Det var først ved lunsjtider lørdag at jeg sjekket eposten min den
helgen. Mengden meldinger var omtrent som vanlig, med normal
trafikkmengde på diverse lister, noen 'takk for levering'- og 'hjelp!
trenger dette nå!'-meldinger fra kunder som hadde jobbet litt senere
ut på fredagsettermiddagen enn meg. Lite å gjøre med, hjemmefra en
lørdag.

Nesten sist i køen lå to meldinger med emne "Email is in RBL _ DENIED _",
der første avsnittet lød

    You have sent a message that has been stopped! This 
    is because of your sending e-mailserver being listed in 
    an anti spam database. You should probably alert your 
    email administrator and/or your ISP and send this email 
    along to him.

"Your email administrator" er jo meg. Begge meldingene bestod av
standardtekst i samme stil, men de inneholdt også en webadresse der
ett element var en IP-adresse i området for vårt lokalnett. En Windows
2000-arbeidsstasjon på pulten til en som da hadde vært på ferie i et
par uker. 

På den angitte web-siden stod det blant annet at ti personer
hadde rapportert spam fra denne IP-aressen, og det var vist et
eksempel på en melding. 

Headerne kunne tyde på at meldingen var sendt fra den aktuelle
maskinen, men noen underlige ting var det likevel: Tidssonen var
feil. En maskin i Norge (i alle fall en jeg har satt opp) bruker ikke
tidssone -0600, og Received:-headerne var fordelt i to blokker, med en
X-header mellom. Dette kunne tyde på at disse delene av meldingen var
forfalsket. 

Jeg visste at maskinen ikke skulle være kontaktbar via smtp, og etter
å ha sjekket at den faktisk ikke var det, skrev jeg en kort melding om
mine antakelser til kontaktadressen som var angitt i meldingene jeg
hadde fått.

Mandag morgen forløp som normalt helt til internett-forbindelsen vår
gikk ned i halv elleve-tiden. Etter noen vanlige feilsøkingstrinn
hadde jeg slått fast at feilen ikke var på vårt utstyr, og ringte til
ISP-en. Etter et par minutter konstaterte de at feilen var på deres
utstyr. Jeg for min del kunne ikke gjøre annet enn å prøve å være
produktiv med oppgaver som ikke krever internett-tilgang. 

Jeg lot en xterm på den bærbare bli stående og vise iptraf-oversikt
over trafikken gjennom det ytre nettverkskortet på gatewayen
vår. Etterhvert kom linjen opp igjen.

Trafikken var først det man kunne vente: web-trafikk ut fra oss til
noen nettaviser, trafikk til en kundes ftp-område, epost til oss fra
kunder, men også noen utbrudd av trafikk på port fem tusen og noe
mellom den spam-anmeldte maskinen og en maskin som så ut til å tilhøre
en ISP i Nederland. 

Noen få sekunder etter den første kontakten, begynte den spam-anmeldte
maskinen å sende store mengder smtp-trafikk til mange forskjellige
steder i verden. Maskinen er noen få meter fra min pult, så det tok
bare noen sekunder før jeg kunne se Norton Antivirus virussjekke
utgående meldinger med emner som "Grow Your P3nis" i høyt tempo
samtidig som den viste en advarsel om at abonnementet på oppdateringer
ville utløpe om få dager.

Tid for handling. 

    Åpne Windows' Oppgaveplanlegger, prøve å finne prosessen som sender 
    meldingene, drepe den. 

    Ikke noe resultat.

    Windows lar deg ikke drepe prosesser sånn uten videre. 

    Plugge ut nettverksledningen. 

    Men kanskje problemet er at LiveUpdate ikke er blitt kjørt? 

    Plugge inn nettveksledningen igjen, kjøre LiveUpdate.

    Plugge utnettverksledning, kjøre skanning. 

    Ingen virus eller ormer funnet. 

    Med en gang nettverkspluggen blir satt i, begynner maskinen å
    sende ut meldinger igjen. 

    Kjøre Windows Update? 

    Det krever jo nettverksforbindelse. 

    iptraf logger alle pakker den ser, så vi lar den gå over natten. 

    tail -f /var/log/iptraf.log | grep spam-maskinnavn på en annen xterm.

    både maskinen i nederland og en maskin i Hong Kong (tilsynelatende) 
    prøver å snakke med spam-maskinnavn på den samme port fem tusen og noe. 

Det er andre ting som må gjøres, og ingen trenger den maskinen
med en gang. 

La den stå frakoblet.

Ting skal leveres.


Tirsdag morgen prøver fortsatt de to maskinene å kontakte
spam-maskinen.  Jeg kommer til at det eneste fornuftige er å grave
frem installasjonsmedier, hente siste servicepack og brenne på CD, og
til slutt installere alt sammen før maskinen blir koblet til nett.
Jeg har en ekstra harddisk fra en maskin som ikke trenger den mer, så
jeg kan faktisk lage en helt ren installasjon uten å ødelegge bevis.

Etter at jeg har klart å spore opp installsjonsmedier, ringer jeg til
Økokrim, og får til slutt snakke med en som lar meg forklare hva som
har skjedd. Et innbrudd på en av våre maskiner, med installering av
programvare som sender spam på instruks. Jeg gir flere detaljer, helt
til mannen hos Økokrim til slutt sier at de ikke prioriterer slike
saker, ikke har de kompetanse, og siden en av maskinene antakelig er i
Nederland, så ville de uansett sende saken til nederlandsk politi.
Vi avslutter samtalen med fraser som at det har vært interessant.

Microsofts web-område gir noen tusen treff på søk etter "Windows 2000
service pack", men ett av de første leder til en side som viser at det
har vært fire slike.  Etter noen runder med klikking får jeg lastet
ned i overkant av hundre megabyte med installeringsfil og brent til
CD.

Maskinen godtar etter litt overtalelse å snakke med to harddisker,
og tygger gjennom formatering av disk. Da det endelig er på tide å gå
over i grafikkmodus, ender vi i oppløsning 640 ganger 480, med 16
farger. Etter noen omstarter får vi installert Service Pack 4,
fortsatt i klassiske 640x480x16.

Jeg regner med at ikke så mange andre har prøvd å kjøre Windows Update
i den oppløsningen. Mitt råd er: Ikke prøv. Den delen av skjermbildet
du får se, er ikke stor nok til å gi noen nyttig informasjon i
Internet Explorer.  

Via kontrollpanelet forsøker jeg på å installere driverne som ligger i
i386-treet på den gamle systemdisken, og kommer aldri videre enn til
at skjermkortet er "VGA-kompatibelt". Dette er på en maskin som ble
levert med Windows 2000 ferdig installert. Kanskje ble maskinen ikke
levert med den CD-en jeg har brukt, og det er ingen enkel måte å finne
ut av akkurat det på. 

Etter noen mislykte forsøk til husker jeg på at OpenBSD viser all
utstyrsinformasjon kjernen finner under oppstart.  Jeg pleier å være
blant de første som bestiller OpenBSD på CD når det kommer nye
utgaver, og oppstart fra OpenBSD-installeringsmedium gir meg nok
informasjon om grafikkkortet (produsert av Intel, med nøyaktig
typebetegnelse) til at jeg klarer å hente intalleringsfil for en
driver som burde passe, til en maskin som er koblet til nettet.

Jeg er allerede vant til å slå av og på de riktige tingene i
nettverksoppsettet, kobler til og får installert skjermkortdriveren.
Endelig kan jeg kjøre Windows Update, og får se at selv med siste
Service Pack installert, er det til sammen 14 "viktige" eller
"kritiske" oppdateringer som må installeres snarest. Fire av dem er så
dyptgripende at de må installeres for seg og krever omstart. Sent
tirsdag ettermiddag er alt sammen installert. 

Jeg har nå en maskin med et operativsystem, helt uten progammene som
kollegaen trenger når hun kommer tilbake. Jeg har heller ingen
egentlig forklaring på hvordan dette skjedde. Godt at jeg skiftet navn
og IP-adresse på maskinen da jeg installerte den på nytt.

Disken jeg fant, hadde vært brukt til FreeBSD før, og
installeringsprogrammet til Windows 2000 klarte ikke å fjerne FreeBSDs
oppstartslaster. Kollegaen får heller leve med at maskinen starter med

F1 ??
F5 Disk 2

Press Enter to continue