Начиная с прошлой недели решил проинспектировать логи файрвола, и обнаружил, что через кажную минуту по вечерам ко мне стучались по 135 порту (идентефикация атаки как lsass exploit) адреса 192.168.17.5 192.168.17.33 первый - скорее всего технологический хост, а вот второй - хз кто...