This site isn't optimized for vision with any specific browser, nor
it requires special fonts or resolution.
You're free to see it as you wish.
Last update: 19/08/2003
Machine's Room's Guests |
|
What's this??? Once upon a time, while I was really bored, I began writing down what's going on in my office in the it.comp.os.linux.sys newsgroup. Whitelding all the names, of course, to protect the guilty. The tales seems to be well accepted, so I decided to preserve them for posterity. After a while, lots of other peoples started sending me theirs tales. So here they are.
|
Note: my comments are in italics, when they are.
Ai Confini Di IIS...Oggi credo di aver stabilito un record da Guinness dei Primati.Mi chiama il capo, dicendo che il server web (Windows 2000) e' andato giu' di nuovo. Siccome quella macchina aveva sempre avuto dei problemi (ahime', ce l'ho in cura solo da un paio di settimane, non l'ho messa su io), decido di dargli una buona controllata. Trovo innanzitutto una miriade di servizi del tutto inutili: dhcp e dns installati e non configurati, servizi Windows Media che stanno li' solo a fare scena, servizi di installazione remota, protocollo AppleTalk (non c'e' un Mac nel raggio di dieci chilometri), Network Monitor, QoS, chi piu' ne ha piu' ne metta. Ricordo che la macchina fa solo da server web, il server della LAN e' un altro (un altro caso patologico, ma sorvoliamo...). Ok, evidentemente il vecchio sysadmin era un fanatico del tipo "se c'e' lo installo", mi metto li' e faccio piazza pulita... anche se ogni tanto Windows protesta perche' qualche file non e' come dovrebbe essere; solo dopo avrei capito cosa voleva dire... Ok, a questo punto spulcio l'elenco dei programmi installati e ci trovo i resti di due server FTP parzialmente disinstallati, piu' un terzo attivo (oltre a quello di IIS), un antivirus e un personal firewall. Da notare che la macchina e' dietro un firewall con Linux... il quale e' configurato come un semplice router, non blocca nemmeno una singola porta. Vabbe', sorvoliamo, tanto sto montando i server nuovi... piallo un po' di programmi inutili, e inizio a dedicarmi al discorso patch. Trovo il sistema con sopra IE5 e il Service Pack 3, e capisco che la cosa e' seria. Inizio a mettere su il SP4, e mi sento dire "impossibile accedere a NTDLL.DLL, probabilmente e' in uso da un altro programma". Spavento... Controllo i processi in esecuzione, e ne trovo quattro o cinque che mi ispirano ben poca fiducia. Do' un 'occhiata a log, e trovo lamentele di servizi (mai sentiti nominare!) che non riescono a partire. Nel tentativo di capirci qualcosa disinstallo tutto tranne lo stretto necessario (IIS e SQL Server 7 che usano alcuni siti), e quei processi sono ancora la'. Ok, metto mano alla lista dei servizi... e trovo almeno tre trojan camuffati con nomi altisonanti tipo "questo servizio fornisce comunicazioni di rete sicure e protette", oltre a due bellissimi eseguibili nella cartella C:\WINNT\Fonts (!!!). Piallo senza pieta' i servizi estranei attraverso il registro, e mi dedico al disco... e trovo i log (!) di un paio di trojan che stavano li' a fare da file repository per l'hacker di turno. Trovo file altrui in C:\System Volume Information (e chi li vedeva, li' ha accesso solo System), piallo anche quelli. Un'ecatombe... e il bello di tutto ciņ e' che il Norton Antivirus installato e autoaggiornantesi non si era accorto di nulla. Nota mia: questo mi conferma che NAV e' una chiavica pazzesca Vabbe'... Inizio con le patch, metto su il SP4... e di nuovo "impossibile accedere a NTDLL.DLL". Incuriosito controllo i permessi... e scopro che le autorizzazioni di default su quel file sono state piallate e sostituite con full control a tutti gli utenti web (non ricordo il nome del gruppo, qualcosa di simile). Ulteriore panico... resetto i permessi e finalmente il service pack si installa. Speriamo abbia sovrascritto tutti i file manipolati... Ultimi passaggi, IE6, un sano Windows Update e via, e gia' che ci sono anche il SP4 di SQL Server 7 (che ovviamente nessuno aveva installato). Ora la macchina e' su e funziona, peccato che nel frattempo sia morto il DC, per una serie di motivi sostanzialmente analoghi, uniti al colpo di grazia mollatogli dal worm piu' popolare al momento :-( Ci credo che a quella capra del vecchio sistemista non gli hanno rinnovato il contratto...
Massimo guest's tales are "random", so the 'next' and 'previous' link can very well bring you to somebody's else tale.
|
|
|
Commenti I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.
|
2 commenti renato gallo dice il 20/06/2008 16:05: scusa ma se avevi un bel pinguinetto a due passi piazzare un apache e confare il tutto in modo da eliminare definitivamente il problema no ? bracco dice il 09/10/2008 17:41: uddio norton antivirus... e' la prima cosa che disinstallo quando devo fare pulizia. Anche perche' non l'ho MAI visto funzionare a dovere |
|
|
Aggiungi un commento I commenti non sono storie, trattenete la vena poetica ed evitate di scrivere la Divina Commedia. Eventualmente leggete le istruzioni su come mandare le vostre storie per la pubblicazione. |
Aggiungi un commento (max 1000 caratteri)
|
| Copyright | This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail. |
This site isn't optimized for vision with any specific browser, nor
it requires special fonts or resolution.
You're free to see it as you wish.
Last update: 19/08/2003