Индра Незатейкина - Дыра

Может, и пропатчить уже успели?; А в чем дыра-то была?». Я удивился. Быть не может! Ткнул в браузере кнопочку «Обновить». Дефейс был на месте. Посмотрел с другой машины — то же самое. Я написал Андрею, что он адрес как-то не так набирает, что все на месте, дыра у них двухлетней давности и дал соответствующую ссылку на securitylab.ru. Через минуту я получил оскорбительный ответ: «Как не то набираю? Ты мне сам _ссылку_ кинул! Ты кэш в браузере очисти — поможет;)» Мы еще минут десять повыясняли отношения — уже по аське — и пришли к заключению, что я из своей сети вижу одно, а Андрей из своей — совсем другое. Это было довольно странно, мы долго пинговали несчастный «Роскомп», искали его в DNS’е и посимвольно сличали результаты. Все было правильно и поэтому непонятно.

— Кинь-ка мне в почту отчет «спайдера», — попросил Андрей. — Сейчас со своим сопоставлю…

Гуру долго молчал, видимо, поглощенный увлекательной игрой «найди 10 отличий между картинками». Потом выдал заключение:

— Ну, дела! Ftp, www — это понятно, но эхо-то они зачем открыли? И datetime? И chargen? И нетбиос в инет торчит — да уж, решето… Сервис-пака даже первого не установлено. «Или я дурак, или лыжи не едут». Это определенно две разных системы, — он прислал мне свой результат сканирования. Общего между системами и вправду было мало. Та, которую видел я, была насквозь дырявой и почти не настроенной после установки по умолчанию, другая, распечатку которой сделал Андрей, была пропатчена до состояния видимого отсутствия тривиальных уязвимостей и довольно грамотно сконфигурирована.

— Спасибо хоть, что и то и то «двухтонник», — сказал я. — Не понимаю, как можно спокойно спать, когда винда в интернет выставлена. Но это, конечно, их дела…

— Стоп, я все понял! — воскликнул вдруг Гуру. — Все ясно, как божий день, как я сразу не допер! Просто у них стоит файрволл, который запросы на веб-сервер из нашей сети редиректит на одну машину, а из вашей — на совсем другую!

— А так можно? — усомнился я.

— Pf умеет, — сказал Андрей, и для тупых типа меня, пояснил: — Стандартный файрволл в OpenBSD.

Гуру сдвинут на OpenBSD, она у него везде, кажется, даже на его рабочей станции.

— Но вот уж за что вашей подсетке такая честь, что вам непатченная винда на растерзание оставлена, это уж я не знаю, — продолжал Андрей.

Мне вдруг стало сильно не по себе.

— Ты хочешь сказать — это «honeypot»? — выдавил я.

— Чести много! Кому ты нужен! — фыркнул Андрей. — Недохакер несчастный!

— А что тогда?

— А я откуда знаю? Ты их админу напиши.

— Поздно — я же им уже сайт дефейснул…

— Ну, тогда жди, когда они к тебе сами придут, вместе с отрядом ОМОНа, и все популярно разъяснят, — Андрей продолжал потешаться. Он радовался, что все стало просто и понятно.

Я промолчал, сжал зубы и снова уставился в результаты сканирования.

— Он, кстати, и время неправильное отдает, — сказал я. — 16 декабря 2000-ого года. Сейчас же не 2000-ый год, или я что-то путаю?

— С утра был 2004-ый, — согласился Андрей. — Ну и что удивительного? Ненастроенная системка, все брошено по умолчанию, и зачем-то в инет высунута. Ладно, ты жди ОМОН, а я пошел делами заниматься — мне еще squid патчить и компилить от таких, как ты…

«Юморист», — мрачно подумал я. — «Очень смешно…»

Едва я, погруженный в мрачные раздумья, успел взяться за какую-то накопившуюся рутину типа анализа логов, как в аське снова появился Андрей.

— Слушай, забыл попросить, — сказал он. — Так, интересно просто. Кинь страничку своего дефейса посмотреть, а?

— Смотри, не жалко, — я послал ему картинку. — Оцени мой талант компьютерного дизайнера, раз уж хакер из меня никудышный…

Андрей получил картинку и надолго замолчал. Мне даже показалось, что его куда-то срочно вызвали, поэтому я не стал дожидаться его комментариев и снова занялся логами.

— Слушай-ка, — неожиданно возник Гуру. — Ты откуда эту картинку взял?

— Блин, из бесплатной фотогалереи скачал! Говорю же — сам нарисовал, что не так?

— Честно — сам?

— Тебе psd-файл прислать, со слоями? — ехидно поинтересовался я.

— Ладно, верю, — неохотно согласился Гуру. — «Defaced by Ne@r». Ne@r — это, значит, ты?

— Значит, я! — я начал злиться. — Ты мой почтовый ящик не знаешь — near@pisem.net?

— Там собаки нет…

— Еще бы там собака была! Ты как себе это представляешь? — меня раздражало, что Андрей что-то знает и не хочет объяснить по-человечески.

— Слушай… У тебя винда там… сервер терминалов есть где-нибудь в сетке или radmin какой-нибудь?

— Все у меня есть, — сердито ответил я. — Radmin на всех критичных машинах, терминалку, если нужна, могу поднять — проблема-то.

— Пусти меня radmin’ом на одну машинку, а? — попросил Андрей. — Хочу от вас на этот сайт посмотреть.

— Иди, не жалко, — я открыл доступ андреевой подсети на одну из своих рабочих станций с radmin’ом. — Только не долго.

Минут через десять, сунувшись в консоль MDaemon'а — моего почтового сервера, я обнаружил, что конвертик в трее синий, почта не ходит, и вообще наблюдаются какие-то проблемы с каналом в интернет. Пинганув ya.ru, я убедился, что связь с внешним миром отсутствует. Tracert затыкался на нашем маршрутизаторе. Тут же позвонил пользователь из отдела продаж и объявил, что «интернет не работает».

— Черт! — сказал я и полез в стойку — смотреть на «циску». Маршрутизатор, похоже, действительно, висел — светодиоды на интерфейсах светились, но не мигали. Попытка зайти с консоли результата не дала. Пришлось жать кнопку «ресет» и еще минут десять отвечать на звонки рассерженных пользователей.

Потом, когда я, наконец, добрался до своей машины и нажал в браузере кнопку «обновить», я убедился, что мой дефейс исчез, и сайт «Роскомпа» выглядит, как обычно.

— Та-ак, — пробормотал я и попытался вызвать Андрея.

Как ни странно, Андрей ответил.

— Сам вижу, — сказал он.

— Я маршрутизатор перезагрузил, — пояснил я. — Может это быть связано?

— Еще как может, — загадочно подтвердил Гуру.

— Да хватит туману напускать! — не выдержал я. — Объясни — ты что-то понял?

— Не поверишь, — безнадежно ответил Гуру. — Я и сам не верю.

— Да что такое-то?

— Я этот твой дефейс уже видел. Четыре года назад, когда в «Роскомпе» работал.

— Что?..

— 16 декабря 2000 года, как сейчас помню. Впервые мой сервер дефейснули, и, главное, я так и не понял, где была дыра… И по логам было не выяснить. Все баг-треки перерыл — не было на тот момент ничего такого известно, и экплойтов не было… Я тогда этого Ne@r’а нашел бы — придушил собственными руками…

Я молчал с минуту, осмысливая его слова. Вспомнился институтский курс сетевых технологий — всякие там страшные байки про петли маршрутизации и расщепленные горизонты. Я знал, что не может этого быть, но Гуру не стал бы меня так глупо разыгрывать. Не его это методы.

Читать дальше