Digitalt och biologiskt virus

Host, snörvel och sömnlöshet. Så var det dags igen med förkylningsvirus – stannade hemma i tisdags och sov hela 17 timmar natten från måndagen. Vaknade upp relativt pigg och halsont hade försvunnit. Till min fasa så hade flertalet incidenter inträffat på jobbet – och jag behövde idag (tisdag) ta mig in för brandsläckning.

Primärt handlade det om upptäckta driftstörningar iom site-releasen föregående vecka på fredagen. Det var inga svåra puckar att reda ut, men de innebar att våra kunder upplevt serviceavbrott på specifikt 1 länkad tjänst kopplad till sidan. Jag tog ett möte med min projektledare idag och lyfte idén om implementation av nya rutiner samt ansvarsområden när vi går live med större projekt som dessa för att eliminera liknande framtida incidenter.

Webben är mitt skötebarn och det legacy som jag vill lämna efter mig på just detta företag – jag tar det högst personligt när saker och ting inte fungerar som det skall och är väldigt noga med att följa upp problem inom säkerhet/front- och backend.

Jag rensade under måndagen i mycket av den kod som en extern partner levererat och som nu efter en core update orsakade flertalet PHP fel. Främst handlade det om saknade fallbacks och odeklarerade variabler – så det var inget större jobb att korrigera därefter. Dock ställer jag mig frågande till om utvecklare som dessa någonsin läser loggarna (finns f.ö tillgängliga via Drupal under site-reports) eller nöjer sig med att committa sin kod så länge sidan inte fallerar.

Tidigare var det i snitt 7-8 log entries per besökare (!!!!). Ej enbart iom konsulternas kod – utan även iom en del moduler som inte blivit patchade/uppdaterade. Känns väldigt bra att ha rensat upp nu och ha en ”crisp clean lean machine” både för Dev och Produktion.

Fredagen föregående vecka började rätt illa. Trafik från en specifik port till en specifik IP noterades och trafiken kom från min dator – datorn stängdes snabbt ned och kopplades ifrån alla resurser.

Det är inte många som skulle våga erkänna att de utsatts för virus eller liknande- men eftersom mitt intresse är stort för detta så var det en intressant upplevelse och analys. Stämpeln att virus enbart hamnar på folks datorer som surfar på ”skumma lättklädda sidor” håller på att försvinna- och nu är det nästan en självklarhet att man i någon form stött på ett malware, ransomware eller liknande. Skillnaden är bara att de flesta ej ens vet om att de är utsatta!

Efter notisen kunde jag efter en kort analys fastställa att det rörde sig om en metasploit. Reverse TCP gjordes till IP X som lokliserades i Amazon cloud. En tjänst på IP X låg väntandes på inkommande anslutningar för att leverera sin payload. Jag noterade alla detaljer jag kunde och kommer spara dem för mina hemma-labbar.

Datorn nukades totalt, samtliga partitioner skrevs över inklusive EFI. Remote recovery för fabriksåterställning av OS följt av upgrade till El Capitan följt av standard procedurer (listas av självklara skäl ej här). En positiv erfarenhet och jag har nu även sett till att förbereda för mounting av nätverksenhet för time-machine (ett enklare hack som möjliggör NAS enheter som ej är Apples egna time-capsule). Tanken är att ha en restore-punkt oberoende av filhistorik (sparar ändå inget lokalt på maskinen).

Idag är jag med på mitt första security-council och har en del rapporter samt insikter att avrapportera – ser fram emot detta!