por NewLog » Sab Mar 17, 2012 4:31 am
Ahora te iba a decir lo de una-al-dia!
Por decir algo, que imagino que ya lo habrás comprobado, mira las versiones de todos los servicios que estén de cara al exterior, a ver si hay alguna versión antigua. Y si es así, a actualizar. Y antes, pues como ya habrás pensado, mirar si se han creado usuarios nuevos o hay conexiones salientes nuevas.
Y si sólo se conectan desde esa dirección ip rusa, pues por el momento, filtrarla con algún firewall o el router. Ni peticiones de entrada ni de salida. Si consigues eso, quizá te deje de molestar mientras buscas por dónde ha entrado.
A mi, en vez de un APT me da más que es algo automatizado buscando software con bugs que estén públicos o, por otro lado, tal y como dices, que el usuario se haya infectado con un virus.
En fin, para ganar tiempo, intenta filtrar esa ip rusa, a ver si se te conectan desde otra ubicación.
Saludos y ánimos.