Nota: i miei commenti (quando ci sono) sono in italico
Ai Confini Di IIS...
Oggi credo di aver stabilito un record da Guinness dei Primati.
Mi chiama il capo, dicendo che il server web (Windows 2000) e' andato giu' di
nuovo. Siccome quella macchina aveva sempre avuto dei problemi (ahime', ce
l'ho in cura solo da un paio di settimane, non l'ho messa su io), decido di
dargli una buona controllata.
Trovo innanzitutto una miriade di servizi del tutto inutili: dhcp e dns
installati e non configurati, servizi Windows Media che stanno li' solo a
fare scena, servizi di installazione remota, protocollo AppleTalk (non c'e'
un Mac nel raggio di dieci chilometri), Network Monitor, QoS, chi piu' ne ha
piu' ne metta. Ricordo che la macchina fa solo da server web, il server della
LAN e' un altro (un altro caso patologico, ma sorvoliamo...).
Ok, evidentemente il vecchio sysadmin era un fanatico del tipo "se c'e' lo
installo", mi metto li' e faccio piazza pulita... anche se ogni tanto Windows
protesta perche' qualche file non e' come dovrebbe essere; solo dopo avrei
capito cosa voleva dire...
Ok, a questo punto spulcio l'elenco dei programmi installati e ci trovo i
resti di due server FTP parzialmente disinstallati, piu' un terzo attivo
(oltre a quello di IIS), un antivirus e un personal firewall. Da notare che
la macchina e' dietro un firewall con Linux... il quale e' configurato come un
semplice router, non blocca nemmeno una singola porta. Vabbe', sorvoliamo,
tanto sto montando i server nuovi... piallo un po' di programmi inutili, e
inizio a dedicarmi al discorso patch.
Trovo il sistema con sopra IE5 e il Service Pack 3, e capisco che la cosa e'
seria. Inizio a mettere su il SP4, e mi sento dire "impossibile accedere a
NTDLL.DLL, probabilmente e' in uso da un altro programma". Spavento...
Controllo i processi in esecuzione, e ne trovo quattro o cinque che mi
ispirano ben poca fiducia. Do' un 'occhiata a log, e trovo lamentele di
servizi (mai sentiti nominare!) che non riescono a partire. Nel tentativo di
capirci qualcosa disinstallo tutto tranne lo stretto necessario (IIS e SQL
Server 7 che usano alcuni siti), e quei processi sono ancora la'. Ok, metto
mano alla lista dei servizi... e trovo almeno tre trojan camuffati con nomi
altisonanti tipo "questo servizio fornisce comunicazioni di rete sicure e
protette", oltre a due bellissimi eseguibili nella cartella C:\WINNT\Fonts
(!!!). Piallo senza pieta' i servizi estranei attraverso il registro, e mi
dedico al disco... e trovo i log (!) di un paio di trojan che stavano li' a
fare da file repository per l'hacker di turno. Trovo file altrui in
C:\System Volume Information (e chi li vedeva, li' ha accesso solo System),
piallo anche quelli. Un'ecatombe... e il bello di tutto ciņ e' che il Norton
Antivirus installato e autoaggiornantesi non si era accorto di nulla.
Nota mia: questo mi conferma che NAV e' una chiavica pazzesca
Vabbe'...
Inizio con le patch, metto su il SP4... e di nuovo "impossibile accedere a
NTDLL.DLL". Incuriosito controllo i permessi... e scopro che le
autorizzazioni di default su quel file sono state piallate e sostituite con
full control a tutti gli utenti web (non ricordo il nome del gruppo,
qualcosa di simile). Ulteriore panico... resetto i permessi e finalmente il
service pack si installa. Speriamo abbia sovrascritto tutti i file
manipolati...
Ultimi passaggi, IE6, un sano Windows Update e via, e gia' che ci sono anche
il SP4 di SQL Server 7 (che ovviamente nessuno aveva installato).
Ora la macchina e' su e funziona, peccato che nel frattempo sia morto il DC,
per una serie di motivi sostanzialmente analoghi, uniti al colpo di grazia
mollatogli dal worm piu' popolare al momento :-(
Ci credo che a quella capra del vecchio sistemista non gli hanno
rinnovato il contratto...
Massimo
19/08/2003 00:00
Precedente elenco Successivo
le storie degli ospiti sono in ordine sparso, quindi 'precedente' e 'successiva' possono portare su storie di altri autori
