Gli "Ospiti" della Sala Macchine


Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Set language to:en it | Login/Register


Nota: i miei commenti (quando ci sono) sono in italico

Ai Confini Di IIS...

Oggi credo di aver stabilito un record da Guinness dei Primati.

Mi chiama il capo, dicendo che il server web (Windows 2000) e' andato giu' di nuovo. Siccome quella macchina aveva sempre avuto dei problemi (ahime', ce l'ho in cura solo da un paio di settimane, non l'ho messa su io), decido di dargli una buona controllata.

Trovo innanzitutto una miriade di servizi del tutto inutili: dhcp e dns installati e non configurati, servizi Windows Media che stanno li' solo a fare scena, servizi di installazione remota, protocollo AppleTalk (non c'e' un Mac nel raggio di dieci chilometri), Network Monitor, QoS, chi piu' ne ha piu' ne metta. Ricordo che la macchina fa solo da server web, il server della LAN e' un altro (un altro caso patologico, ma sorvoliamo...).

Ok, evidentemente il vecchio sysadmin era un fanatico del tipo "se c'e' lo installo", mi metto li' e faccio piazza pulita... anche se ogni tanto Windows protesta perche' qualche file non e' come dovrebbe essere; solo dopo avrei capito cosa voleva dire...

Ok, a questo punto spulcio l'elenco dei programmi installati e ci trovo i resti di due server FTP parzialmente disinstallati, piu' un terzo attivo (oltre a quello di IIS), un antivirus e un personal firewall. Da notare che la macchina e' dietro un firewall con Linux... il quale e' configurato come un semplice router, non blocca nemmeno una singola porta. Vabbe', sorvoliamo, tanto sto montando i server nuovi... piallo un po' di programmi inutili, e inizio a dedicarmi al discorso patch.

Trovo il sistema con sopra IE5 e il Service Pack 3, e capisco che la cosa e' seria. Inizio a mettere su il SP4, e mi sento dire "impossibile accedere a NTDLL.DLL, probabilmente e' in uso da un altro programma". Spavento...

Controllo i processi in esecuzione, e ne trovo quattro o cinque che mi ispirano ben poca fiducia. Do' un 'occhiata a log, e trovo lamentele di servizi (mai sentiti nominare!) che non riescono a partire. Nel tentativo di capirci qualcosa disinstallo tutto tranne lo stretto necessario (IIS e SQL Server 7 che usano alcuni siti), e quei processi sono ancora la'. Ok, metto mano alla lista dei servizi... e trovo almeno tre trojan camuffati con nomi altisonanti tipo "questo servizio fornisce comunicazioni di rete sicure e protette", oltre a due bellissimi eseguibili nella cartella C:\WINNT\Fonts (!!!). Piallo senza pieta' i servizi estranei attraverso il registro, e mi dedico al disco... e trovo i log (!) di un paio di trojan che stavano li' a fare da file repository per l'hacker di turno. Trovo file altrui in C:\System Volume Information (e chi li vedeva, li' ha accesso solo System), piallo anche quelli. Un'ecatombe... e il bello di tutto ciņ e' che il Norton Antivirus installato e autoaggiornantesi non si era accorto di nulla.

Nota mia: questo mi conferma che NAV e' una chiavica pazzesca

Vabbe'...

Inizio con le patch, metto su il SP4... e di nuovo "impossibile accedere a NTDLL.DLL". Incuriosito controllo i permessi... e scopro che le autorizzazioni di default su quel file sono state piallate e sostituite con full control a tutti gli utenti web (non ricordo il nome del gruppo, qualcosa di simile). Ulteriore panico... resetto i permessi e finalmente il service pack si installa. Speriamo abbia sovrascritto tutti i file manipolati...

Ultimi passaggi, IE6, un sano Windows Update e via, e gia' che ci sono anche il SP4 di SQL Server 7 (che ovviamente nessuno aveva installato). Ora la macchina e' su e funziona, peccato che nel frattempo sia morto il DC, per una serie di motivi sostanzialmente analoghi, uniti al colpo di grazia mollatogli dal worm piu' popolare al momento :-(

Ci credo che a quella capra del vecchio sistemista non gli hanno rinnovato il contratto...

Massimo
19/08/2003 00:00

Previous elenco Next

le storie degli ospiti sono in ordine sparso, quindi 'precedente' e 'successiva' possono portare su storie di altri autori

Comments are added when and if I (or the story's author) has the time to check them and after removing junk, phishing and so on. So don't hold your breath. Besides, if your comment doesn't get posted, don't write me about it. Evidently it wasn't worth it.

2 messages this document does not accept new posts

renato gallo

renato gallo By renato gallo posted 25/06/2008 20:01

scusa ma se avevi un bel pinguinetto a due passi piazzare un apache e confare il tutto in modo da eliminare definitivamente il problema no ?

bracco

bracco By bracco posted 09/10/2008 18:18

uddio norton antivirus... e' la prima cosa che disinstallo quando devo fare pulizia. Anche perche' non l'ho MAI visto funzionare a dovere


Previous tales' list Next


This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.


This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.

This site isn't optimized for vision with any specific browser, nor it requires special fonts or resolution.
You're free to see it as you wish.

Web Interoperability Pleadge Support This Project
Powered By Gojira