Приветствую, Вас, мои подписчики и случайные читатели, сегодня будет свежая история, которая произошла вчера. История нетипичная, в которой изначальная глупость/небрежность/беззаботность по цепочке слабо связанных между собой событий привела к проблемам для клиента.
Неисправность со слов клиента:
Мини-гостиница на 20 номеров, не работает интернет. Со слов клиентки, интернет перестал работать после того, как специалист тех.поддержки одного из сервисов удаленно попытался настроить её корректную работу ЭЦП(электронной цифровой подписи на одном из порталов) ФМС/МВД.
Специально уточняю: интернета нет только на компьютере или в гостинице вообще?? она говорит в гостинице вообще, звонили провайдеру он говорит всё ок.
Мне трудно представить, как можно сломать интернет, ковыряясь в настройках ЭЦП. Полагаю, что он пробрасывал порты на роутере, менял настройки, и где-то что-то косячнул, вобщем понятно, что дело темное, так как клиент недалеко от меня, озвучиваю 1тр за диагностику(на случай если всё таки виноват провайдер) и 2тр в случае успешного ремонта.
Приезжаю на место:
Сажусь за комп, вижу странную картину сетевая карта IP адрес и dns от роутера получает, но шлюз(роутер) не пингуется, и трассировка не идёт. Думаю надо искать роутер, по ip 192.168.0.1 предполагаю, что этоTP-Link, но в итоге осмотрев все помещения, и найдя ввод от провайдера понимаю, что это микротик(хотя обычно у них 192.168.88.1). Подключаюсь своим ноутбуком в роутер напрямую и понимаю, что у меня всё ОК интернет работает, уточняю у клиента точно ли во всей гостинице нет интернета, получаю утвердительный ответ, подключаюсь к wi-fi, на моём ноуте интернет тоже есть... Как оказалось клиенту показалось что интернета нет в принципе, а его просто не было только на одном главном компьютере.
Первый результат диагностики:
С провайдером всё хорошо, интернет есть, проблема в компе.
Я вижу перед собой windows7, никаких антивирус и файрволов не установлено, блочить интернет некому. Есть простое решение, просто откатить систему на точку восстановления когда всё работало, и многие мастера так и делают не пытаясь найти первопричину, забирают свои деньги уходят, а потом клиенту, какая нить тех поддержка опять что-то настраивает по удаленке и п..ц опять интернета нет... Но мы то не такие будем решать проблему ручками.
Допрашиваем клиента с пристрастием:
Какая именно тех поддержка им вносила изменения, и какие программы ставили, прошу принести документы на ЭЦП и интересуюсь где покупали...
Видим список необходимого по для работы: cryptopro, vipnet csp,vipnet vpn. Первое подозрение падает на кривой VPN, в трее его не видно, но странные процессы в системе висят, удаляем его перезагружаем, интернет появляется, вроде как работа сделана виновник найден, можно забирать свои 2тр и уходить, клиент слезно умоляет помочь настроить ЭЦП, обещает ещё доплатить, а это уже деловое предложение.
Продолжаем решать проблемы клиента:
Связываемся с тех.поддержкой компании, что эту ЭЦП выпустила, всё таки это "усиленная квалифицированная электронная подпись" за которую заплачено 15тр, и пусть решают проблему, выясняем стандартный пакет программ получаем список настроек, всё делаем по инструкции, но ничего не работает, на госуслуги по ЭЦП не заходит, а сайт проверки ЭЦП, ругается на какие то недействительные цепочки. Техподдержка предлагает, снести всё криптографическое ПО(cryptopro, vipnet csp) вычистить папки вручную и попробовать ещё раз.
Но зачем нам чистить вручную, если у меня на флешке есть чудная программа "Revo Uninstaler".
Я вставляю флешку и тут бац.
Неожиданная истинная причина:
Открываю мой компьютер, свою флешку, а внутри неё ещё одна такая же иконка флешки с аналогичным названием. И тут всё становится ясно. Старый добрый вирус которого, я не видел уже много лет, очень примитивный, но в нашем случае критический, чего он делает:
1) Вирус перехватывает у windows открытие usb устройств хранения данных
2) На подключенной флешке создаёт скрытую папку, в которую помещаёт всё её содержимое, т.е. вы эту папку не видите
3) В такую же скрытую папку кидает тело вируса
4) Внутрь флешки размещает свой ярлычок на запуск с иконкой и названием вашей флешки.
т.е. обычному пользователю кажется что он просто не кликнул два раза по иконке, и он делает это ещё раз запуская уже на своём компе вирус, который заражает ваш комп, а затем и все флешки, что вы в него вставите.
И вишенка на торте так как ЭЦП у нас была на usb флешке не удивительно, что криптопровайдер перестал ЭЦП видеть.
Продолжаем решать проблемы клиента:Так как вирус примитивный, то он просто лежит в папке appdata, и в реестре прописан его автозапуск, удаляем его ручками попутно смотрим дату создания папки там 11.07.2020, спрашиваем клиентку она подтверждает, что да примерно пару недель назад ЭЦП перестала работать.
Спрашиваю у клиента, ничего странного 11-ого не происходило, она рассказывает что у неё перестал включаться iphone и какой-то знакомый ставил ей на комп itunec и какие то программы с флешки, чтобы его восстановить... вобщем этот знакомый на своей флешке и принес вирус, сам того не зная...
Проверяем ЭЦП теперь все работает, на mos.ru и госуслуги заходит и юр.лицо определяется.
Вобщем Шерлок опять торжествует, очередное преступление практически распутано, но пока не ясна роль таинственного VPN
Всплывают важные детали:
Клиентка рассказывает, что их обязали подключиться к некой системе "московская безопасность" и в онлайн режиме там регистрировать всех постояльцев, в том числе и граждан России, что заезжают в отель... И там все серьезно МВД/ФМС штрафы, тоже работает система через ЭЦП и именно пытаясь её наладить, тех.поддержка всё и сломала... Слезно просит настроит и её, уточняя хватит ли за всё 5тр... сумма уже хорошая за вечер набегает, и я начинаю лезть в дебри.
Злоебучая система, по которой в интернете вообще нет инфы
В целом оно и понятно, незачем гражданам России знать, что все отели и гостиницы в онлайн режиме сливают данные МВД о своих гостях.
Выясняю, как она заходила в эту систему, просто отрывала в гугле ссылку http:\\gkumosbez.mos.ru (государственное казенное учреждение московская безопасность)
но вот загадка ссылка не открывается, ни с рабочего компа ни с моего ноута ни с телефона, очень похоже, что сайт просто лежит, так как время уже далеко за 20-00, техподдержка не работает и дать внятного ответа не может, рабоатет сайт или нет. Если погуглить, сайт разработчика этой системы, то новости там не обновляются с 2018 года, и там тоже написано, что для входа надо открыть ссылку http:\\gkumosbez.mos.ru, и просто ввести там логин и пароль...
Думаю надо пингануть сайт, и он конечно не доступен, но мне прилетает его ip что то вроде 12.0.0.1, и становится очевидно что сайт лежит не в общем доступе, а в локалке, значит вот для чего был нужен VPN. Ещё минут 30 гугления, и удалось на сайте МВД найти 20-ти страничный документ, написанный казенным языком, о правилах подключения к системе "Московская безопасность", и там мелким курсивом в сноске было написано, что для работы необходим VPN и была указана ссылка для загрузки.
И чудо ставим, VPN по ссылке, сайт gkumosbez.mos.ru, начинает открываться, ЭЦП работает, постояльцев снова удается регистрировать в системе.
А ТЕПЕРЬ ТА САМАЯ ЦЕПОЧКА ОШИБОК, что и привела к проблеме:
1) На компьютере отсутствовал Антивирус.(теперь я его установил)
2) До рабочего компьютера был допущен знакомый с сомнительными флешками, что и занес вирус(предупредил клиента, что не стоит такого делать, рабочий комп для работы, лучше не рисковать лишний раз установкой сомнительных программ)
3) Вирус сделал недоступной флешку с ЭЦП
4) Тех.поддержка пытаясь решить проблему с ЭЦП, абсолютно лишними манипуляциями с рабочим VPN, сломала интернет на компьютере.
