ho una situazione strana e insolita ad un mio cliente.
struttura: 1 win2003st.ed.sp2 con dominio ad e server dns installato e circa 30client ad esso connessi.
router zyxell 660h-d1. gli utenti sono membri del dominio in domain user.
il server è stato appena resettato (array brutalmente distrutto) e reinstallato, configurato ad, dns, tutto patchato... installato symantec endpoint 11. abbiamo deciso di reinstallare il server perchè un rootkit aveva rotto il sistema operativo: era installato come antivirus nod32 v3. il server è stato consegnato al cliente, tutto pulito... il giorno dopo vedo la cronologia di symantec endpoint e vedo attacchi dalle 4 di mattina da indirizzi esterni dinamici. è un trojan maledetto che puntualmente viene messo in quarantena ma sul server si aprono finestre explorer,inizia a beeppare (un file strano si chiama beep.sys sotto system32) si tovano file strani sulla root.. praticamente ho cambiato antivirus ma il risultato è lo stesso!! sul router è tutto chiuso: ho impostato le regole sul firewall wan-to-lan bloccando tutte le richieste da tutte le porte.ma come mai succede tutto cio? e per giunta da ip pubblici esterni alla lan.
premetto che tutto ciò succede con i pc della rete lan spenti (alle 4 non lavora nessuno ma il server è acceso..) e gli attacchi proseguono per tutto il giorno. non so fino a che punto reggerà il server. che protezioni mi consigliate di adottare ancora? un personal firewall? un proxy? quale antivirus? voglio disattivare dal server la navigazione web:come si fa? le schede di rete dei client sono configurate come gat:ip router e dns:ip server.
attendo vs. risp.
Segnalibri