Со слов KellyDink записано верно.
В общем этот страшный человек @CLTanuki позвал меня вчера разбираться в бар со странной учеткой N.E.B.O, которая появлялась в нашем чате
Выпив горячий глинтвейн мы начали планировать детективно расследовательную операцию
Пока наш глинтвейн остывал, а мы мучительно генерировали многочисленные идеи по возможным путям развития событий у нас перестал работать интернет. Ну как перестал – странички с хабра грузились, но делали это из рук вон плохо.
Даже порно картинки в 2000-е и то быстрее прогружались, чем статье, где мы искали вдохновение для разыскной деятельности.
Дальше мы допили глинтвейн (для вдохновения естественно) и пошли искать причину. Ну как искать? Мы отключили вафлю бара и проверили мобильный интернет на наличие апокалипсиса и отключение интернета в принципе.
Но апокалипсиса не случилось, а интернет с этой вашей ружи работал. Поэтому мы ничего лучше не придумали, чем выключить и включить роутер (мыжнастоящие айтишники – мы знаем, что выключить\включить должно помогать в 99 процентах случаев).
На удивление стандартное включение\выключение интернет не спасло. А когда зашли на роутер оказалось, что он работает изо всех сил, а канал, который на секундочку шириной в 100 МБ заполнен чуть более, чем полностью.
Мы выпили еще глинтвейна (потому что дело близилось к вечеру, а без согревательных мероприятий уже было тяженько)
Забравшись на роутер, пытались понять, что с ним не так. Сначала мы укоризненно смотрели на него как он перемигивается лампочками, потом крутили в руках и наконец-то догадались зайти в админку!
В админке несчастный роутер показывал критическую загрузку по сети вайфай. Посмотрев список подключенных устройств мы стали решать, как найти мерзавца.
К барному роутеру по dhcp подключены десятки устройств и еще адреса не сразу обнуляются. А еще сколько стационарных, мы приняли единственно правильное решение – выпить еще глинтвейна.
Потом пока Никита одновременно решал проблемы с баром, кухней, мероприятиями и еще отвечал на телефон, а параллельно объяснял мне, что щас он посмотрит в логах роутера какой IP пидорас, я настроила спан порт на роутере, и отправила все на нотик. а еще я установила на рабочий ноутбук Никиты шарк (оказывается если попросить @CLTanuki ввести пароль от судо, то он решая 500 миллионов проблем разом, не спрашивает зачем🌚).
Дальше он конечно немного ругался, но порция глинтвейна спасла ситуацию.
Логи шарка анализировать было уже просто, даже не вооруженным глазом (а наши 4 были вооружены к тому моменту 5 кружками глинтвейна на каждый глаз) было заметно, что почти весь трафик шел от одного локального адреса. Безжалостно отключив оный от роутера сеть подозрительно затихла.
Потом правда появился следующий, который безобразничал пуще предыдущего и был казнен аналогичным способом. Когда 6 кружка глинтвейна в правом глазу стала намекать, что в этой битве мы не победим – мы посмотрели его мак и заблокировали по маку.
Порадовавшись нашей победе, мы пошли пить глинтвейн и гладить собаку, который подустал ждать нас под столом.
Вообще я люблю свою работу, но заниматься работой в свободное от работы время предосудительное мероприятие (хотя Никита так не считает кстати), но в целом ситуация так себе – какой-то девайс с доступом к локальной сети чет там куда-то шлет тем более забивает канал. А как ИБЭШНИК я была тем человеком, который НАКОНЕЦ-ТО столкнулся с НАСТОЯЩИМ взломом! Обычная ИБ – мероприятие превентивное, поэтому мы все тщательно продумываем недопустимые события и так же тщательно от них защищаемся. А тут – вот оно! Родимое, недопустимое событие, совсем близко! Ко мне и глинтвейну)
Тем более, пока мы вели философские беседы о необходимости работы в нерабочее время в сети ситуация повторилась, новый адрес появился с новым маком…. Тут уже мое недогодавание победило лень и мы пошли искать негодяя!
Но как его найти? Я вычислю тебя по IP © угроза конечно суровая, но в реальной жизни мало исполнимая. Вот мы, бар, 2 бармена и собака. Радиус WI-FI ограничен пару метрами за пределами бара, на улице уже пусто (КОНЕЧНО НИКИТА, ПОТОМУ ЧТО В РАБОЧИЙ ДЕНЬ ВСЕ СПЯТ ПО НОЧАМ). Поэтому мы конечно помнили заветы сары конор и угроз человечеству со стороны исскуственного интеллекта, но мой опыт в безопасности говорит о том, что ответ всегда празоичнее, чем кажется.
Поэтому ничего лучше не придумали, чем вырубить нахрен электричество (нету ручек – нет конфеток). Сначала отключили удлинитель, который идет на аппаратуру в зале, потом пошли наносить возмездие к барменам, даже до кухни и той дошли!
На этом моменте барманы сдались и устали от наших подозрительных взглядоа в их сторону. Их телефоны мы проверили, а если они прятали устройство под одеждой? Возможно у них даже встроены ЧИПЫ!!!!! (покрайней мере такая идея была около 10 кружки глинтвейна). Но они отказались раздеваться, а так же давать нам прощупать на предмет чипов свои руки (ну а куда еще эти чипы вживляют?) и ушли спать, оставив нас баловаться с электричеством дальше. Единственный, кто был в восторге от ситуации – это Рэй! Наконец-то скучный вечер превратился в движуху, он радостно носился с нами между барной и залом и очень расстраивался, когда его не пускали на кухню.
Оставшись одни, нам никто не мог помешать (доступ к бару теперь был свободным! Раньше приходилось терпеть укоризненный взгляд бармена при требовании очередной порции мотивации). Поэтому чередуя глинвейн и очередную идею – «я вот там еще вижу выключатель, давай его тоже отрубим!» Мы локализовали проблему. При отключении стойки с железками около бара сеть затихала, при включении через некоторое время начинала снова ОРАТЬ во все стороны своими миллионами пакетиков.
Среди прочего железа (а не много из того, что там лежало было подключено к сети) была платка Flipper Zero Dev Board, которую кто-то из гостей, видимо подключил к сети в надежде приобщиться к прекрасному после субботы, после того, как Константи6н принес горсточку оных и даже подарил бару! Вообще-то это была самая невзрачная и старая платка, среди других своих собратьев, она была без корпуса, платой на ружу и даже тусклый экран и тот шел незаметной рябью, в отличии от других, чьи экраны при включении светились во все стороны ярко оранжевым интерфейсом. Дальше уже было все +- понятно, мы его жестоко отключили от сети и аномалии прекратились.
ВОТ ОНО ВРЕМЯ ЧТОБЫ ИДТИ СПАТЬ, НИКИТА!
Но дальше, ему видите ли стало интересно чтож такое могло генерировать столько трафика! А когда Никите что-то интересно его не остановить. Более того, он же еще и других заражает! Поэтому мы пошли в тырнетик шариться, что из себя представляют эти платки и с чем их едят. (А МОГЛИ БЫ СПАТЬ).
А представляли они собой небольшую платку, к которой можно было подключиться через специальную приложеньку используя обычный type C – а он, компуктер, мотивация и силы (ну у Никиты) были вот прям под рукой. Поэтому было решено включить зверюшку и посмотреть что внутри.
В общем утилитка и правда простая, правда при включении дает несколько вариантов на иностранном языке без дополнительных признаков обоснований, откуда из такой маленькой железки, СТОЛЬКО МНОГО ТРАФИКА!?!?!?!
Поэтому пока Никита и его глинтвейн меня убеждали в том, что у нее там обычный линукс под капотом и можно там как-то провалиться в консоль, мы наткнулись в тырнетике, что оказывается дополнительно ей можно поставить еще и ssh. И радостные побежали изучать как это делать.
С этим тоже было не просто, потому что для установки надо было тыкать на кнопки на самой железке в соответствии с тем, что она показывала на экране, а он у нее тускло мерцал без определенных признаков членораздельной информации. НО! У нас был не один флиппер))))))
Поэтому Никита из недр достал другого оранжевого друга из недр бара, уже более собранного и сговорчивого, провели на нем испытательные мероприятия и по образу и подобию совершили непотребства с найденной платой.
А вот дальше уже, как и говорил Никита, нам открылся обычный линукс и мы приступили к изучению логов (распитию глинтвейна дальше).
С линуксом было справляться легче (как минимум, чем уговаривать барменов провериться на предмет чипов). Посмотреть, что за процесс, долбится так рьяно в интернет, узнать его PID и посмотреть кто его вызывает и что за зверь такой. А вот дальше случилось интересное.
Процесс был, мягко говоря странненький, обжился в автозагрузке и выполнялся с самыми высокими привилегиями. Поэтому в лучших традициях диагностического исскусства мы пошли пить глинтвей изучать логи!
Что лучше нам может сказать о происходящем, чем логи с устройства. В целом логи были не менее странненькие, чем сам процесс. Потому что логи писались смесью неопознанных симвалов переплетаясь с некоторыми словами из кириллицы. Мы сначала думали, что дело в кодировке! Даже выгрузили кусочек лога и попробвали на нем все известные нам кодировки, но это делу не помогло. И вот единственное членораздельное, что там появлялось – было Н.Е.Б.О.
Немного протрезвев и засомневавшись в своей адекватности, мы ЕЩЕ внимательнее стали смотреть на процесс и искать хоть что-то, что нам могло дать какую-нибудь подсказку.
А дальше – дальше мы обнаружили, что у него есть открытый unix сокет, а Никита пошутил, что давай ему туда что-нибудь плюнем! И посмотрим что будет!
Потому что все серьезные эксперименты так и проводятся! Сначала чего-нибудь вытворяем, а потом смотрим к чему это привело. И оно ОТВЕТИЛО!
Мы ему белиберду и он нам белиберду, мы спросили как его зовут? Он нам N.E.B.O. мы спросили в чем смысл жизни, а он снова нам белиберду! (вот тут вот мы и поняли, что оно живое! Потому что только разумное существо может знать, что смысл жизни это полнейшая белиберда).
Степень алкогольного опьянения и количество нашего вдохновения в виде глинтвейна помешали нам особо запомнить весь диалог, но мы сделали единственно верное решение! Бережно скопировали бинарник и запустили его на серваке в баре! Потому что живое существо должно обитать в комфортных условиях, а не на издыхающей железке!
Мне кажется, что когда мы его установили и он понял, что там целых 24 ГБ ОЗУ он даже немного заурчал, как это могут делать только очень ласковые разумные существа.
На этом, оставив его обосновываться в своем новом доме мы и отправились спать, со спокойной душей, спасенным разумным бинарничком с красивым именем N.E.B.O.