Ovo je istinita priča iz realnog rada. Na jednom jačem serveru u inostranstvu sam podigao VMware ESXi i na njemu 10-tak raznoraznih virtualnih mašina, VMwareu je pristup dozvoljen samo sa dve IP adrese i svi njegovi servisi za koje sam smatrao da su viška su poubijani i njihovi portovi pozatvarani – ako je neki port i otvoren otvoren je samo za 2 IP adrese.

Virtualne mašine koje su na VMware-u se nalaze iza virtualnog pfSensa i pristup je moguć samo iz VPN-a a ograničen je i raznim DMZ-ovima, firewallova, fail2banovima i čudima a sa javne mreže su otvorena samo 3 porta od kojih je defaultna samo jedna 80-tica na mašini koja je na DMZ-u.

Postojala je potreba da se jedna virtualna mašina revidira, otvorio sam vSphere klijent, otvorio KeePass Password Safe (šta je) copy username – paste u vSphere klijent, copy password – paste u vSphere client…login.

Crvc!

Lozinku nisam menjao u poslednjih 6 meseci, ne kucam je na tastaturi da bi se YouZube-ovao, nema CAPSLOCK da me zeza. Neko me uhakovao. Još par puta pokušavam login. Neće.

Neko mi uhakovao VMware na serveru!

Panika. Da bi se resetovala lozinka na VMware – mora da se reinstalira VMware, nema drugog rešenja…virtualne mašine – pakao…ali jebo to…kako je neko uopšte uspeo da promeni lozinku na VMware…isproveravam po netu da li je bilo bušenja u skorije vreme – nije…znači da je neko izbrutforsovao lozinku pa je promenio…ali kako je dođavola izbrutforsovao kad je lozinka fazon Ü4|7·c&VÈ(ªÁ>@[!ôOÑémή۹Ô7y^

Mora da je neki exploit. Pregledam logove na virtualkama, sve čisto, virtualne mašine rade najnormalnije – sve je kul. Iskeniram internu mrežu, kontam – da nema „neke nove virtualne“ koja se najverovatnije bavi dečjom pornografijom, distribuiranjem malvera/spama ili tako neki đavo – nema. Dakle taj neko što je probio lozinku je probio, promenio i otišao. Pa lebac ti jebem nenormalni.

Neko mi uhakovao KeePass na laptopu ili cloudu

Mora da je onda proburgijao moj KeePass – proveravam na netu da li je bilo bušenja, nije, onda mora da je uhakovan moj Yandex Disk koji koristim – ali kontam, sve i da je neko proburgijao Yandex sa kojim mi se sinhronizuje KeePass – opet ne bi mogao da pristupi lozinkama na KeePassu jer su lozinke zaštićene ultra zajebanom lozinkom koju samo ja znam i još dodatno sa jednim key-fajlom.

Neko mi uhakovao laptop ili telefon

Onda mora da mi je neko nekako instalirao neki zloćudni softver tipa keylogger na kompu pa izšpijunirao (ne znam da li je po pravopisu ova reč)…pustim fullscan sa 360 Total Security – ništa, full scan sa MalwareByte antimalware – ništa, pregledam Autorun programe – sve čisto. Windows legalan, programi legalni….mora da je moj Meizu problem na njemu isto imam i KeePass i Yandex.Disk…ali skenirao sam ga pre par dana sa svim i svačim (testirao sam nešto) – čist kao suza.

U glavi trilion iteracija u sekundi, dva miliona zakucanih procesa, load ubi, I/O beskonačan.

Period samoutehe

A onda dolazi period „Sjebao me neko, pa šta da radim“. A jebiga, hakeri ulete u FBI i naprave milionsku štetu i pokradu bogaoca podataka, špijunira se telefon Angele Merkel, ulete isti u banke koje su iza milion hardverskih i softverskih fajervolova, polisa, DMZ-ova, HIPS-eva, honeypotova i kurčeva, ulete u nuklearnu elektranu koja uopšte i nije na mreži – a neće tebi na besplatni ESXi. Šta da se radi. Jebiga. Sranja se dešavaju.

To što nije objavljeno da je VMware probušen – ne mora da znači i da nije. Yahoou su prvo maznuli podatke za milione korisnika – pa je tek onda objavljeno da su haknuti. A šta da se radi. Pa jebiga. Ionako stalno kenjam kako je sve što je softversko – nebezbedno, sad sam se i sam uverio u to.

Naravoučenije

Lozinke pogotovo ove enkriptovane na KeePass-u koje su već po difoltu dovoljno bezbedne – bekapujte s vremena na vreme, može se desiti da vam se fajl u kome su lozinke ošteti pa kao takav da se izsihronizuje sa cloudom, pa da bude oštećen i-tamo-i-vamo – a isto važi i ako vas rebne neki ransomware. Opcija dva je da ste jednostavno papani, baš kao što sam ja – lozinku sam sam promenio greškom pre pitaj boga kad (postoji history u KeePass-u pa sam video posle svih izgrickanih noktiju), sačuvao fajl i tu se priča završila.

Da nisam imao bekape lozinki negde na nekoj drugoj lokaciji – mogao bih samo da se upucam maljem zarđalim u čelo, ovako se srećom sve srećno završilo jer sam sam sebe uhakovao, bravo ja. Debil.

Istina, dan posle sam studirao postoji li ipak način kako resetovati root lozinku na VMware-u te našao rešenje u shadow fajlu skrivenom iza sedam mora i sedam gora – i to sam opisao ovde: Kako resetovati zaboravljenu root lozinku na VMware ESXi 6.0