18 Eylül 2001 Pazar günü, kolayca yayılan yeni bir virüs ortaya çıktı. Nimda isimli bu virüs maillerle kendini hemen yayıyor. Bir Network Yöneticisinin nasıl davranması gerektiğini anlatmak için, size kendi yaşadıklarımı anlatacağım.
18 Eylül 2001
Saat 9:34
Birden iç işlemlerimizde kullandığımız IIS Server’in(aynı zamanda bir çok elemanın kullandığı ana server), bizden habersiz Microsoft OWA’yı(Exchange’içindeki Web erişimli Outlook) çalıştırdığını farkettik. Dışarıdan gelen ve Nimda bulaşmış bir unicode bunu yapıyordu. Henüz bu virüs nedir ve ne yapar bilmiyorduk. O andan sonraki bir kaç saat boyunca da adını daha duymamıştık. Ama 9:34 itibariyle, bu virüsün, yerel sunucudaki bölümlere kendini .EML olarak kopyaladığını biliyordum.
9:53
Hala bu virüsün WAN linkini kullanarak kurumsal sunucumuza nasıl yayıldığını
tespit edememiştik. Bu arada, hala IIS/ana sunucunun bölümlerine hızla yayılıyordu.
10:13
İç IIS/Ana sunucu boş yerinin 250 MB’ın altına düştüğüne dair bir uyarı maili aldım. Bu sunucuya kullanıcılarımızın maalesef çok büyük database’ler (2 GB üstü)yükleme eğilimleri var. Bu tür sunucular genellikle 3-4 GB boş yer içerdiklerinden, 6-7 ayda bir doluyorlardı. Bu sunucuda ise hala 240 MB boş yer vardı. Olayın böyle olduğunu yani normal zannedip, sunucuyu tarayamaya başladım. Elimdeki bir Perl script ile, bu alanı hangi kullanıcıların doldurduğunu araştırıyordum. Script’in tamamlanması 20 dakikayı buluyor. Bu nedenle o çalışırken bir kahve almaya karar verdim.
10:17
Bir kullanıcıdan mail aldım. IIS/Ana Sunucu üzerindeki dosyalarında bir gariplik farketmişti. Hepsinin sonuna .EML uzantısı eklenmişti (EML uzantısı Email dosyalarını gösterir. Bir maili dosyaya save edip, Outlook’ta açmak isterseniz oluşur).
10:18
EML dosyalarının ne olduğuna bakmaya kalmadan, 4 ayrı yardım telefonu aldım. Kullanıcılar, kendi ana direktory’leri içine dosya kayıt edemiyorlardı. Hemen Windows Explorer’dan kontrol ettim. Geri kalan 240 MB uçup gitmişti. Ben hala bunun büyük bir kullanıcı database’i olduğunu sanıyordum. Perl Script’i çalıştırmaya devam ettim. 500 MB’lık arşivelenmiş log’ları, kendi bilgisayarıma aldım. Böylece kullanıcılara yeni alan sağlamış oluyordum.
10:22
Ana server’daki dosyalarının EML olarak değiştirildiğini söyleyen ikinci bir kullanıcı e-maili aldım. Maalesef bu dosyaları e-mailine eklemişti. Ekleri açayım mı diye 1 saniye tereddüt ettikten sonra, açmamaya ve Windows 2000 ile Quick View yapmaya karar verdim ve gördüm ki, dosyalar biraz acaip. Konu başlığı acaip uzun ve bazı harfler karışık. Mailin dosyanın kendisinde ise hiçbir şey yok. Dosyanın ekinde bir README.EXE vardı. Tabi ki iyice şüphelendim. Quick View’ü kapatıp, e-maili tamamen sildim.
Bu noktada, IIS Sunucunun D$ paylaşımına bağlandım. EML uzantılı dosyaları aramaya başladım. Bir yandan da InoculateIT (en son güncellemelerle) kullanarak sunucuyu tam bir virüs taramasından geçirmeye başadım.
10:42
Virüs taraması hiçbir şey vermedi ama 10.000 dan fazla EML uzantılı dosya buldum. Hemen Bilgişlem Direktörüne acil bir uyarı mesajı yollarken, bir yandan EML dosyaları aramaya devam ediyor, diğer yandan da tüm Virüs Sitelerini inceleyerek yeni bir şey olup olmadığına bakıyorduk. Ama yeni bir virüs olduğuna dair kötü bir his vardı içimde.
10:54
Computer Associates, McAfee, Norton ve Trend Micro sitelerini inceledikten, yeni hiçbir not bulamadık. Bunun yeni bir APOST.A dalgası olabileceğini düşünüyorduk, çünkü README.EXE eklemeleri yapıyordu. Bilgi İşlem Müdürüne bu düşüncemizi de ilettik.
11:27
NTBugtraq’dan Russ Cooper bir e-mail göndererek W32.nimda.amm adında yeni bir virüsün uyarısını yaptı. Sadece ISS Sunucuya yaptığı etkileri anlatıyordu ama EML dosyalarından bahsetmiyordu. Bu bize tuhaf göründü. Çünkü o ana kadar bizim IIS Sunucu tarafında pek bir şey olmamıştı. Bu sefer IIS sunucu loglarını taramaya başladık. Belki bir şey bulabilirdik.
11:58
Tüm kullanıcılara mail attık ve hiçbir şekilde EML dosyalarını açmamalarını söyledik. Hala ISS Sunucu loglarında bir acaiplik yoktu. Çünkü biz NIMDA/Kızıl Kod tip şeyler aramıyorduk.
12:06
Şirket Sunucusunda, EML uzantılı dosyaları taramak için “Dosya Bul” komutunu çalıştırdım. Şaşkınlık içinde 468 tane EML uzantılı dosya buldum. Aslında bu sunucuyu izole ettiğimizi sanıyordum. Ama nasıl olmuşsa olmuş, WAN2dan buraya sızmıştı. Tüm EML dosyaları sildim. Tekrar “Dosya Bul” komutunu çalıştırdım. Hiç EMl dosyası kalmamıştı.
12:21
IIS Sunucudan bulduğum, 11,483 adet EML dosyasını sildim. Yeniden dosya taraması yaptım.
12:24
“Dosya Bul” 6000 yeni EML uzantılı dosya buldu. Hepsinin kaydolma saati 12:22 idi. Yavaş yavaş kontrolü kaybettiğimizi düşünmeye başladık.
12:29
EML uzantısı nedeniyle, virüsün README.EXE uzantısını çalıştıran kullanıcılardan geldiğini düşündük. Önlem olarak Exchange Internet Mail Servisimizi kapattık.
12:41
ISS Sunucuda “Dosya Bul”u tekrar çalıştırdığımızda bu sefer 16.000 EML dosyası buldu. Son baktığımız 12:24’den bu yana nasıl olmuşsa 10.000 yeni EML dosyası gelmişti.
12:52
Symantec ilk uyarısını yayınladı (Allaha şükür Yahoo ya da Hotmail gibi web-tabanlı mail sistemleri var). Verdikleri bilgi Russ Cooper’ın yolladığının aynısı idi. Ama hala EML uzantılarından bahsedilmiyordu. Yönetim hala bizim NIMDA tarafından bu hale düşürüldüğümüze ikna olmamıştı. Çünkü bir tek biz EML dosyalrından bahsediyorduk.
Ondan sonraki 1.5 saati, 5 farklı sunucudaki, 35.000 EML dosyasını silmekle geçirdik.
14:30
Trend Micro ile kurtuluşa doğru. İlk uyarılarını gönderdiler. Tamamen teknik bir uyarı idi. Aynı zamanda çoğalan EML dosyalarından da basediliyordu (en sonunda)
Hala çeşitli sunucularda doğuran EML dosyaları ile savaşıyoruz. Biz sildikçe onlar yeniden geliyor. Kendi PC’lerinde etkilenmiş olan kullanıcılar olduğunu düşündük. En azından bir tane.
15:15
İkna etmemiz gerekti ama sonunda yönetimin iznini alarak tüm PC’leri kestik. Tabi bu hoş olmayan bir durumdu. Ama EML dosyalarının yayılma hızını durdurmamız lazımdı.
Hala EML dosyalarını siliyorduk. Ama artık yenileri gelmiyordu. Bu arada bireysel PC grubu, 100 PC’nin herbirinde tek tek EML dosyası aramaya başladı.
17:00
Neyse ki, NTBugtraq listesindeki kişiler NIMDA Virüsünü tek tek nasıl bulabileceğimizi ve temizleyebileceğimizi gayet detaylıca anlattılar. Ondan sonraki 5 saat boyunca, tüm PC’lere bu işlemler uygulandı. 20 kadar PC’de NIMDA bulduk. Bunları hemen network’den ayırdık.
20:00
Yahoo Web mail’i kontrol ettik. NTbugTraq’dan Russ Cooper 18:19’da NIMDA hakkında biraz daha teknik bilgiler göndermişti. NIMDA’nın Internet Explorer versiyonunda etkilediği 3 bileşen vardı. Internet Explorer, E-mail ve IIS. Maalesef bizim PC’lerin % 90’ı Windows 9x ve IE 4.0 kullanıyordu. NIMDA için InoculateIT bir yama geliştirene ve biz de tüm PC’leri IE 5.01 SP2’ye upgrade edene kadar Internet’e ulaşımı tamamen kapatma kararı verdik.
23:18
Sonunda bitti ama çok yorulduk. Bilgi İşlem Müdürü de bizimle birlikte. 30 dakika sonra eve gitmek için çıkacağım.
19 Eylül 2001
7:04
Erkenden ofise geldim. 4 saatlik uyku ile. Şimdi de eve geri döneceğim. Çünkü, Computer Associates gece yarısı InoculateIT için bir yama yayınlamış ama bizim internet bağlantısı kesik olduğundan, sistem upgrade olamamış. bulunmuş. Diğer network mühendisi, evinden CD_RW ile çektiği programla sunucuları upgarde etmeye başladık.
Lisans numaraları upgrade olurken, “Dosya Bul” ile tekrar bir göz attım. Aman Allah.. IIS Sunucuda yeniden 5000 EML dosyası oluşmuştu.
Yönetimden, kullanıcıların işlemlerimizi bitirene kadar PC’lerinden uzak kalmaları için izin aldık. Birçoğu hak verdi. Diğer 3 şubedeki kullanıcılar çalışabiliyordu. Ama Internet ve E-mail sistemlerini çalıştırmıyorduk. 5 saat Sunucu ve PC’leri temizleme ile uğraştık. Hem de PC’lere IE 5.01 SP2 yamalarını yüklüyorduk.
12:25
En başta etkilenmiş olan ISS Sunucu hala kötü durumda idi. Her sildiğimiz EML dosyası yerine başkaları geliyordu. Sunucuyu taradığımızda Diskte halen aktif olan NIMDA Virüslerini görebiliyorduk. Sunucudaki NT işletim isteminin 500’den fazla anahtar Exe file etkilenmişti. PowerChute, WinZip, Computer Associates Arcserve ve hatta komik ama InoculateIT’in kendisi de.
Bu sunucuyu kurtaramayacağımıza karar verdik. Yeni bir sistem oluşturup, koymamız gerekiyor diye düşündük. Dataları da Pazartesi günki Backup’tan alacaktık. Bilgisayarı network’den ayırdık. Ondan sonraki 3 saat boyunca, sunucuda ne var ne yok listesini çıkardık.
13:45
Kritik yamaları filan yükleyeceğimiz için, Internet’i ve Mailleri açmak için yönetimden izin istedik. Kullanıcı PC’lerinin hala Internet’e kapalı düşünürsek bu konuda bir sorun yoktu. Kullanıcılara sistemi kullanmamalarını belirten bir mail attık.
16:15
IIS/Ana Sunucuya yeni bir NT kurduk. Ve kendi kendimize dedik ki.. boşver böylece Compaq ROMPAQ’nun en son versiyonunu da yükleme şansımız olacak. 🙂
20 Eylül 2001
00:38
İşler bitti. IIS/Ana Sunucu yeniden kuruldu. Back Up’lar yükleniyor. muhtemelen 6 saat sürecek. Tüm PC’ler IE 5.01 SP2 ile güncellendi. Tüm virüs programları elden geçirildi. Temizlendi. Sunuculardan hiçbirinde NIMDA kalmadığını gördük.
7:45
Restore işlemi yolunda gitti. IIS/Ana Sunucuyu kurduk. Tüm servisleri gece boyunca taradık ki, NIMDA’ya rastlayacak mıyız?
8:30
Sistemlerin hepsinin % 100 temiz olduğuna ikna olduk. Bundan sonraki 3 saat boyunca, IIS/Ana Sunucu üstündeki yetkilendirme işlemleri ve son dakika detayları ile ilgilendik.
12:15
Kullanıcılara sistemlerini açabileceklerini ve network’e bağlanıp, normal işlemlerini yapabileceklerini bildirdik ve nefesimizi tutup bekledik. Bir yandan tüm sistemi tarıyorduk.
14:10
Tüm taramalarımızın sonucunda sistemin tamamen temiz olduğu görüldü. İşler tamamlandı. Operasyon % 100 başladı. Kullanıcılar normal hayatlarına döndüler.
Özet
Zorlu 2,5 günden sonra sistemi tamamen düzeltmeyi ve yeniden çalışır hale getirmeyi başardık. Peki bundan ne öğrendik ? “En son güncellemeler ve güvenlik yamalarını ihmal etmememiz gerektiğini”. Nimda’dan önce, diğerlerinin yenilikleri kullanıp test etmelerini beklerdik. Böylece problem kalmadığında biz kullanmaya başlıyor olurduk. Şimdi kesinlikle hayır.. En önce biz alıyoruz. Sistemimizin devamlılığı ile kumar oynamak doğru değil. Yeni bir virüs için 2.5 gün harcamaya hiç de gönüllü değiliz. Ama ne kadar korunursanız korunun, hiç bir garantisi de yok. Öyle değil mi ??
(turk-internet.com’un Notu; Bu anılar, Amerika’daki bir Sistem Yöneticisinin notları. Benzer sorunları yaşayanların bilgi olarak yayınladık. Ancak sizlerin de hikayelerinizi duymak isteriz. Benzer sorunları yaşamış Bilgi İşlem Müdür ya da Sistem Yöneticilerimiz bize lütfen yazın. [email protected])
