Diit.cz - Novinky a informace o hardware, software a internetu

„Šéfiku, nějak to blbne“ aneb Jak jsem rozbil botnet

Jak už to tak bývá, dostal jsem od jednoho známého do rukou počítač s tím, „abych se na to podíval“. Každý počítač je jiný a v tomhle já vůbec poprvé viděl takovou hromadu e-havěti pohromadě. Měl jsem až pocit, že jsem rozbil botnet…
blog
Počítač - „vypiplaná konzole“

Počítač, který jsem dostal, „abych se na něj podíval“, vypadal na první pohled jako „vypiplaná konzole“. Tak já říkám počítačům, jejichž základním znakem je zdroj jiného typu než tradiční ATX (typicky něco menšího, v tomto případě SFX). Bedna natolik štíhlá, že optická mechanika musí být svisle, a zároveň natolik tlustá, že jako HTPC je to nepoužitelné.

Efektní displej na předním panelu

V tomto případě se navíc jednalo o skříň „efektní“, přičemž ten „efekt“ spočíval v předním LCD panelu zobrazujícím dobu spuštění počítače (měří si to panel sám, nejde o něco, co by tomu sdělil operační systém), indikace činnosti disku byla více efektní než smysluplná a navíc od panelu vede teplotní čidlo (v tomto případě k procesoru), což umí panel využít tak, že dva menší přídavné větráky zapne až tehdy, když čidlo dosáhne určité teploty, kterou lze na panelu patřičnými tlačítky nastavit (bylo to navíc nastaveno tak blbě, že se větráky točily pořád). Plus je na panelu ještě i indikace toho, zda větráky běží, nebo ne, což je podle mě úplně zbytečné, protože to jde snadno poznat poslechem. Jsou nepřeslechnutelné a překřičí i jinak celkem hlučný větrák od zdroje. Pevný disk je v počítači paradoxně jednou z nejtišších součástek.

Co osobně považuji za zhůvěřilost, je optická mechanika ve svislé poloze (média z toho velmi ochotně vypadávají, protože už na to při výrobě mechanik výrobci moc nedbají, a i kdyby, stejně je to diskomfortní). Zde je to navíc umocněno tím, že plotna prochází dvířky předního panelu, takže původní stavitel počítače si samotná dvířka mechaniky nechal. Mechanikou je poměrně běžná SATA vypalovačka od společného podniku Toshiby a Samsungu. Když už jsem v tom byl, hodil jsem do ní nejnovější firmware (byl v ní nejstarší, původní). Hehe, to už jsem dlouho nedělal :).

Vysunování plotny mechaniky skrze dvířka skříně

Jestli mě na počítači něco překvapilo nejvíc, tak to bylo docela malé množství prachu uvnitř. Vypadá to, že se o něj někdo stará, nebo (a to spíše) je počítač provozován ve velmi čistém prostředí (zcela jistě nezakouřeném). Dokonce i ve vypalovačce (která nemá vlastní dvířka) bylo čisto, nebylo tam prakticky potřeba sáhnout. Žebrování chladiče procesoru bylo zanesené jen nepatrně, na funkci chlazení to nemělo moc velký vliv (ale nějaký jistě ano).

Vnitřek počítače

Pokud jde o vnitřní uspořádání, vypadá to, že si s tím někdo dal i trochu práce a kabely neležely vyloženě pátý přes devátý. Rozhodně nemohu říci, že by tenhle počítač stavělo vepřátko. Bylo tam sice pár „vad, které na funkci neměly vliv“ (třeba zrovna to nastavení, při jaké teplotě se zapnou zadní větráky, nebo rámeček od pevného disku mimo příslušnou kolejničku), ale jinak celkem v pohodě (asi takhle: viděl jsem horší sestavy a bylo jich nesrovnatelně více ;-).

Vnitřek počítače - pohled zezadu

Snad jen ten zdroj, tedy „značka“ Micase na mě působí všelijak, jen ne důvěryhodným dojmem. Ale co, funguje to a dokud to fungovat bude, nebudu zdroj řešit. Na zdroje jsou jiní odborníci. (Jasně, tady by šlo říci, že zdroj je stejně důležitý jako deska a když nevidím do zdrojů, je to jako bych nerozuměl celé půlce počítače. Zdroj opravit neumím, od toho jsou Behemoti a jim podobní, co se narodili s pájkou místo ukazováku, ale troufám si říci, že umím vybrat zdroj nikoli úplně špatný, prostě takový akorát. Ani ne moc drahý, ani ne úplnou prskavku. V tomhle případě jsem zdroj řešit nechtěl, protože jsem jednak počítač nestavěl (a kdybych to dělal, nedám tam Micase) a hlavně ve zdroji evidentně problém nebyl, což pochopíte záhy.)

Konfigurace

  • Deska: Intel DG33BU (čipset G33, integrovaná grafika)
  • Procesor: Intel Pentium Dual-Core (Conroe-based)
  • Paměť: 2×512 MiB DDR2-800 Kingston
  • Pevný disk: 160GB Seagate Barracuda 7200.10 (ST3160815AS), rozdělení: všechno jedna velká partition
  • Mechaniky: SATA vypalovačka a klasická floppyna
HWiNFO32 - Pentium Dual-Core E2140 + Intel G33

První spuštění

V počítači byl operační systém Windows XP Professional, jehož úvodní logo bezprostředně po startu vystřídal chkdsk, který měl hodně práce. A když má chkdsk na NTFS oddílu po startu systému hodně práce, nevěští to nikdy nic dobrého. Logicky mě tedy jako první napadlo (i s ohledem na stáří počítače), že odešel disk. Připravoval jsem se tedy (především psychicky) na to, jak budu zálohovat data, dolovat ze zbořeného systému důležité údaje o systému, aby byl po reinstalaci ve stavu co možná nejbližším původnímu (samozřejmě po příslušné opravě), a tak dále.

Mám tu zkušenost, že chkdisku není třeba do jeho práce kecat, násilně ji přerušovat nebo tak něco (to bývalo ještě v dobách, kdy Windows byly grafickou nadstavbou DOSu, tedy až do Windows 98SE/ME, že toho chkdisk víc pokazil, než opravil, nyní už je to obvykle tak, že chkdsk zpravidla žádnou větší škodu nenadělá). Výjimkou jsou situace, kdy je disku evidentně špatně, nepřirozeně cvaká nebo jinak skvírukluje či ňuríkuje, což nebyl tento případ (jakmile disk skvírukluje nebo ňuríkuje, je více než zdrávo provádět už jen read-only operace, přičemž jsem už zažil i disky, které vyloudily nefalšovaný hérangr, tam už ale často nechodí ani ty read-only operace ;-).

Výsledek byl nad očekávání dobrý: operační systém nakonec naběhl. Záhy jsem jej vypnul a nastartoval z vloženého SATA disku vlastní systém a jal jsem se nedestruktivními metodami zjišťovat, jestli je něco s tou Barracudou. S.M.A.R.T. údaje byly překvapivě dobré, což mě částečně uklidnilo (jedna věc je, že S.M.A.R.T. říká, že je to v pohodě, druhá věc je, jestli tomu věřím – a já tomu věřím obvykle tak napůl). Následně jsem provedl kompletní zálohu disku do image. Záloha proběhla opět překvapivě hladce, tak jsem ji pro klid duše zkopíroval ještě na další médium (image měla všeho všudy nějakých 9 giga).

Protože jsem měl systém zazálohovaný, nebál jsem se ho spustit. Čeho jsem se tak nějak přirozeně zdráhal, bylo připojení počítače do sítě (jak se později ukázalo, bylo to vcelku jedno, protože počítač měl nakonfigurovanou statickou IP adresu). Na flešku jsem si nahrál nějaké ty diagnostické nástroje a počal zjišťovat stav PC a detailněji stav disku. Celou tu dobu, co operační systém běžel, mi bylo něco divného, co mi nejprve nedocházelo, protože všechny smysly přebíjela jedna zcela markantní věc: systém byl neuvěřitelně plesnivý a měl ukrutné odezvy. Velkou zásluhu na tom mělo to, jak jsem záhy zjistil, že disk běží v PIO módu, což ve mě prohlubovalo podezření, že právě s ním něco je.

Když jsem flešku vrátil zpět do svého PC (prostě jsem ji vložil do USB portu), docvaklo mi, co mi bylo podezřelé, a zkontroloval její obsah. A hle - autorun.inf, nějaký vbs skript a exe soubor, s atributem hidden. Já dobře vím, proč mám ve svých počítačích vypnuté automatické spouštění vkládaných médií. Už bych to býval chytil. Odhalil jsem tak první breberku. Tou podezřelou věcí byla poměrně často naprázdno chroustající disketová mechanika, což je neklamná známka, že tam nějaký program, nebo systém, z nějakého důvodu hledá disketu. Nejsem si sice úplně vědom toho, že by na disketách fungoval autorun, ale správnému viru je to jedno a cpe se, kam se dá. Snažil se holt nacpat i na disketu.

Počal jsem pátrat po procesu, který by to mohl mít na svědomí, čistě ze zvědavosti, jestli bude tak hloupý a nechá se jednoduše killnout. Dotyčný proces jsem nalezl, killnul – a překvapivě to stačilo, chroustání disketovky ustalo, množení viru na flešky také. Protože v seznamu procesů toho nebylo až tak moc, zkontroloval jsem jeden po druhém a překvapilo mě, že žádný další proces nejevil známky toho, že by šlo o malware.

Inu co, zkusil jsem na systém pustit Microsoft Safety Scanner, což je jakási kombinace starého známého Nástroje na odstranění škodlivého softwaru a samotného antiviru, neboli má to nějaké virové definice a podle nich to umí jednorázově vyčistit počítač. Nedělal jsem si naději, že to Microsoft Safety Scanner zvládne všechno, a mezitím hledal další „offline antiviry“. Výsledek MS Safety Scanneru mě ovšem porazil:

Hafo breberek v PC

WTF? To jsem snad právě zničil centrálu tak tří botnetů, ne? S ohledem na množství toho, co jsem zahlédl, jsem počítač projel ještě dalšími antiviry, např. Sophos na Slaxovém liveCD našel kus dobře ukrytého Rustocku a další antiviry nacházely ještě nějaké paběrky. Bylo toho opravdu hodně a strávil jsem nad tím skutečně nemalé množství času, už jen proto, že počítač byl zajetelený ještě další hromadou polorozpadlých aplikací a měl pouze 1 GB operační paměti, takže pevný disk neustále procházel procesem získání bobříka odolnosti.

Abych to zkrátil: výsledek byl takový, že jsem se nakonec nebál pustit počítač do sítě, nastavil mu dynamickou adresu, aby mohl na internet, a dalšími zařízeními, která mám na síti, jsem zkoumal datové švitoření v drátech, zda nedochází k nějaké podezřelé komunikaci. Vypadalo to dobře.

Počistil jsem nějaké aplikace, které vypadaly, jako by právě vzdaly poslední level Dooma (nejhůř samozřejmě skončilo AVG, které bylo doslova „frkodrťáky roztrháno na fidloprcičky“), zaktualizoval operační systém (nepočítaně aktualizací od té doby, co se aktualizovalo naposledy), rozchodil důležité aplikace, které nechodily, vyčistil od hrstky různých toolbarů a jiné spíše nechtěné chamradě, zdefragmentoval disk (to už jsem věděl, že disk je opravdu v pořádku, protože jsem mu mezitím zkontroloval nástrojem od výrobce celý povrch) a systém se zase tvářil, že je aspoň o pět let mladší a svižnější.

Čert ví, možná tomu trošku pomohlo i to, že jsem přehodil chod disku z Legacy IDE na AHCI včetně instalace patřičného ovladače (když už nic, možná to aspoň rozchodilo NCQ) a že jsem vyhodil z disku jumper omezující rychlost komunikace na 1,5Gbit/s SATA. Dost možná mohl být tento jumper příčinou problémů s režimem DMA (tohle každopádně původní stavitel PC slušně řečeno „nedořešil“).

Nevyházel jsem určitě všechno, co by vyházet šlo, protože koordinace s vlastníkem, jímž je jakási paní (ten známý byl jen prostředník), byla vyloučena, tudíž jsem jel tak trochu intuitivně ve smyslu „ať to vypadá co nejvíc jako to, na co je zvyklá, včetně všech nainstalovaných aplikací, které s největší pravděpodobností mohla používat“. Samozřejmě ideálním řešením by byla reinstalace systému z jedné vody na čisto, ale to už bych musel řešit přímo s ní – které aplikace opravdu používá, které ne, kde jsou jaká data (to bych ještě zjistit dokázal, většina toho stejně byla na ploše), ať se rozhodne, jestli chce tenhle, nebo tamten webový prohlížeč, vysvětlit, že nepotřebuje tři balíčky kodeků, ale že stačí jeden rozumný přehrávač, a tak dále, a tak dále.

Kromě toho nejsem úplně zastáncem reinstalace systému, a to z několika důvodů. Za prvé to umí každý hňup a za druhé – opravit rozj***ný systém je vždycky výzva a člověk se při tom občas i něco naučí (abych pravdu řekl, ani mě už nepřekvapuje, že po 20+ letech praxe se ještě relativně často dozvím něco nového). A konečně za třetí: někdy je prostě více než žádoucí operační systém zachovat bez reinstalace, takže je lepší si to nacvičit na pokažených systémech, které „se dají reinstalovat vždycky“.

Možná na to ještě dojde, nechtěl jsem nad tím strávit mládí a pokud bude se stávajícím výsledkem spokojená, nejspíše se ještě ozve. Pokud by však mělo dojít na reinstalaci, pokusím se ji přesvědčit, aby vyměnila stará XPčka za nové sedmičky a investovala do SSD (a samozřejmě koupila kus pořádné paměti, protože sedmičky by se na 1 GB RAM neustále přerážely o hranice svých možností). Samozřejmě jsem připraven i na variantu „na XPčka jsem zvyklá“, protože tento postoj zcela chápu. Pak pro mě pochopitelně není problémem ani čistá instalace XPček, jen to dá dneska už trošku víc práce.

A jestli bych dal pod XPčka SSDčko? Na jednu stranu proč ne, na druhou stranu si myslím, že si XPčka SSDčko nezaslouží, když nepodporují ten TRIM (ne že by to byla nějaká zásadní překážka, ale tak spíše ze slušnosti k SSD ;-). Jinak XPčka samozřejmě na SSD fungují a dokonce drasticky rychle (kdo to někdy zkoušel, jistě zná ten pocit, jako by se vrátil rychlostí a odezvou OS do dob DOSu na prvních Pentiích ;-).


PS: „Šéfiku, nějak to blbne“ je pracovní (a zřejmě i finální) název konceptu, který bych chtěl pojmout jako seriál s tím, že očekávám vaše připomínky k tématu i vlastní zkušenosti s řešením různých problémů na počítačích vašich známých i neznámých, neboť věřím, že se jedná o prakticky nevyčerpatelné téma :-). Sám bych mohl napsat zfleku několik dalších dílů, kdybych si pamatoval, oč přesně šlo a jak to bylo vyřešeno a kdybych k tomu taky měl nějaké názorné obrázky „z terénu“. Pokusím se je do budoucna dělat, zrovna tu mám rozdělané dvě další situace: vadný externí disk a vadná multifunkční tiskárna.

Tagy: 

WIFT (Google+)

Bývalý dlouholetý redaktor internetového magazínu CDR-Server / Deep in IT, který se věnoval psaní článků o IT a souvisejících věcech prakticky od založení CD-R serveru. Od roku 2014 funguje v jedné mezinárodní firmě jako databázový administrátor a psaní článků už fakticky pověsil na hřebík.

více článků, blogů a informací o autorovi

Diskuse k blogu „Šéfiku, nějak to blbne“ aneb Jak jsem rozbil botnet

Úterý, 22 Říjen 2013 - 00:05 | Pavel Bohuněk | :D aaa Tento clanek prinasi mnoho zajimavych...
Pátek, 19 Červenec 2013 - 08:45 | gashtaan | "rozbil botnet"? "znicil centralu...
Úterý, 9 Červenec 2013 - 16:51 | WIFT | Chtěl jsem o tom psát článek, ale zjistil jsem,...
Neděle, 30 Červen 2013 - 00:26 | Milan Kramar | Ahoj. Mám desku GA-MA790FX-DS5. Rada "vnutím...
Pátek, 28 Červen 2013 - 13:45 | WIFT | Už jsem to tu psal, hledej frázi „Prozradím a pět...
Pondělí, 24 Červen 2013 - 21:28 | Milan Kramar | Ahoj Wifte. Zaujala mě část:" ...přehodil...
Pondělí, 24 Červen 2013 - 14:39 | Vít Grafnetter | Dobrý den, po určitých zkušenostech s viry a...
Pondělí, 24 Červen 2013 - 08:38 | super master | Ja takhle jednou prisel do jedne firmy s tim, ze...
Pondělí, 24 Červen 2013 - 08:37 | J D | Na premigrovani je docela slusny nastroj v...
Pondělí, 24 Červen 2013 - 00:01 | Max Devaine | Nesouhlasím. Řešit vše reinstalací / obnovou...

Zobrazit diskusi