Nekaj se dogaja
Virusi in druge varnostne nevšečnosti so na žalost nekaj vsakdanjega. Pred kratkim smo naleteli na primer, ko je uporabnica na več spletnih straneh dobivala sporočilo, da mora za obisk strani vnesti še potrditveno kodo CAPTCHA.
Tako pozdravno stran dobimo, če je naš računalnik oziroma IP dodan na sezname nevarnih oziroma okuženih naslovov.
Ob tem je uporabnica povedala še to, da se ji brskalnik Firefox pogosto seseda, računalnik pa obnaša »čudno«. Stran, ki se je med brskanjem pokazala, je bila videti povsem legitimna, spodaj je bila povezava do podjetja CloudFlare. Šlo je za to, da je bil naslov IP, s katerega je uporabnica brskala, dodan na več črnih seznamov (»Blacklist«), saj je iz njega prihajal sumljiv promet. Računalnik je postal del nekega omrežja »botnetov«, zaradi česar so si ga lahko nepridipravi izposojali za svojo rabo.
Razlogov, zakaj se računalnik začne »čudno« vesti, je sicer lahko nešteto. Morda imamo težave s strojno opremo, lahko so krivi hrošči v programski opremi (bodisi v operacijskem sistemu, v gonilnikih ali v nameščenih programih), lahko pa je razlog bolj zlovešč. Govorimo seveda o virusih, trojanskih konjih, korenskih kompletih (»root kit«) ali zlonamernih oglaševalskih programih (»malvertising«).
Pri tej slednji skupini je kar nekaj različnih simptomov, od počasnejšega delovanja računalnika (marsikdaj povezano tudi z nenavadnim segrevanjem), sesuvanja spletnega brskalnika (Firefox, Chrome) ali operacijskega sistema (tu bomo govorili predvsem o sistemih Windows) pa do vsiljivih oken ali reklam, sploh pri brskanju po spletu.
Prvo, kar pri teh težavah naredimo, je pregled dogajanja. Prvi korak je velikokrat bližnjica CTLR-SHIFT-ESC, ki prikliče znani upravitelj opravil (»Task Manager«). Tu hitro vidimo, s čim se procesor ubada – poleg trenutne porabe sistemskih sredstev lahko pod zavihkom »Processes« vidimo, kateri procesi so v danem trenutku najbolj požrešni.
Zlonamerni programi se sicer praviloma pretvarjajo, da so kaj drugega, ali pa okužijo kak del sistema, a podatki o morebitnih podivjanih procesih so kljub vsemu koristni. V Windows XP smo pred nekaj leti redno naleteli na upočasnitve, ko je legitimni proces SVCHost.exe porabil večino procesorskih sredstev. Šlo je za hrošča v sistemu za posodobitve, rešitev je bila ročna namestitev konkretnega paketa posodobitev za Internet Explorer. A marsikateri uporabnik se je najprej ustrašil, da je njegov računalnik okužen z virusom.
Task Manager ima v zavihku »Performance« tudi povezavo do naslednjega, nekoliko podrobnejšega orodja – Resource Monitor. Gre pravzaprav za vgrajeni program, ki nam pokaže podrobno stanje dogajanja našega računalnika. Za upravitelje je v sistemih na voljo tudi WSRM (Windows System Resource Manager). Omogoča nam, da nadziramo stanje oziroma dogajanje tudi prek omrežja, torej na drugih računalnikih (tudi strežnikih).
Resource Monitor nam pokaže podrobnejšo sliko dogajanja, koristen je predvsem za pregled povezav naših programov s spletom. Za vsak program, ki se pogovarja z oddaljenimi računalniki, bodisi v krajevnem omrežju bodisi v spletu, lahko vidimo, koliko podatkov gre ven, koliko noter in s katerim naslovom se program pogovarja. Te naslove načeloma predstavi z imenom ali številko IP.
Če naš računalnik zaradi glasnosti ventilatorjev spominja na reaktivno letalo, se zelo verjetno pregreva – s programom Hardware monitor preverimo temperature procesorja, grafične kartice, včasih tudi diskov.
Microsoftov Message Analyzer je napreden program za resnejšo analizo omrežnega prometa.
Konkretno
Povod za ta članek je zgoraj omenjeni primer znanke, katere računalnik je bil okužen s trojanskim konjem, ki se je trudil povezati z naslovom »someshit.lv«. To se je izkazalo za naslov, registriran v Rusiji, ki se uporablja za nadzor okuženih računalnikov (botov).
Uporabničin naslov IP smo najprej preverili na spletni strani www.mxtoolbox.com. Pokazal je, da je naslov na več črnih seznamih, večina omogoča ročno sprožitev postopka za odstranitev. Pri tem moramo poudariti, da moramo pred odstranitvijo odpraviti izvirno težavo, zaradi katere smo sploh prišli na omenjene sezname. Zakaj je bila na teh seznamih, je še najbolje opisala stran www.abuseat.org, ki skrbi za seznam CBL (Composite Blocking List) – računalnik je bil okužen in je pošiljal nezaželeno pošto (spam).
Sledi klasični postopek reševanja, torej poganjanje protivirusnih in drugih varnostnih programov. Hitro smo opazili, da je bil na omenjenem računalniku izklopljen tudi požarni zid, zato smo ga takoj spet vklopili. Sicer je res, da zna marsikateri zlovešči program požarni zid tudi sam izklopiti, a je to kljub vsemu prva obrambna črta.
Uporabnica je imela nameščen protivirusni program. Pred zagonom smo mu še posodobili zbirko podatkov. Program je našel enega trojanskega konja, drugega je spregledal, a ga je našel, ko smo odprli še Outlook. V zadnjih nekaj letih se žal najde vedno več zlonamernih programov, ki jih protivirusni programi ne odkrijejo.
Tu se po naših izkušnjah dobro obnesejo še razmeroma novi program Anti-Rootkit podjetja Malwarebytes in Nortonov Power Eraser. Naj opozorimo, da znajo biti ti programi razmeroma agresivni, kar pomeni, da včasih za nevaren označijo tudi kak legitimni program, denimo kakega računovodskega. Pred izbrisom tako velja podrobno preveriti, kaj natanko je označeno kot nevarno.
Tak zgled zna biti še nekoliko bolj težaven, če imamo v omrežju več računalnikov in moramo najprej ugotoviti, za kateri računalnik gre. Nekatere izmed prej omenjenih spletnih strani (denimo abuseat.org) nam med drugim povedo tudi to, kdaj so nazadnje opazile sumljiv promet z našega IPja, kar lahko pomaga pri iskanju krivca.
Tu pride še najbolj prav spremljanje prometa na usmerjevalniku – novejši usmerjevalniki praktično vsi omogočajo spremljanje povezav. Zanimajo nas povezave na kakšnih nenavadnih vratih, ob pošiljanju nezaželene pošte predvsem na vratih 25 (SMTP, uporabljen za odhajajočo pošto). Ravno zaradi teh težav promet na teh vratih (portu) zelo pogosto blokirajo že sami ponudniki interneta (oziroma dovolijo promet samo do lastnega strežnika SMTP).
V večjih omrežjih zna biti koristno orodje Angry IP Scanner. To je preprost program, ki preveri določeno območje IPjev in javi FQDN (torej ime) dosegljivih naprav. Bistveno naprednejši je program Nmap, ki nam omogoča pregled odprtih vrat, sporoči nam tudi operacijski sistem. Program je namenjen rabi v konzoli, a je zanj na voljo tudi grafični vmesnik, imenovan Zenmap. Takoj opozorimo, da naj uporaba teh programov ostane znotraj krajevnega omrežja, pregled odprtih vrat oddaljenih računalnikov (t. i. »port scanning«) je mnogokrat blokiran s strani spletnih ponudnikov. Nič čudnega – to je približno tako, kot da bi se nekdo sprehajal po soseski in pri vsaki hiši pozvonil ter preverjal, ali je kdo doma.
Za še resnejšo analizo omrežnega prometa pride v poštev program Wireshark. Ta omogoča zajem paketov med nekim računalnikom in usmerjevalnikom, seveda pa moramo biti v istem omrežju. Gre sicer za odprtokodno orodje, ki pa že presega okvire tega članka. Podobno funkcionalnost ima Microsoftov Message Analyser (in njegov predhodnik, Network Monitor). Spet gre za program, namenjen resnejši analizi dogajanja za iskanje morebitnih napak v omrežnem prometu.
Vsi opisani programi so po svoje koristni, a kot marsikje, je tudi tu preventiva veliko boljša od kurative. Bralci teh besed se (upamo) zavedajo, česa vse se je treba izogibati, a moramo o nevarnostih poučiti tudi druge uporabnike.
Kot smo že mnogokrat poudarili, je nadvse pomembna tudi pogosta izdelava varnostnih kopij pomembnih podatkov. Tu bi izpostavili predvsem to, da morajo biti varnostne kopije ločene od računalnika – zunanji diski, ki so priključeni na računalnik oziroma dosegljivi prek omrežja, so v enaki nevarnosti kot osrednji sistemski disk. V zadnjih nekaj letih so vse pogostejše okužbe s programi, ki zašifrirajo vse dosegljive datoteke in nas izsiljujejo za denar. Praktično edina pametna rešitev je vnovična namestitev operacijskega sistema in obnovitev podatkov z varnostnih kopij.
Performance Monitor, vgrajen v vse novejše sisteme Windows (tudi strežniške), je zmožen pokazati več sto različnih podatkov, poleg operacijskega sistema omogoča nadzor tudi nekaterih drugih programov.
NUJNIKI
Osnovna orodja
Večina podatkov iz tega prispevka je dosegljiva tudi prek ukazne vrstice, tako klasičnega Command Prompt kot iz novejšega Powershell. Ukaz, ki naniza vse povezave, je »netstat«, ukaz za seznam tekočih procesov pa »tasklist«. Oba lahko izvozimo tudi v kako besedilno datoteko (recimo, da želimo nekomu posredovati oba seznama) tako, da dodamo »> datoteka.txt«, skupaj torej »netstat > povezave.txt«. Powershell pozna še »get-process«, hkrati lahko tam uporabimo tudi linuxni »ps«.
Še korak naprej od Resource Monitorja je Performance Monitor. Ta lahko prikaže podatke iz več sto različnih števcev, vgrajenih v sistem, za reševanje težav z namiznimi računalniki je morda že preveč podroben, je pa zelo uporaben pri reševanju težav na strežnikih. V njem lahko spremljamo med drugim tudi težave s tiskalniki, napravami USB, pa tudi poštnim strežnikom (Exchange) in podobno.
Če sploh ne pridemo do operacijskega sistema, pa lahko poizkusimo z zagonom v varnem načinu (»safe mode«). Do tega pridemo s stiskanjem tipke F8 po zagonu računalnika (torej preden se začnejo Okna nalagati). V tem načinu se zaženejo le najnujnejše komponente operacijskega sistema, je pa mnogokrat koristna možnost varnega načina z vključeno omrežno povezavo (da pač lahko poiščemo pomoč v spletu ali prenesemo kak varnostni program). Pred kratkim smo tako reševali prenosnik, ki ni hotel zagnati Oken, ustavil ga je nedelujoči gonilnik. Tega smo ugasnili preko vgrajene Services.msc, kjer lahko nastavljamo zagon osrednjih sistemskih storitev.
Pri težavah s strojno opremo zna biti zelo koristen program CPUIDjev Hardware Monitor. Gre za majhen program, ki nam pokaže stanje fizičnih tipal v računalniku, tako trenutno stanje kot največje in najmanjše odstopanje. Ta tipala so predvsem za temperaturo, prek tega hitro vidimo, ali se pregreva procesor ali grafična kartica. Slednje so v zadnjih letih postale tarče zloveščih programov, ki rudarijo kripto-valute (predvsem Bitcoine). Računalnik se v tem primeru načeloma niti ne upočasni, saj glavno breme prevzame grafična kartica, se pa slednja močno segreje (v hujših primerih lahko pride tudi do uničenja kartice).