..až se ucho utrhne. Jen tak předesílám – v článku se nic objevného nedozvíte, vše důležité je hned na začátku, zbytek je jen drobným rozborem, co se vlastně stalo, a toho, že i ve velké firmě může dojít v serveru paměť… zásluhou jednoho „neškodného“ červa zneužívajícího jisté nedokonalosti microsoftích systémů a fungujícího ve výsledku jako bumerang.
Dneska jsem se výborně pobavil – jedné mé „oblíbené“ firmě vytuhnul mailserver, několik mailserverů, nebo ještě lépe – všechny v DNS zveřejněné MX záznamy patřící do domény microsoft.com přestaly komunikovat, asi tímto způsobem:
[root@linux root]# telnet
telnet> open maila.microsoft.com 25
Trying 131.107.3.124…
Connected to mail2.microsoft.com (131.107.3.124).
Escape character is ‚^]‘.
220 inet-imc-02.redmond.corp.microsoft.com Microsoft.com
ESMTP Server Tue, 20
May 2003 13:15:57 -0700
helo
250 inet-imc-02.redmond.corp.microsoft.com Hello [xxx.xxx.xxx.xxx]
mail
452 4.3.1 Out of memory
Connection closed by foreign host.
[root@linux root]#
root@linux root]# telnet
telnet> open mailb.microsoft.com 25
Trying 131.107.3.123…
telnet: connect to address 131.107.3.123: Connection refused
telnet: Unable to connect to remote host: Connection refused
telnet> open mailc.microsoft.com 25
Trying 131.107.3.121…
telnet: connect to address 131.107.3.121: Connection refused
Co se vlastně stalo? Mezi nejčastější virové smrště patří nejrůznější mailoví červi. Je jich dost, proto kromě antivirového programu na stanicích používám ještě kontrolu mailů přímo na mailserveru, jednoduchý skript v perlu kontrolující mail, především nežádoucí maily s přílohami *.com, *.exe, *.scr a dalšími, uživatelům jistého operačního systému důvěrně známými příponami, případně s nevhodným HTML kódem. Tyto maily nedoručí mailserver adresátovi, ale odloží je bezpečně tak, aby se k uživatelům vůbec nedostaly. A protože jsem slušný a nechci nikomu nic tajit, zdvořile informuji jak adresáta mailu, tak i odesílatele, co se stalo a proč, spolu se stručným návodem, co má udělat, chce-li mi tento mail opravdu poslat. Protože ne všichni pisatelé mailů umí česky, je tento text zasílán jak česky, tak anglicky.
Předpokládám, že podobně se chová více správců mailových serverů, že nějakou tu kontrolu provádí, a pokud něco z důvodu podezření na vir „zahodí“, informují o tom odesílatele a adresáta mailu.
Pravda, občas by správce měl i vědět, co se děje, proto mi chodí kopie chybových hlášek mailem, občas na ně mrknu, některé mažu hned, jiné časem. Ale ta dnešní se mi moc líbila. Poslednímu červíkovi dal do vínku jeho autor kromě jiného i to, že jako odesílatele zprávy dává adresu support@microsoft.com – běžný uživatel operačních systémů této firmy může mít radost z nového screensaveru do svého operačního systému, případně z nového updatu, a tak je velká šance, že se v dobré víře podívá – no, asi se jich podívalo dost, tolik zpráv od Microsoftu můj mailserver už dlouho neviděl… a ve všech nějaký ten screensaver nebo jiná nesmyslnost – inu co, upozorníme příjemce mailu, že žádný *.scr nebude, poděkujeme odesílateli a požádáme ho o zaslání „dat“ vhodnějším způsobem, chce-li nám je opravdu poslat… jednou, podruhé, potřetí, po xxx-té, no mockrát, odesílatel je asi nějký divný, že mu to nestačí jednou, ale jak se do lesa volá, tak se z lesa ozývá, linka je rychlá, volání je dost, ozvěna je hodně vydatná. Jistě jste si všimli a víte, že ozvěna se může zopakovat i několikrát – podobně i na mém mailserveru – nevhodný mail dorazí skupině – ta má například osm adresátů, následuje osm ozvěn (odpovědí) na nevhodný podnět… Je přece slušné, aby všichni adresáti věděli, že byli o něco ošizeni.
Asi nejsem jediný, kdo si kontroluje obsah mailů a ty nevhodné posílá zpět, nebo jen nedoručí a zdvořile o tom informuje odesílatele. Asi taky nejsem jediný, kdo zdvořile informoval support@microsoft.com, že jeho mail se mi nezamlouvá (zdvořile jsem ho informoval, i když ho nemám rád). A asi těch informací bylo tolik, že v Microsoftu došla paměť a servery hlásají „out of memory“, případně vůbec nic a odmítají se s kýmkoliv bavit…
Asi konečně zas jednou v Microsoftu poznali na vlastní kůži, že ne všechno, co dělají, je zcela bez chyb a jejich tolik užívaný a báječný operační systém dokáže občas dělat kouzelné věci, tentokrát třeba rozesílat maily s hlavičkou From:support@microsoft.com a nejeden mailserver na ně zdvořile odpoví „ne, děkuji…“. Asi té zdvořilosti bylo dneska tolik, že se z toho mailserverům Microsoftu zatočila hlava a asi nejeden jejich pracovník řeší, co s tím. Výpadek je to zajímavý, v této chvíli je to šest hodin mimo provoz, ale netroufám si odhadnout, kolik mailů ještě čeká a kolik virů ještě poletuje mezi lidem. Autor červa to asi tušil a protože má zřejmě Microsoft rád, vir se přestane rozesílat sám 31. května. Věřím, že si v Microsoftu oddechnou.
Každopádně uvedený stav je názornou ukázkou, co všechno se dá virem napáchat. Nejvíce postiženým je v tomto případě asi Microsoft a někteří uživatelé jeho systému mu udělali „medvědí službu“ – výborně rozšířili červa se zničujícím účinkem přímo v centru… A velmi úspěšně. Nicméně maily budu kontrolovat dál a odesílatele budu dál zdvořile informovat – za tu srandu to stojí. A přece jen nechci riskovat, že tvůrce antivirového softwaru nezareaguje včas s updatem a nějaký uživatel mi svou neopatrností zaviruje síť – radši to tak trošku zkontroluju i za něj…
Poznámka: Článek popisuje stav k 20.5. 2003 23 hodin, první problémy se objevily 19.5. cca v 17:20. Hlášky z mailserveru chodily průběžně až do zhruba 03:00 21.5. Ještě včera (středa) ve 12:20 se nedalo na servery připojit na SMTP portu 25.
Autor: Petr Vávra, ROOT.CZ
