Hlavní navigace

Tak dlouho se chodí se džbánem...

Petr Vávra 22. 5. 2003

...až se ucho utrhne. Jen tak předesílám - v článku se nic objevného nedozvíte, vše důležité je hned na začátku, zbytek je jen drobným rozborem, co se vlastně stalo, a toho, že i ve velké firmě může dojít v serveru paměť... zásluhou jednoho "neškodného" červa zneužívajícího jisté nedokonalosti microsoftích systémů a fungujícího ve výsledku jako bumerang.

Dneska jsem se výborně pobavil – jedné mé „oblíbené“ firmě vytuhnul mailserver, několik mailserverů, nebo ještě lépe – všechny v DNS zveřejněné MX záznamy patřící do domény microsoft.com přestaly komunikovat, asi tímto způsobem:

[root@linux root]# telnet
telnet> open maila.microsoft.com 25
Trying 131.107.3.124...
Connected to mail2.microsoft.com (131.107.3.124).
Escape character is '^]'.
220 inet-imc-02.redmond.corp.microsoft.com Microsoft.com
  ESMTP Server Tue, 20
May 2003 13:15:57 -0700
helo
250 inet-imc-02.redmond.corp.microsoft.com Hello [xxx.xxx.xxx.xxx]
mail
452 4.3.1 Out of memory
Connection closed by foreign host.
[root@linux root]#
root@linux root]# telnet
telnet> open mailb.microsoft.com 25
Trying 131.107.3.123...
telnet: connect to address 131.107.3.123: Connection refused
telnet: Unable to connect to remote host: Connection refused
telnet> open mailc.microsoft.com 25
Trying 131.107.3.121...
telnet: connect to address 131.107.3.121: Connection refused

Co se vlastně stalo? Mezi nejčastější virové smrště patří nejrůznější mailoví červi. Je jich dost, proto kromě antivirového programu na stanicích používám ještě kontrolu mailů přímo na mailserveru, jednoduchý skript v perlu kontrolující mail, především nežádoucí maily s přílohami *.com, *.exe, *.scr a dalšími, uživatelům jistého operačního systému důvěrně známými příponami, případně s nevhodným HTML kódem. Tyto maily nedoručí mailserver adresátovi, ale odloží je bezpečně tak, aby se k uživatelům vůbec nedostaly. A protože jsem slušný a nechci nikomu nic tajit, zdvořile informuji jak adresáta mailu, tak i odesílatele, co se stalo a proč, spolu se stručným návodem, co má udělat, chce-li mi tento mail opravdu poslat. Protože ne všichni pisatelé mailů umí česky, je tento text zasílán jak česky, tak anglicky.

Předpokládám, že podobně se chová více správců mailových serverů, že nějakou tu kontrolu provádí, a pokud něco z důvodu podezření na vir „zahodí“, informují o tom odesílatele a adresáta mailu.

Pravda, občas by správce měl i vědět, co se děje, proto mi chodí kopie chybových hlášek mailem, občas na ně mrknu, některé mažu hned, jiné časem. Ale ta dnešní se mi moc líbila. Poslednímu červíkovi dal do vínku jeho autor kromě jiného i to, že jako odesílatele zprávy dává adresu support@microsoft.com – běžný uživatel operačních systémů této firmy může mít radost z nového screensaveru do svého operačního systému, případně z nového updatu, a tak je velká šance, že se v dobré víře podívá – no, asi se jich podívalo dost, tolik zpráv od Microsoftu můj mailserver už dlouho neviděl… a ve všech nějaký ten screensaver nebo jiná nesmyslnost – inu co, upozorníme příjemce mailu, že žádný *.scr nebude, poděkujeme odesílateli a požádáme ho o zaslání „dat“ vhodnějším způsobem, chce-li nám je opravdu poslat… jednou, podruhé, potřetí, po xxx-té, no mockrát, odesílatel je asi nějký divný, že mu to nestačí jednou, ale jak se do lesa volá, tak se z lesa ozývá, linka je rychlá, volání je dost, ozvěna je hodně vydatná. Jistě jste si všimli a víte, že ozvěna se může zopakovat i několikrát – podobně i na mém mailserveru – nevhodný mail dorazí skupině – ta má například osm adresátů, následuje osm ozvěn (odpovědí) na nevhodný podnět… Je přece slušné, aby všichni adresáti věděli, že byli o něco ošizeni.

Asi nejsem jediný, kdo si kontroluje obsah mailů a ty nevhodné posílá zpět, nebo jen nedoručí a zdvořile o tom informuje odesílatele. Asi taky nejsem jediný, kdo zdvořile informoval support@microsoft.com, že jeho mail se mi nezamlouvá (zdvořile jsem ho informoval, i když ho nemám rád). A asi těch informací bylo tolik, že v Microsoftu došla paměť a servery hlásají „out of memory“, případně vůbec nic a odmítají se s kýmkoliv bavit…

Asi konečně zas jednou v Microsoftu poznali na vlastní kůži, že ne všechno, co dělají, je zcela bez chyb a jejich tolik užívaný a báječný operační systém dokáže občas dělat kouzelné věci, tentokrát třeba rozesílat maily s hlavičkou From:support@microsoft.com a nejeden mailserver na ně zdvořile odpoví „ne, děkuji…“. Asi té zdvořilosti bylo dneska tolik, že se z toho mailserverům Microsoftu zatočila hlava a asi nejeden jejich pracovník řeší, co s tím. Výpadek je to zajímavý, v této chvíli je to šest hodin mimo provoz, ale netroufám si odhadnout, kolik mailů ještě čeká a kolik virů ještě poletuje mezi lidem. Autor červa to asi tušil a protože má zřejmě Microsoft rád, vir se přestane rozesílat sám 31. května. Věřím, že si v Microsoftu oddechnou.

Každopádně uvedený stav je názornou ukázkou, co všechno se dá virem napáchat. Nejvíce postiženým je v tomto případě asi Microsoft a někteří uživatelé jeho systému mu udělali „medvědí službu“ – výborně rozšířili červa se zničujícím účinkem přímo v centru… A velmi úspěšně. Nicméně maily budu kontrolovat dál a odesílatele budu dál zdvořile informovat – za tu srandu to stojí. A přece jen nechci riskovat, že tvůrce antivirového softwaru nezareaguje včas s updatem a nějaký uživatel mi svou neopatrností zaviruje síť – radši to tak trošku zkontroluju i za něj…

Poznámka: Článek popisuje stav k 20.5. 2003 23 hodin, první problémy se objevily 19.5. cca v 17:20. Hlášky z mailserveru chodily průběžně až do zhruba 03:00 21.5. Ještě včera (středa) ve 12:20 se nedalo na servery připojit na SMTP portu 25.

Našli jste v článku chybu?

30. 5. 2003 9:10

fifnatka (neregistrovaný)

Díky. :-)

Máte pravdu. Dá se kontrolovat IP adresa jenom posledního odchozího serveru.
A tím pádem je nutné poslat i info odesilateli, i když ta adresa z hlavičky může být falešná.

Ale furt tvrdim, že jsem "nejchytřejší ze všech", i když s občasnými výpadky... ;-)






28. 5. 2003 21:22

Diwiak (neregistrovaný)

Pha humor :-))) ja som odpisal asi styri krat, ale co je podstatne ze ZAKAZDYM mi znova prisiel mail s odpovedou "All information is in the attached file." Bohuzial tam bola aj tato sprava: "E-mail bol skontrolovany sluzbou ST Online Antivirus MAIL.
Viac informacii na http://new.stonline.sk/corpus/antivirus.csp" spolu s prilohou v ktorej bolo: "RAV AntiVirus has deleted this file
because it contained dangerous code!" takze ani neviem co tam vlastne bolo....

Ktovie ci si SK telecom nerobi r…



Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky