Gli "Ospiti" della Sala Macchine |
Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Imposta lingua:en it | Login/Register
Mi chiama il capo, dicendo che il server web (Windows 2000) e' andato giu' di nuovo. Siccome quella macchina aveva sempre avuto dei problemi (ahime', ce l'ho in cura solo da un paio di settimane, non l'ho messa su io), decido di dargli una buona controllata.
Trovo innanzitutto una miriade di servizi del tutto inutili: dhcp e dns installati e non configurati, servizi Windows Media che stanno li' solo a fare scena, servizi di installazione remota, protocollo AppleTalk (non c'e' un Mac nel raggio di dieci chilometri), Network Monitor, QoS, chi piu' ne ha piu' ne metta. Ricordo che la macchina fa solo da server web, il server della LAN e' un altro (un altro caso patologico, ma sorvoliamo...).
Ok, evidentemente il vecchio sysadmin era un fanatico del tipo "se c'e' lo installo", mi metto li' e faccio piazza pulita... anche se ogni tanto Windows protesta perche' qualche file non e' come dovrebbe essere; solo dopo avrei capito cosa voleva dire...
Ok, a questo punto spulcio l'elenco dei programmi installati e ci trovo i resti di due server FTP parzialmente disinstallati, piu' un terzo attivo (oltre a quello di IIS), un antivirus e un personal firewall. Da notare che la macchina e' dietro un firewall con Linux... il quale e' configurato come un semplice router, non blocca nemmeno una singola porta. Vabbe', sorvoliamo, tanto sto montando i server nuovi... piallo un po' di programmi inutili, e inizio a dedicarmi al discorso patch.
Trovo il sistema con sopra IE5 e il Service Pack 3, e capisco che la cosa e' seria. Inizio a mettere su il SP4, e mi sento dire "impossibile accedere a NTDLL.DLL, probabilmente e' in uso da un altro programma". Spavento...
Controllo i processi in esecuzione, e ne trovo quattro o cinque che mi ispirano ben poca fiducia. Do' un 'occhiata a log, e trovo lamentele di servizi (mai sentiti nominare!) che non riescono a partire. Nel tentativo di capirci qualcosa disinstallo tutto tranne lo stretto necessario (IIS e SQL Server 7 che usano alcuni siti), e quei processi sono ancora la'. Ok, metto mano alla lista dei servizi... e trovo almeno tre trojan camuffati con nomi altisonanti tipo "questo servizio fornisce comunicazioni di rete sicure e protette", oltre a due bellissimi eseguibili nella cartella C:\WINNT\Fonts (!!!). Piallo senza pieta' i servizi estranei attraverso il registro, e mi dedico al disco... e trovo i log (!) di un paio di trojan che stavano li' a fare da file repository per l'hacker di turno. Trovo file altrui in C:\System Volume Information (e chi li vedeva, li' ha accesso solo System), piallo anche quelli. Un'ecatombe... e il bello di tutto ciņ e' che il Norton Antivirus installato e autoaggiornantesi non si era accorto di nulla.
Nota mia: questo mi conferma che NAV e' una chiavica pazzesca
Vabbe'...
Inizio con le patch, metto su il SP4... e di nuovo "impossibile accedere a NTDLL.DLL". Incuriosito controllo i permessi... e scopro che le autorizzazioni di default su quel file sono state piallate e sostituite con full control a tutti gli utenti web (non ricordo il nome del gruppo, qualcosa di simile). Ulteriore panico... resetto i permessi e finalmente il service pack si installa. Speriamo abbia sovrascritto tutti i file manipolati...
Ultimi passaggi, IE6, un sano Windows Update e via, e gia' che ci sono anche il SP4 di SQL Server 7 (che ovviamente nessuno aveva installato). Ora la macchina e' su e funziona, peccato che nel frattempo sia morto il DC, per una serie di motivi sostanzialmente analoghi, uniti al colpo di grazia mollatogli dal worm piu' popolare al momento :-(
Ci credo che a quella capra del vecchio sistemista non gli hanno rinnovato il contratto...
Massimo
19/08/2003 00:00
le storie degli ospiti sono in ordine sparso, quindi 'precedente' e 'successiva' possono portare su storie di altri autori
I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli (io o l'autore della storia) e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.
In aggiunta: se il vostro commento non viene pubblicato non scrivetemi al riguardo, evidentemente non era degno di pubblicazione.
renato gallo Di renato gallo postato il 25/06/2008 20:01
bracco Di bracco postato il 09/10/2008 18:18
Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.
Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.
Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".