Gli "Ospiti" della Sala Macchine


Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire
Cose' sta' roba???

Qualche tempo fa', un po' annoiato, mi sono messo a scrivere quello che succede nel mio ufficio (rimuovendo i nomi ovviamente) sul gruppo it.comp.os.linux.sys. La cosa pare abbia trovato degli estimatori, cosi' ho pensato di "preservare" questi capolavori per i posteri...

Un po' di tempo dopo qualcuno ha pensato che poteva inviarmi le SUE storie da pubblicare. Percio' eccole qui'.

Nota: i miei commenti (quando ci sono) sono in italico

Ai Confini Di IIS...

Oggi credo di aver stabilito un record da Guinness dei Primati.

Mi chiama il capo, dicendo che il server web (Windows 2000) e' andato giu' di nuovo. Siccome quella macchina aveva sempre avuto dei problemi (ahime', ce l'ho in cura solo da un paio di settimane, non l'ho messa su io), decido di dargli una buona controllata.

Trovo innanzitutto una miriade di servizi del tutto inutili: dhcp e dns installati e non configurati, servizi Windows Media che stanno li' solo a fare scena, servizi di installazione remota, protocollo AppleTalk (non c'e' un Mac nel raggio di dieci chilometri), Network Monitor, QoS, chi piu' ne ha piu' ne metta. Ricordo che la macchina fa solo da server web, il server della LAN e' un altro (un altro caso patologico, ma sorvoliamo...).

Ok, evidentemente il vecchio sysadmin era un fanatico del tipo "se c'e' lo installo", mi metto li' e faccio piazza pulita... anche se ogni tanto Windows protesta perche' qualche file non e' come dovrebbe essere; solo dopo avrei capito cosa voleva dire...

Ok, a questo punto spulcio l'elenco dei programmi installati e ci trovo i resti di due server FTP parzialmente disinstallati, piu' un terzo attivo (oltre a quello di IIS), un antivirus e un personal firewall. Da notare che la macchina e' dietro un firewall con Linux... il quale e' configurato come un semplice router, non blocca nemmeno una singola porta. Vabbe', sorvoliamo, tanto sto montando i server nuovi... piallo un po' di programmi inutili, e inizio a dedicarmi al discorso patch.

Trovo il sistema con sopra IE5 e il Service Pack 3, e capisco che la cosa e' seria. Inizio a mettere su il SP4, e mi sento dire "impossibile accedere a NTDLL.DLL, probabilmente e' in uso da un altro programma". Spavento...

Controllo i processi in esecuzione, e ne trovo quattro o cinque che mi ispirano ben poca fiducia. Do' un 'occhiata a log, e trovo lamentele di servizi (mai sentiti nominare!) che non riescono a partire. Nel tentativo di capirci qualcosa disinstallo tutto tranne lo stretto necessario (IIS e SQL Server 7 che usano alcuni siti), e quei processi sono ancora la'. Ok, metto mano alla lista dei servizi... e trovo almeno tre trojan camuffati con nomi altisonanti tipo "questo servizio fornisce comunicazioni di rete sicure e protette", oltre a due bellissimi eseguibili nella cartella C:\WINNT\Fonts (!!!). Piallo senza pieta' i servizi estranei attraverso il registro, e mi dedico al disco... e trovo i log (!) di un paio di trojan che stavano li' a fare da file repository per l'hacker di turno. Trovo file altrui in C:\System Volume Information (e chi li vedeva, li' ha accesso solo System), piallo anche quelli. Un'ecatombe... e il bello di tutto ciņ e' che il Norton Antivirus installato e autoaggiornantesi non si era accorto di nulla.

Nota mia: questo mi conferma che NAV e' una chiavica pazzesca

Vabbe'...

Inizio con le patch, metto su il SP4... e di nuovo "impossibile accedere a NTDLL.DLL". Incuriosito controllo i permessi... e scopro che le autorizzazioni di default su quel file sono state piallate e sostituite con full control a tutti gli utenti web (non ricordo il nome del gruppo, qualcosa di simile). Ulteriore panico... resetto i permessi e finalmente il service pack si installa. Speriamo abbia sovrascritto tutti i file manipolati...

Ultimi passaggi, IE6, un sano Windows Update e via, e gia' che ci sono anche il SP4 di SQL Server 7 (che ovviamente nessuno aveva installato). Ora la macchina e' su e funziona, peccato che nel frattempo sia morto il DC, per una serie di motivi sostanzialmente analoghi, uniti al colpo di grazia mollatogli dal worm piu' popolare al momento :-(

Ci credo che a quella capra del vecchio sistemista non gli hanno rinnovato il contratto...

Massimo


Copyright Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione, cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.

Questo sito e' composto interamente con VIM

Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' per nessuna risoluzione particolare ne' impone l'uso di font particolari. Siate liberi di vederlo come vi pare e piace.
Web Interoperability Pleadge is this a valid html document?

Ultimo aggiornamento: 19/08/2003