TL; DR
Saya cukup yakin jaringan kecil kami telah terinfeksi oleh semacam worm / virus. Namun, tampaknya itu hanya menimpa mesin-mesin Windows XP kami. Mesin Windows 7 dan komputer Linux (yah) tampaknya tidak terpengaruh. Pemindaian anti-virus tidak menunjukkan apa-apa, tetapi server domain kami telah mencatat ribuan upaya login yang gagal pada berbagai akun pengguna yang valid dan tidak valid, khususnya administrator. Bagaimana saya bisa menghentikan penyebaran cacing tak dikenal ini?
Gejala
Beberapa pengguna Windows XP kami telah melaporkan masalah yang sama, meskipun tidak sepenuhnya identik. Mereka semua mengalami shutdown / restart acak yang dimulai perangkat lunak. Di salah satu komputer, dialog muncul dengan hitung mundur hingga restart sistem, tampaknya dimulai oleh NT-AUTHORITY \ SYSTEM dan berkaitan dengan panggilan RPC. Dialog ini khususnya persis sama dengan yang dijelaskan dalam artikel yang merinci cacing exploit RPC yang lebih lama.
Ketika dua komputer di-boot ulang, mereka muncul kembali di prompt login (mereka adalah komputer domain) tetapi nama pengguna yang tercantum adalah 'admin', meskipun mereka belum masuk sebagai admin.
Pada mesin Windows Server 2003 kami yang menjalankan domain, saya perhatikan beberapa ribu upaya masuk dari berbagai sumber. Mereka mencoba semua nama login yang berbeda termasuk Administrator, admin, pengguna, server, pemilik dan lainnya.
Beberapa log mencantumkan IP, beberapa tidak. Dari yang memiliki sumber alamat IP (untuk login gagal) dua di antaranya sesuai dengan dua mesin Windows XP yang mengalami reboot. Baru kemarin saya melihat banyak upaya login gagal dari alamat IP luar. Traceroute menunjukkan bahwa alamat IP luar berasal dari ISP Kanada. Kami seharusnya tidak memiliki koneksi dari sana, (kami memang memiliki pengguna VPN). Jadi saya masih tidak yakin apa yang terjadi dengan upaya masuk yang datang dari IP foriegn.
Tampak jelas bahwa semacam malware ada di komputer ini, dan bagian dari apa yang dilakukannya adalah mencoba menghitung kata sandi pada akun domain untuk mendapatkan akses.
Yang Telah Saya Lakukan Sejauh Ini
Setelah menyadari apa yang terjadi, langkah pertama saya adalah memastikan semua orang menjalankan antivirus terbaru dan melakukan pemindaian. Di antara komputer yang terpengaruh, salah satunya memiliki klien anti-virus yang kedaluwarsa, tetapi dua lainnya adalah versi Norton saat ini dan pemindaian penuh kedua sistem tidak menghasilkan apa-apa.
Server itu sendiri secara teratur menjalankan anti-virus terbaru, dan belum menunjukkan adanya infeksi.
Jadi 3/4 dari komputer berbasis Windows NT memiliki anti virus terbaru, tetapi tidak mendeteksi apa pun. Namun saya yakin ada sesuatu yang terjadi, terutama dibuktikan dengan ribuan upaya login gagal untuk berbagai akun.
Saya juga memperhatikan bahwa root dari berbagi file utama kami memiliki izin yang cukup terbuka, jadi saya hanya membatasi untuk membaca + mengeksekusi untuk pengguna normal. Administrator tentu saja memiliki akses penuh. Saya juga akan meminta pengguna memperbarui kata sandi mereka (ke kata sandi yang kuat), dan saya akan mengganti nama menjadi Administrator di server dan mengubah kata sandinya.
Saya sudah mengambil mesin dari jaringan, satu digantikan oleh yang baru, tetapi saya tahu hal-hal ini dapat menyebar melalui jaringan sehingga saya masih perlu sampai ke bagian bawah ini.
Juga, server memiliki pengaturan NAT / Firewall dengan hanya port tertentu yang terbuka. Saya belum sepenuhnya menyelidiki beberapa layanan terkait Windows dengan port terbuka, karena saya berasal dari latar belakang Linux.
Sekarang apa?
Jadi semua anti-virus modern dan terbaru tidak mendeteksi apa-apa, tetapi saya sangat yakin komputer ini memiliki semacam virus. Saya mendasarkan ini pada restart acak / ketidakstabilan mesin XP dikombinasikan dengan ribuan upaya login yang berasal dari mesin ini.
Apa yang saya rencanakan lakukan adalah membuat cadangan file pengguna pada mesin yang terpengaruh, dan kemudian menginstal ulang windows dan baru memformat drive. Saya juga mengambil beberapa langkah untuk mengamankan pembagian file umum yang mungkin telah digunakan untuk menyebar ke mesin lain.
Mengetahui semua ini, apa yang bisa saya lakukan untuk memastikan bahwa worm ini tidak berada di tempat lain di jaringan, dan bagaimana saya bisa menghentikan penyebarannya?
Saya tahu ini adalah pertanyaan yang sulit, tetapi saya berada di luar jangkauan saya di sini dan dapat menggunakan beberapa petunjuk.
Terima kasih telah melihat!