schegloff's Journal

О взломах - 1, или Сам себе хакер Хэлл
Спасибо Андрею, что напомнил - А где обещанная душераздирающия история про обрушение ПК с эпиграфом "На хрена нам враги, когда есть такие друзья!" (с) БГ? ;-) - расскажу, пока окончательно не забылось. Итак, пару недель назад, в пятницу вечером, жду это я на свою корпоративную почту емэйл в парочку мегабайт. Смотрю - Outlook коннектится к серверу, начинает грузить письмо, но так ме-е-едленно, будто у меня не мегабитная выделенка, а дохлый модем на 2400. Посмотрел я на это дело, да и плюнул - в понедельник докачаю.

В понедельник с утра - та же картина: письма не грузятся. И Интернет работает как-то странно, страничка Google загружается в два-три приема. Такое ощущение, что кроме меня к Сети еще кто-то подключен, и забрал себе 99,9% траффика. Кто же это у нас такой важный? Иду в серверную, включаю монитор и первое, что вижу - в уголке экрана нет привычной иконки с белым знаком вопроса в синем кружочке. Outpost выброшен из памяти, сервер открыт для всей Сети - хоть данные на винте шифруй, хоть спам с моего адреса рассылай!

Дело ясное, думаю - проник на машину сетевой червь, отключил файрволл и теперь ждет инструкций. Протягиваю руку и выдергиваю из сервера интернетный сетевой кабель. В то же мгновение у меня гаснет монитор. Полное ощущение, что червь был в коннекте, и как только тот прервался, вырубил машину. Задать себе вопрос - а зачем ему это? - я не успеваю, чего думать, трясти надо. Включаю сервер обратно и вижу что-то вроде "Non-bootable disk. Insert diskette in floppy A:"...

Настроение у меня в этот момент соответствующее:

Какой ты сисадмин?

Дорогой Schegloff,

Ты не сисадмин, ты ламер! Тебя нельзя подпускать к компьютеру! На всякий случай, рассказываем: кнопка any key находится на системном блоке рядом с кнопкой выключения питания. Теперь нажми кнопку выключения питания и больше не трогай этот ящик!

Правильных ответов: 1 из 16

Пройти тест: Какой ты сисадмин?

Одно слово, утро понедельника. Сам я все что мог сделал, теперь нужно обращаться за помощью к настоящему сисадмину. Звоню Косте, который у нас на фирме эту функцию выполняет, и говорю - так мол и так, залез вирус, при попытке придушить грохнул винт и выключил сервер. Костя в ответ - пока в другом месте занят, ты главное не паникуй, посмотри для начала, что на винте сохранилось. Да чего там может сохранится, отвечаю безнадежно, это же вирус, его же крутой хакер подослал... Вот и проверь, говорит Костя. Я все равно только часа через четыре смогу приехать.

Делать нечего - продолжаю свою пагубную самодеятельность. Снимаю винт, цепляю к своей рабочей машине. Гора с плеч - данные на месте. А это еще что такое? Нет свободного места на диске D: (бывший C:)? Вирус что, весь мой сетевой траффик писал?! Зачем???

Ладно, потом разберемся. Напускаю на диск Касперского, и вот уже гад попался - Net-Worm.Win32.Allaple.b. Судя по описанию аналогов - сетевой червь, распространяющийся через дыру в RAdmin. Кроме функции самотиражирования, имеет еще и возможность догружать в систему дополнительные трояны (которые могут Касперским и не ловиться).

ОК, как меня взломали, понятно. Теперь самое время глянуть, кто же все свободное место скушал. Смотрю, какой каталог самый большой - ну да, программы, в нем - прокси, в ней - Log... не чистившийся с девятьсот мохнатого года. Червь, оказывается, не при чем - система сама себя зафлудила. Ну, не без моей помощи, конечно. Мог бы за последние годы хоть раз в логи заглянуть. Но это же вспомнить надо было, что диск C: был нарезан всего в 2 гигабайта, из каких-то уже забытых соображений.

Ну хорошо, а сервер-то кто выключил?! Терзаемый смутными сомнениями, возвращаюсь в серверную и вижу: удлинитель, куда воткнуты шнуры питания монитора и сервера, лежит на боку, а рядом с ним лежит красная кнопка ВКЛ-ВЫКЛ. Видимо, кто-то на нее в незапамятные времена наступил, кнопка отвалилась, а контакты остались замкнуты. До тех пор пока не пришел я и не пошевелил кабеля, чтобы отрезать вирус от Интернета. По самые уши.

Когда через четыре часа приезжает Костя, картина разрушений дополняется еще одним штрихом: при попытке снова запустить комп кулер на процессоре вращаться отказывается. Хуже того, его даже пальцем не провернуть - забит пылью насмерть. Разумеется, винда на такой комп устанавливаться не желает. Добываем в подсобке другой, и заново конфигурируем всю систему... но это уже другая история.

Так вот, рассказывайте мне теперь, что бомба в одну и ту же воронку два раза не падает. Четыре "бомбы" - 1) забитый лог, 2) остановившийся кулер, 3) сломанная кнопка питания, 4) сетевой червь - и все практически одновременно. Зачем мне враги, когда я сам себе такой друг?

Ну и при чем здесь взломы, спросите? Да при том, что умелый пользователь и без всякого взлома может дел наворотить. Собственную квалификацию повышать надо, а не кулкацкеров под подушкой искать. Вот этим - повышением квалификации - мы в следующей части и займемся.

P.S. Просьба: давайте не будем обсуждать здесь технические подробности этого эпизода и моих последующих действий. Я всего лишь хотел проиллюстрировать на собственном примере (вроде не дурак, и в IT что-то понимаю), с кем обычно имеют дело сетевые преступники. С такими же точно ламерами, как я. И советовать таким ламерам "поставь линух" бесполезно - кулер как был забит пылью, так и останется. Не советы здесь нужны, а постоянное обучение. Иначе в современной Сети не выжить.