імена для входу, включаючи адміністратора, адміністратора, користувача, сервера, власника та інших.
Деякі з журналів перераховували IP-адреси, деякі - ні. З тих, у кого була вихідна IP-адреса (для невдалого входу), дві з них відповідають двом машинам Windows XP, які відчувають перезавантаження. Лише вчора я помітив купу невдалих спроб входу з зовнішньої IP-адреси. Простеження виявило, що зовнішня IP-адреса має бути від канадського провайдера. Ми ніколи не повинні мати з’єднання звідти (хоча у нас є користувачі VPN). Тож я все ще не впевнений, що відбувається із спробами входу, що надходять із попереднього IP.
Здається очевидним, що на цих комп’ютерах є якась зловмисна програма, і частина того, що вона робить, - це спробувати перерахувати паролі в облікових записах домену, щоб отримати доступ.
Що я робив поки що
Після усвідомлення того, що відбувається, першим моїм кроком було переконатись у тому, що всі працюють із сучасним антивірусом та зробили сканування. З комп’ютерів, що постраждали, один з них має клієнт з антивірусним терміном закінчення, але інші два були поточними версіями Нортона, і повне сканування обох систем не виявило нічого.
Сам сервер регулярно запускає сучасний антивірус і не виявляє ніяких інфекцій.
Тож 3/4 комп'ютерів на базі Windows NT мають сучасний антивірус, але він нічого не виявив. Однак я переконаний, що щось відбувається, в основному свідчать тисячі невдалих спроб входу для різних облікових записів.
Я також помітив, що корінь нашого основного спільного файлу мав досить відкриті дозволи, тому я просто обмежив його для читання + виконання для звичайних користувачів. Звичайно, адміністратор має повний доступ. Я також збираюся, щоб користувачі оновлювали свої паролі (до сильних), і я збираюся перейменувати в адміністратор на сервері та змінити його пароль.
Я вже зняв машини з мережі, одну замінюють новою, але я знаю, що ці речі можуть поширюватися через мережі, тому мені все одно потрібно дійти до цього.
Також на сервері встановлено NAT / брандмауер з відкритими лише певними портами. Я ще не маю повного дослідження деяких служб, пов’язаних з Windows, з відкритими портами, оскільки я з Linux.
А тепер що?
Тож усі сучасні та сучасні антивіруси нічого не виявили, але я абсолютно переконаний, що ці комп’ютери мають якийсь вірус. Я базую це на випадкових перезапусках / нестабільності машин XP у поєднанні з тисячами спроб входу з цих машин.
Що я планую робити - це резервне копіювання файлів користувачів на постраждалих машинах, а потім перевстановлення вікон та свіже форматування накопичувачів. Я також вживаю декілька заходів для забезпечення загальних файлових файлів, які, можливо, використовувались для поширення на інші машини.
Знаючи все це, що я можу зробити, щоб цей черв’як не був десь у мережі, і як я можу запобігти його поширенню?
Я знаю, що це витягнутий питання, але я перебуваю поза глибиною і можу використати деякі покажчики.
Дякуємо, що подивилися!