domingo, enero 30, 2005

Poltergeist PCs

Espero que esto no le haya ocurrido a nadie pero si les ha pasado, por favor espero sus comentarios:

- Un computador X de una red X empieza a tener problemas al abrir aplicaciones, archivos, analizar correo. Ocurre una degeneracion total de su performance, y eso se puede observar al verificar al entrar al "Administrador de Tareas" en el Tab de Rendimiento. Sin hacer ningun trabajo de ninguna clase, el procesador está ocupado al 100% de su capacidad.

- First Look al hub de la red local. Las luces de todos los puertos estan virtualmente locas. titilan furiosamente pero sabes que en tu red, al ponerse todas las maquinas igualmente lentas, la gente se fue a comer, por tanto, nadie hace nada en esos computadores.
Primera Pista. Definitivamente hay algo que nadie pidio transmitir pero lo esta haciendo.

- Vas a tu super-maquina que especialmente tiene un McAfee firewall, el cual no les has puesto a los usuarios porque los supones particularmente "poco hábiles" y aterrorizables en el momento que el firewall les hable. Y ves que justamente las máquinas rebeldes, aquellas que se pusieron más lentas y que usan toda su energia para transmitir, están propagando bits y el firewall se defiende mostrando este mensaje en mi pantalla.
" McAfee Firewall blocked an attempt to attack your machine using a "SYN Port Scan" attack. The remote address associated with the traffic was 192.168.2.40. The remote port was 4744 [ephemeral]. The local port on your PC was 445. The network adapter for the traffic was "VIA Rhine II Fast Ethernet Adapter"."

-Las primeras palabras que se me vinieron a la mente fueron : "Quién chucha compró este antivirus Symantec" (Si bien mi firewall personal es McAfee al igual que mi AV personal, el de la empresa es el Symantec Enterprise Edition no se que más).

Hasta aquí se le ha ocurrido algo a alguien?

Más sintomas: Las computadoras ya están totalmente idiotas, ya nadie puede trabajar. Definitivamente es una especie de ataque "Denial of Service" interno. Maldita sea parece "Rise of the machines". Traigan a Arnold!.

Asi que lo primero: separarnos de Internet por unos minutos mientras tanto le echamos la culpa al proveedor. (Es lo mejor. Si alguien putea al ISP, hay el 99% de probabilidad que haya razon de hacer eso). Segundo, tomar maquinas y empezar a aislarlas, así que le pongo el Firewall personal a otra. Los resultados son similares. Las mismas X maquinas (ojo al parecer solo las que tienen Win2000 estan en esa joda). Pero hay otras que tienen el mismo Win2000 y las XP no les pasa nada!. Antes que alguien pregunte, las W2000 tienen SP4. Todas.

Las maquinas alzadas en armas estan identificadas. Hacemos otro segmento aislado en el armario. Les ponemos el personal firewall a cada una de las máquinas y el trafico de red baja ostensiblemente. Les damos Internet a esas máquinas: para qué?, para pasarles el Online Scan Antivirus de McAfee, para descartar actualizaciones perdidas. Y nada! No tienen virus! Lo mismo responde el Panda! Nada!.

El procesador sigue al 100%, como loco! Las PCs van a reventar y no se observa ningun proceso extraño. ¿ Cual es el siguiente paso ? Yo sé que siguen enviando los paquetes de ataque, inclusive a ellas mismas. ¿ Por qué lo hacen?

-------
Sugerencias, comentarios, puteadas, lamentaciones, y risas (estas ultimas traten de evitarlas) se aceptarán gustosamente. De preferencia eviten tambien comentarios de "Linux rulz!" o "Firefox for every machine". Prefiero escuchar como saldrían del atolladero. Pero ya!