Podzim není kočka, s nikým se nemazlí. Poslední dva týdny byly vůbec celkově přítulné asi jako jezevec. Samý spěch, zmrvené projekty, dobíhající symboly zpackané korupce bývalého vedení… to všechno se podepsalo na letošním sychrání.
Protože se pomalinku chystá den, kdy se otevřou síťové dveře evidence do světa skutečně všem, našla se krom odšifrování spojení konečně i špetka času a odvahy pro zjištění způsobu doručování e-mailů. V zásadě jsou asi dvě možnosti - buď se do Windows Serveru napaští jako role plnohodnotný mailserver, nebo se použije jen odlehčená SMTP komponenta pro IIS. No budiž, říkám si, co na to přeci může být těžkého, že? V první řadě celou situaci nepatrně komplikovala skutečnost, že posílat ke skenování instalační DVDčko přes RDP je extrémně pomalé, ale mimo nekonečné čekání a zamrzající explorer to vlastně ani nestojí za řeč. Přerušení přišlo až v okamžiku pokusu o spuštění, kdy se ukázalo, že prostě nestačí jen ťuknout na šipečku a vůbec celé IIS nešlo restartovat klasickým způsobem - reboot celého OS byl jedinou možností a tato prodleva opět způsobila neskutečnou nevrlost. Vše naběhlo - všichni jásají - a zbývalo už jen nastavit relay a jiné zbytečnosti.
Když přišla řeč na relay, tj. v tomhle případně vnitrosítní mailserver, přes něž budou vyřizovány požadavky jiných, objevil se z nenadání další a úplně nový záchytný bod. Na naší Jessie, produkční platformě celého zvěrstva, běží úplně normálně exim4 a především sloužil k tomu, aby unattended updaty a výpadky proudu měly možnost se bez váhání zpovídat ze svých hříchů. Někdy v únoru maily přestaly komplet chodit, takže to znamenalo buť úplnou pohodu, nebo selhání nějaké konfigurace. Dokud to nehoří, není co hasit. Podobně jako když člověk přesnane platiti telefon - prostě mu přestanou volat.
Ve snaze to opět oživit se ukázalo, že exim je nastavený dobře, lokálně eximuje taky správně, a měl by tedy být schopný eximovat i ven. Trochu ho povýšit a autorizovat na hostingovou relay taky nevyšlo, ale v logu se začaly objevovat nové věci - že je spojení zavrženo, protože jsme extremisti, spameři a rarášci a máme záznam v CBL. A vskutku, v CBL byl záznam :-o. To si tak lidi po letech přinesli do práce svoje flashky a zavirovlai síť dneska už celkem starým Confickerem, který se samozřejmě automaticky šířil celou sítí a botnetoval, co ho zrovna napadlo. Jenže právě někdy v tom únoru narazil na narafičenou sinkhole (jamku), která byla zodpovědná za zápis do CBL - jahah, a máme to.
Skenování v rámci LAN je celkem snadné, dá se dělat přes skripty nmapem, nebo je na to taky dost dobrá a velmi rychlá pythonová utilita z Universität Bonn. Takovýto objev na síti vždycky ukáže ty největší slabiny. Především to, že nikdy, nikdy a za žádných okolností se nesmí zaměstnancům povolovat mít v práci vlastní zařízení. Jeden kolega si tam v kanceláři běží svůj vlastní stroj, dokonce s 15” CRT monitorem a v 1024x768, takže mu tam sice nic neběží, ale pořád říká, že je ten počítač vlastně pořád nový. Jenže nový je už skoro 15 let. Kdepak, žádné ústupky. Dneska si donesou vlastní XPčka a zítra začnou stavět mešitu. To tak. Druhý nalezený infikovaný nářez je opět mimo naši gesci, jedná se o objednávkový systém kdovíčeho, kam si externí dodavatel přistupuje z druhého konce země a nic ho nezajímá. Pokud se oba případy podaří potrestat, budeme nejlepší.
Přes víkend, jak už jsou tyhle soboty a pátky, nebylo zavirování sítě jediným zjištěním tohoto druhu. Během chvíle, co člověk nezištně obdivuje mladé doktorandky, se úplně klidně může stát, že někdo najednou přijde a zaviruje ho. A není to tak, jako když se do někoho zaviruje Jelenka. Prostě následujícího večera přijde okamžik, kdy se všechno vypne a v krku se bez jakéhokoliv varování vyrojí viróza, na kterou neplatí skoro žádné nástroje. K čertu s tím. Jako kdyby to už tak nebylo dost složité.