ciao a tutti
vi scrivo per avere qualche consiglio su come proteggere e mantenere in sicurezza una piccola rete di un collegio universitario
Purtroppo ci capita spesso di incappare in qualche virus
Chiedo scusa in anticipo se non uso un terminologia perfettamente corretta ma devo ammettere che di server me intendo davvero poco...
Il problema riguarda più che altro gli utenti wireless di questo sistema che al momento è configurato in questo modo:
c'è un server con windows 2003 server che gestisce circa un centinaio di utenti.
Questi utenti possono accedere ai pc fissi della sala computer con un profilo comune (hanno lo stesso desktop e gli stessi file su qualunque pc fisso effettuino l'accesso).
Con le stesse credenziali accedono alla rete wireless gestita dal Server 2003 con protocollo RADIUS utilizzando i loro portatili privati.
E qui iniziano i problemi: i pc fissi sono costantemente aggiornati e controllati mentre i portatili degli utenti wireless stanno nella più completa anarchia: circa ogni sei mesi veniamo contattati del centro di calcolo dell'università che ci fornisce la connettività internet con un avviso del GARR che sul nostro nodo è presente un virus!
ecco l'ultimo regalo che qualche utente wireless mi ha fatto a fine ottobre, questa la comunicazione che ho ricevuto:
193.XXX.XX.XX (il nostro IP esterno) | 2009-10-25 21:39:47 | srcport 26017 mwtype Torpig BOTS

subito dopo è partita la caccia.. i pc fissi ovviamente erano puliti ora sono quasi 2 settimane che controllo ad uno ad uno questi portatili (c'è chi non aggiorna windows, e chi non sa nemmeno che esiste windows update, c'è chi non ha idea di come usare un antivirus ecc...)
Ne ho controllati circa una trentina trovando infezioni di ogni genere e me me mancano ancora parecchi priama di terminare il controllo e poter "chiudere l'incidente con il GARR"...

La mia domanda è come posso evitare che il portatile infetto di qualcuno possa creare danni?
Come fanno dal GARR a vedere che ci sono infezioni? Non esiste qulcosa che posso installare su windows server (anche a pagamento) che blocchi l'utente infetto in modo automatico?
Oppure c'è un modo per identificare subito gli utenti infetti? (tutti i pc wireless prendono l'ip in dhcp dal server anche i pc fissi hanno indirizzi dinamici)
Ho installato per il momento Kaspersky server in versione trial e fatto la scansione completa
e ho rilevato ed eliminato un paio di minacce che però non c'entravano nulla con il torpig.
E' sufficente un buon antivirus sul server? (prima non c'era nessuna protezione).
Oppure cosa potrei fare? Metto un firewall? Dove e di che tipo?
qualcosa di esterno o qualcosa da mettere su winserver2003?

Grazie a chiunque mi darà consigli

ciao a tutti
vi scrivo per avere qualche consiglio su come proteggere e mantenere in sicurezza una piccola rete di un collegio universitario
Purtroppo ci capita spesso di incappare in qualche virus
Chiedo scusa in anticipo se non uso un terminologia perfettamente corretta ma devo ammettere che di server me intendo davvero poco...
Il problema riguarda più che altro gli utenti wireless di questo sistema che al momento è configurato in questo modo:
c'è un server con windows 2003 server che gestisce circa un centinaio di utenti.
Questi utenti possono accedere ai pc fissi della sala computer con un profilo comune (hanno lo stesso desktop e gli stessi file su qualunque pc fisso effettuino l'accesso).
Con le stesse credenziali accedono alla rete wireless gestita dal Server 2003 con protocollo RADIUS utilizzando i loro portatili privati.
E qui iniziano i problemi: i pc fissi sono costantemente aggiornati e controllati mentre i portatili degli utenti wireless stanno nella più completa anarchia: circa ogni sei mesi veniamo contattati del centro di calcolo dell'università che ci fornisce la connettività internet con un avviso del GARR che sul nostro nodo è presente un virus!
ecco l'ultimo regalo che qualche utente wireless mi ha fatto a fine ottobre, questa la comunicazione che ho ricevuto:
193.XXX.XX.XX (il nostro IP esterno) | 2009-10-25 21:39:47 | srcport 26017 mwtype Torpig BOTS

subito dopo è partita la caccia.. i pc fissi ovviamente erano puliti ora sono quasi 2 settimane che controllo ad uno ad uno questi portatili (c'è chi non aggiorna windows, e chi non sa nemmeno che esiste windows update, c'è chi non ha idea di come usare un antivirus ecc...)
Ne ho controllati circa una trentina trovando infezioni di ogni genere e me me mancano ancora parecchi priama di terminare il controllo e poter "chiudere l'incidente con il GARR"...

La mia domanda è come posso evitare che il portatile infetto di qualcuno possa creare danni?
Come fanno dal GARR a vedere che ci sono infezioni? Non esiste qulcosa che posso installare su windows server (anche a pagamento) che blocchi l'utente infetto in modo automatico?
Oppure c'è un modo per identificare subito gli utenti infetti? (tutti i pc wireless prendono l'ip in dhcp dal server anche i pc fissi hanno indirizzi dinamici)
Ho installato per il momento Kaspersky server in versione trial e fatto la scansione completa
e ho rilevato ed eliminato un paio di minacce che però non c'entravano nulla con il torpig.
E' sufficente un buon antivirus sul server? (prima non c'era nessuna protezione).
Oppure cosa potrei fare? Metto un firewall? Dove e di che tipo?
qualcosa di esterno o qualcosa da mettere su winserver2003?

Grazie a chiunque mi darà consigli

Ciao barby 79, benvenuta nel forum :)

Per rispodere alla tua domanda su come evitare che un portatile infetto crei danni ad altri, tutti dovrebbero almeno installare un antivirus.

E' fondamentale installare un antivirus sul server: lo proteggeresti dai virus conosciuti provenienti dai portatili infetti o da qualsiasi altra fonte. Kaspersky Server secondo me è un'ottima scelta.


Come fai ad essere sicura che i PC fissi siano puliti?

Con quali programmi hai scansionato i PC fissi?

Il cuore del malware consiste in un rootkit (http://it.wikipedia.org/wiki/Rootkit), Mebroot, che si inserisce nel Master Boot Record dell’hard disk così da eseguirsi in fase di boot, prima che il sistema operativo venga caricato, per massimizzare invasività e invisibilità ad anti-virus e simili.

Dimenticavo, anche un firewall è necessario.

Saluti.

ciao a tutti
vi scrivo per avere qualche consiglio su come proteggere e mantenere in sicurezza una piccola rete di un collegio universitario
Purtroppo ci capita spesso di incappare in qualche virus
Chiedo scusa in anticipo se non uso un terminologia perfettamente corretta ma devo ammettere che di server me intendo davvero poco...
Il problema riguarda più che altro gli utenti wireless di questo sistema che al momento è configurato in questo modo:
c'è un server con windows 2003 server che gestisce circa un centinaio di utenti.
Questi utenti possono accedere ai pc fissi della sala computer con un profilo comune (hanno lo stesso desktop e gli stessi file su qualunque pc fisso effettuino l'accesso).
Con le stesse credenziali accedono alla rete wireless gestita dal Server 2003 con protocollo RADIUS utilizzando i loro portatili privati.
E qui iniziano i problemi: i pc fissi sono costantemente aggiornati e controllati mentre i portatili degli utenti wireless stanno nella più completa anarchia: circa ogni sei mesi veniamo contattati del centro di calcolo dell'università che ci fornisce la connettività internet con un avviso del GARR che sul nostro nodo è presente un virus!
ecco l'ultimo regalo che qualche utente wireless mi ha fatto a fine ottobre, questa la comunicazione che ho ricevuto:
193.XXX.XX.XX (il nostro IP esterno) | 2009-10-25 21:39:47 | srcport 26017 mwtype Torpig BOTS

subito dopo è partita la caccia.. i pc fissi ovviamente erano puliti ora sono quasi 2 settimane che controllo ad uno ad uno questi portatili (c'è chi non aggiorna windows, e chi non sa nemmeno che esiste windows update, c'è chi non ha idea di come usare un antivirus ecc...)
Ne ho controllati circa una trentina trovando infezioni di ogni genere e me me mancano ancora parecchi priama di terminare il controllo e poter "chiudere l'incidente con il GARR"...

La mia domanda è come posso evitare che il portatile infetto di qualcuno possa creare danni?
Come fanno dal GARR a vedere che ci sono infezioni? Non esiste qulcosa che posso installare su windows server (anche a pagamento) che blocchi l'utente infetto in modo automatico?
Oppure c'è un modo per identificare subito gli utenti infetti? (tutti i pc wireless prendono l'ip in dhcp dal server anche i pc fissi hanno indirizzi dinamici)
Ho installato per il momento Kaspersky server in versione trial e fatto la scansione completa
e ho rilevato ed eliminato un paio di minacce che però non c'entravano nulla con il torpig.
E' sufficente un buon antivirus sul server? (prima non c'era nessuna protezione).
Oppure cosa potrei fare? Metto un firewall? Dove e di che tipo?
qualcosa di esterno o qualcosa da mettere su winserver2003?

Grazie a chiunque mi darà consigli

Barby occorre anche prendere in considerazione che il supporto Microsoft per quel OS si concluderà il prossimo anno (2010) a luglio se a memoria non vado errato.

Sarebbe meglio considerare in tempo, ovviamente anche ai fini della sicurezza,una sostituzione a "breve" di OS.

Inoltre se il sistema era completamente esposto sarebbe certamente meglio prima di installare sw di protezione accertare altre eventuali infezioni.

Di norma la rete wireless e' separata dal resto della rete (road warrior) tramite Vpn e/o VLan, questo per scongiurare Perdita di dati sensibili, come appunto fanno questi malware nelle loro darknet, vere miniere di dati riservati.
Per bloccare automaticamente i malware devi avere un NIPS (se si chiamano ancora cosi), che sarebbe la combinazione sincronizzata di un firewal con un Ips.
oopss devo andare
bye

Ciao barby 79, benvenuta nel forum :)

Per rispodere alla tua domanda su come evitare che un portatile infetto crei danni ad altri, tutti dovrebbero almeno installare un antivirus.

E' fondamentale installare un antivirus sul server: lo proteggeresti dai virus conosciuti provenienti dai portatili infetti o da qualsiasi altra fonte. Kaspersky Server secondo me è un'ottima scelta.


Come fai ad essere sicura che i PC fissi siano puliti?

Con quali programmi hai scansionato i PC fissi?

Il cuore del malware consiste in un rootkit (http://it.wikipedia.org/wiki/Rootkit), Mebroot, che si inserisce nel Master Boot Record dell’hard disk così da eseguirsi in fase di boot, prima che il sistema operativo venga caricato, per massimizzare invasività e invisibilità ad anti-virus e simili.

Dimenticavo, anche un firewall è necessario.

Saluti.

Ho fatto scansioni su tutti i pc fissi con Kaspersky e sono risultati tutti puliti.
Sono abbastanza sicura dei pc fissi perche' li controllo sempre e sto attenta che siano aggiornati (purtroppo c'è da tenere presente che sono pc piuttosto vecchiotti P IV da 1,7 ghz e P IV da 2,4 ghz). Con Avira antivir mi trovo bene anche perche' non e' pesantissimo ma mi pare che protegga bene, poi periodicamente passo anche con spybot, do un'occhiata ai processi che si avviano con windows ecc), autoplay disabilitato su tutti per evitare infezioni dai pen drive.
Ultimamente però faceva fatica ad aggiornarsi e pensavo di sostituirlo con AVG 9 free (l'ho usato per scansionare qualche portatile e mi e' sembrato buono.. voi cosa ne pensate di AVG 9?)
Prima avevo installato si tutti i fissi AVIRA personal e mi sono sempre trovata bene, ora la trial di kaspersky sta per terminare e temo che dovro' rimuoverla, ora dovrò scegliere qualcosa di free e non troppo pesante: avast oppure avg oppure di nuovo antivir, che ne dite?

Per quanto riguarda il firewall ne abbiamo uno (è IPCOP), sinceramente credo che serva solo per separare le due reti (una dell'amministrazione e l'altra sala comp studenti + gestione wirelless). Abbiamo anche 2 server : uno per l'amministrazione appunto e uno per le studentesse. IPCOP blocca anche il P2P ma io personalmete non ci ho mai messo mano era venuto ai tempi un tecnico specializzato.
Se avete buoni consigli su firewall sono bene accetti!!!
Il vero problema sono i pc in wireless che sono portatili privati che non posso monitorare continuamente .. oltre a ripetere all'infinito alle studentesse l'importanza di avere antivirus e OS aggiornatie di usare il cervello non so cosa altro fare.. puntulalmente quando il centro di calcolo segnala "incidenti" trovo sempre una marea di studentesse infette con Pc tenuti male ecc...
Senz'altro per il server mi farò acquistare la licenza di Kasperky server (quello per file serve dovrebbe andare bene???) non gestisce posta ma solo gli account in roaming profile e la wireless con Radius.

Barby occorre anche prendere in considerazione che il supporto Microsoft per quel OS si concluderà il prossimo anno (2010) a luglio se a memoria non vado errato.

Sarebbe meglio considerare in tempo, ovviamente anche ai fini della sicurezza,una sostituzione a "breve" di OS.

Inoltre se il sistema era completamente esposto sarebbe certamente meglio prima di installare sw di protezione accertare altre eventuali infezioni.


Di sostituire win2003 non se ne può parlare putroppo... permanente carenza di fondi...
Voi cosa fareste con zero soldi e pc dell'anteguerra? :-)

Ho fatto scansioni su tutti i pc fissi con Kaspersky e sono risultati tutti puliti.
Sono abbastanza sicura dei pc fissi perche' li controllo sempre e sto attenta che siano aggiornati (purtroppo c'è da tenere presente che sono pc piuttosto vecchiotti P IV da 1,7 GB e P IV da 2,4 GB). Con Avira antivir mi trovo bene anche perche' non e' pesantissimo ma mi pare che protegga bene, poi periodicamente passo anche con spybot, do un'occhiata ai processi che si avviano con windows ecc), autoplay disabilitato su tutti per evitare infezioni dai pen drive.
Ultimamente però faceva fatica ad aggiornarsi e pensavo di sostituirlo con AVG 9 free (l'ho usato per scansionare qualche portatile e mi e' sembrato buono.. voi cosa ne pensate di AVG 9?)
Prima avevo installato si tutti i fissi AVIRA personal e mi sono sempre trovata bene, ora la trial di kaspersky sta per terminare e temo che dovro' rimuoverla, ora dovrò scegliere qualcosa di free e non troppo pesante: avast oppure avg oppure di nuovo antivir, che ne dite?

Per quanto riguarda il firewall ne abbiamo uno (è IPCOP), sinceramente credo che serva solo per separare le due reti (una dell'amministrazione e l'altra sala comp studenti + gestione wirelless). Abbiamo anche 2 server : uno per l'amministrazione appunto e uno per le studentesse. IPCOP blocca anche il P2P ma io personalmete non ci ho mai messo mano era venuto ai tempi un tecnico specializzato.
Se avete buoni consigli su firewall sono bene accetti!!!
Il vero problema sono i pc in wireless che sono portatili privati che non posso monitorare continuamente .. oltre a ripetere all'infinito alle studentesse l'importanza di avere antivirus e OS aggiornatie di usare il cervello non so cosa altro fare.. puntulalmente quando il centro di calcolo segnala "incidenti" trovo sempre una marea di studentesse infette con Pc tenuti male ecc...
Senz'altro per il server mi farò acquistare la licenza di Kasperky server (quello per file serve dovrebbe andare bene???) non gestisce posta ma solo gli account in roaming profile e la wireless con Radius.
Di sostituire win2003 non se ne può parlare putroppo... permanente carenza di fondi...
Voi cosa fareste con zero soldi e pc dell'anteguerra? :-)

La risposta è semplice LINUX.;)
Se vuoi maggiori info ed aiuto a tal proposito c'è la sezione nel forum di HW dedicata.

Di norma la rete wireless e' separata dal resto della rete (road warrior) tramite Vpn e/o VLan, questo per scongiurare Perdita di dati sensibili, come appunto fanno questi malware nelle loro darknet, vere miniere di dati riservati.
Per bloccare automaticamente i malware devi avere un NIPS (se si chiamano ancora cosi), che sarebbe la combinazione sincronizzata di un firewal con un Ips.
oopss devo andare
bye

presumo a questo punto che ipcop non faccia il suo dovere...
non protegge da attcchi esterni? da quello che ho capito chiude solo alcune porte e gestisce le due reti separate tra studenti e amministrazione...

La risposta è semplice LINUX.;)
Se vuoi maggiori info ed aiuto a tal proposito c'è la sezione nel forum di HW dedicata.

non possiamo usare linux sui pc fissi perche' vanno usati anche per un corso con software compatibili microsoft ( alcuni programmi di grafica, suite adobe ecc..)
sul server sarebbe anche li' un bel problema (io non conosco per niente linux e non sarei in grado nemmeno di installare e condividere una stampante...)
prima avevo fedora e ogni 2 o 3 gg bisognava chiamare un tecnico perche' le stampanti non andavano piu'...

presumo a questo punto che ipcop non faccia il suo dovere...
non protegge da attcchi esterni? da quello che ho capito chiude solo alcune porte e gestisce le due reti separate tra studenti e amministrazione...

Nel tuo caso l'attacco parte dall'interno. Viene segnalato come traffico sospetto dall'Nids del Garr e ti viene riportato.
Il firewall (puro) non controlla a priori traffici sospetti, non è il suo compito.
Se la postazione wireless e' in una rete separata dall'Intranet, il "danno" e' circoscritto, nell'ipotesi migliore, solo alla singola postazione. La perdita di dati sensibili e' trascurabile.




non possiamo usare linux ...
[/cut]
Penso si riferisse alla parte server, tipo abbinare ad Ipcop un Ids tipo Snort.
Essistono svariate scelte, se vuoi una lista se ne trovano a bizzeffe, e svariate tipologie di software e hardware, tipo Checkpoint e ISS.

ciao

Io credo che sia più opportuno, senza che per questo tu ti senta meno bravo degli altri barby79, che tu ti affidi ad un esperto.

Come ti è stato detto benissimo da sampei la soluzione per una rete piccola ma difficilmente controllabile com'è quella di una scuola è linux.

Per usufruire dei pc interni o in collegamento continuate con windows, che peraltro si può emulare, ma non entriamo i questo che non ti interessa, e non cambiate nulla, utilizzate av free che sono ottimi e non costano.

Per fare questo a costo zero prendi contatto con un Lug, non ho capito di dove sei ma in ogni città ce ne sono e sono ottimi collaboratori e pieni di entusiasmo.

Ti aiuteranno a fare ciò che devi al massimo della professionalità e a costo zero.

Io credo che sia più opportuno, senza che per questo tu ti senta meno bravo degli altri barby79, che tu ti affidi ad un esperto.

Come ti è stato detto benissimo da sampei la soluzione per una rete piccola ma difficilmente controllabile com'è quella di una scuola è linux.

Per usufruire dei pc interni o in collegamento continuate con windows, che peraltro si può emulare, ma non entriamo i questo che non ti interessa, e non cambiate nulla, utilizzate av free che sono ottimi e non costano.

Per fare questo a costo zero prendi contatto con un Lug, non ho capito di dove sei ma in ogni città ce ne sono e sono ottimi collaboratori e pieni di entusiasmo.

Ti aiuteranno a fare ciò che devi al massimo della professionalità e a costo zero.

intendi dire che bisognerebbe sostitutire il server 2003 con un server linux?
e per il resto lasciare tutto come e'?
Non so se cia un Lug nella mia citta' io sono di Pavia, pensi che prendendo contatto con un Lug di Pavia loro potrebbero guidarmi nella migrazione?
Io non sono assolutamente in grado di ricreare la stessa situazione del server windows sul un server linux e poi, detto tra noi, cosa diranno quello dell'ammimnistrazione dopo che ho insistito per anni per sostituire Fedora con Win2003? :-)
Quando avevamo Fedora c'erano gravi problemi di condivisione delle stampanti...non vorrei trovarmi ancora in una situazione simile...
Possibile che non esista una soluzione simile compatibile con Microsoft?
Posto che comunque le alunne continueranno ad usare i loro pc con windows e continueranno a prendere virus da internet un server linux potrebbe evitare proprio questo?
Tra Avast AVG e Antivir che cosa mi consigli?


Nel tuo caso l'attacco parte dall'interno. Viene segnalato come traffico sospetto dall'Nids del Garr e ti viene riportato.
Il firewall (puro) non controlla a priori traffici sospetti, non è il suo compito.
Se la postazione wireless e' in una rete separata dall'Intranet, il "danno" e' circoscritto, nell'ipotesi migliore, solo alla singola postazione. La perdita di dati sensibili e' trascurabile.


Penso si riferisse alla parte server, tipo abbinare ad Ipcop un Ids tipo Snort.
Essistono svariate scelte, se vuoi una lista se ne trovano a bizzeffe, e svariate tipologie di software e hardware, tipo Checkpoint e ISS.

ciao

In che senso l'attacco parte dall'interno? Le ragazze prendono i virus navigando in internet.
I Pc in wireless si autenticano tramite Radius attraverso Server Windows 2003, mettendo ulteriori protezioni su quest'ultimo non risolverei il problema? Quando si connettono hanno accesso ad internet ma non si loggano nel dominio, e' possibile volendo installare anche la stampante di rete senza mettere i loro pc nel dominio o nel gruppo di lavoro, hanno IP dinamico ma come IP esterno escono tutti quanti con lo stesso ed unico IP che il centro di calcolo ci ha assegnato, ed e' su questo nodo che il Garr rileva le infezioni.
Speravo ci fosse qualcosa che installato sul server 2003 si "accorgesse" della presenza di un pc infetto che tenta di connettersi in wireless e gli blocchi l'accesso.

Eccome che ci sono Lug nella tua città.

http://pavia.linux.it/

Sicuramente ti aiuteranno.
Ascolta, la migrazione non devi spiegarla neanche visto che vai verso un prodotto GRATIS contro uno a pagamento, dovrebbero ringraziarti.

Vedrai che ormai non ci sono competitor con un buon linux, e le macchine un pò datate ti ringrazieranno se usi un Linux invece che sistemi pesanti.

Per i pc che usano gli alunni, per ora li lascerei così, poi ne cambi magari due, e vedi come la prendono, e man mano lo allarghi a tutti i pc. Ma lasciando comunque dei pc in Win, ci sono sempre utenti che non vogliono cambiare o applicazioni non proprio adatte a Linux.

Ma vedrai che dopo qualche scornata con il nuovo sistema ti troverai benissimo e la tua vita di admin sarà più leggera ;)

Ho fatto scansioni su tutti i pc fissi con Kaspersky e sono risultati tutti puliti.
Sono abbastanza sicura dei pc fissi perche' li controllo sempre e sto attenta che siano aggiornati (purtroppo c'è da tenere presente che sono pc piuttosto vecchiotti P IV da 1,7 ghz e P IV da 2,4 ghz). Con Avira antivir mi trovo bene anche perche' non e' pesantissimo ma mi pare che protegga bene, poi periodicamente passo anche con spybot, do un'occhiata ai processi che si avviano con windows ecc), autoplay disabilitato su tutti per evitare infezioni dai pen drive.
Ultimamente però faceva fatica ad aggiornarsi e pensavo di sostituirlo con AVG 9 free (l'ho usato per scansionare qualche portatile e mi e' sembrato buono.. voi cosa ne pensate di AVG 9?)
Prima avevo installato si tutti i fissi AVIRA personal e mi sono sempre trovata bene, ora la trial di kaspersky sta per terminare e temo che dovro' rimuoverla, ora dovrò scegliere qualcosa di free e non troppo pesante: avast oppure avg oppure di nuovo antivir, che ne dite?

Per quanto riguarda il firewall ne abbiamo uno (è IPCOP), sinceramente credo che serva solo per separare le due reti (una dell'amministrazione e l'altra sala comp studenti + gestione wirelless). Abbiamo anche 2 server : uno per l'amministrazione appunto e uno per le studentesse. IPCOP blocca anche il P2P ma io personalmete non ci ho mai messo mano era venuto ai tempi un tecnico specializzato.
Se avete buoni consigli su firewall sono bene accetti!!!
Il vero problema sono i pc in wireless che sono portatili privati che non posso monitorare continuamente .. oltre a ripetere all'infinito alle studentesse l'importanza di avere antivirus e OS aggiornatie di usare il cervello non so cosa altro fare.. puntulalmente quando il centro di calcolo segnala "incidenti" trovo sempre una marea di studentesse infette con Pc tenuti male ecc...
Senz'altro per il server mi farò acquistare la licenza di Kasperky server (quello per file serve dovrebbe andare bene???) non gestisce posta ma solo gli account in roaming profile e la wireless con Radius.



...

Novità? Sei riuscita a risolvere in qualche modo? Ti hanno convinta a passare a Linux?

Forse è la soluzione migliore, però Snort (http://www.snort.org/), il NIPS di cui si parlava prima, va bene anche per i sistemi Windows e abbinato al firewall che avete dovrebbe risolvere il problema.

L'attacco parte dall'interno perché le macchine sono infettate... e tentano ad intervalli regolari di contattare un server di comandi e controllo per le istruzioni (link (http://www.appuntidigitali.it/3883/botnet-dirottata-catturate-300000-credenziali-molte-dall%E2%80%99italia/)).
Per scovare i rootkit non sono sufficienti gli anti-virus, dovresti usare dei software specifici tipo gmer (http://www.gmer.net/), rootrepeal (http://rootrepeal.googlepages.com/).. prova a fare delle scansioni con questi.

Come AV free preferisco Avast ad AVG, penso sia migliore, sempre se AntiVir non va.

Ciao :)