Једна кратка професионална хорор ИТ ситуација

Ово је истинита прича из реалног рада. На једном јачем серверу у иностранству сам подигао VMware ESXi и на њему 10-так разноразних виртуалних машина, VMware-у је приступ дозвољен само са две IP адресе и сви његови сервиси за које сам сматрао да су вишка су поубијани и њихови портови позатварани – ако је неки порт и отворен отворен је само за 2 IP адресе.

Виртуалне машине које су на VMware-у се налазе иза виртуалног pfSensa и приступ је могућ само из VPN-а а ограничен је и разним DMZ-овима, firewall-ова, fail2ban-овима и чудима а са јавне мреже су отворена само 3 порта од којих је дифолтна само једна 80-тица на машини која је на DMZ-у.

Постојала је потреба да се једна виртуална машина ревидира, отворио сам vSphere клијент, отворио KeePass Password Safe (šta je) copy усернаме – paste у vSphere клијент, copy password – paste у vSphere client…логин.

Црвц!

Лозинку нисам мењао у последњих 6 месеци, не куцам је на тастатури да би се YouTube-овао, нема CAPSLOCK да ме зеза. Неко ме ухаковао. Још пар пута покушавам логин. Неће.

Неко ми ухаковао VMware на серверу!

Паника. Да би се ресетовала лозинка на VMware – мора да се реинсталира VMware, нема другог решења…виртуалне машине – пакао…али јебо то…како је неко уопште успео да промени лозинку на VMware…испроверавам по нету да ли је било бушења у скорије време – није…значи да је неко избрутфорсовао лозинку па је променио…али како је дођавола избрутфорсовао кад је лозинка фазон Ü4|7·ц&амп;ВÈ(ªÁ>@[!ôОÑéмή۹Ô7y^

Мора да је неки exploit. Прегледам логове на виртуалкама, све чисто, виртуалне машине раде најнормалније – све је кул. Искенирам интерну мрежу, контам – да нема „неке нове виртуалне“ која се највероватније бави дечјом порнографијом, дистрибуирањем малвера/спама или тако неки ђаво – нема. Дакле тај неко што је пробио лозинку је пробио, променио и отишао. Па лебац ти јебем ненормални.

Неко ми ухаковао KeePass на лаптoпу или клауду

Мора да је онда пробургијао мој KeePass – проверавам на нету да ли је било бушења, није, онда мора да је ухакован мој Јандекс.Диск који користим – али контам, све и да је неко пробургијао Јандекс са којим ми се синхронизује KeePass – опет не би могао да приступи лозинкама на KeePassу јер су лозинке заштићене ултра зајебаном лозинком коју само ја знам и још додатно са једним key-фајлом.

Неко ми ухаковао лаптоп или телефон

Онда мора да ми је неко некако инсталирао неки злоћудни софтвер типа keylogger на компу па изшпијунирао (не знам да ли је по правопису ова реч)…пустим fullscan са 360 Total Security – ништа, full scan са MalwareBytes Antimalware – ништа, прегледам Autorun програме – све чисто. Windows легалан, програми легални….мора да је мој Меизу проблем на њему исто имам и KeePass и Јандекс.Диск…али скенирао сам га пре пар дана са свим и свачим (тестирао сам нешто) – чист као суза.

У глави трилион итерација у секунди, два милиона закуцаних процеса, load уби, I/O бесконачан.

Период самоутехе

А онда долази период „Сјебао ме неко, па шта да радим“. А јебига, хакери улете у FBI и направе милионску штету и покраду богаоца података, шпијунира се телефон Ангеле Меркел, улете исти у банке које су иза милион хардверских и софтверских фајерволова, полиса, DMZ-ова, HIPS-ева, honeypot-ова и курчева, улете у нуклеарну електрану која уопште и није на мрежи – а неће теби на бесплатни ESXi. Шта да се ради. Јебига. Срања се дешавају.

То што није објављено да је VMware пробушен – не мора да значи и да није. Yahoo-у су прво мазнули податке за милионе корисника – па је тек онда објављено да су хакнути. А шта да се ради. Па јебига. Ионако стално кењам како је све што је софтверско – небезбедно, сад сам се и сам уверио у то.

Наравоученије

Лозинке поготово ове енкриптоване на KeePass-у које су већ по дифолту довољно безбедне – бекапујте с времена на време, може се десити да вам се фајл у коме су лозинке оштети па као такав да се изсихронизује са cloud-ом, па да буде оштећен и-тамо-и-вамо – а исто важи и ако вас ребне неки ransomware. Опција два је да сте једноставно папани, баш као што сам ја – лозинку сам сам променио грешком пре питај бога кад (постоји history у KeePass-у па сам видео после свих изгрицканих ноктију), сачувао фајл и ту се прича завршила.

Да нисам имао бекапе лозинки негде на некој другој локацији – могао бих само да се упуцам маљем зарђалим у чело, овако се срећом све срећно завршило јер сам сам себе ухаковао, браво ја. Дебил.

Истина, дан после сам студирао постоји ли ипак начин како ресетовати root лозинку на VMware-у те нашао решење у shadow фајлу скривеном иза седам мора и седам гора – и то сам описао овде: Како ресетовати заборављену root лозинку на VMware ESXi 6.0